Zorgen voor veilige informatieoverdracht: ISO 27701 clausule 6.10.2 uitgelegd
Informatie is vaak het meest kwetsbaar wanneer deze van de ene locatie naar de andere wordt overgedragen – fysiek, digitaal of mondeling.
Organisaties moeten PII die onderweg is beveiligen, en werknemers en leveranciers duidelijke richtlijnen geven over hoe zij zich moeten gedragen bij het verplaatsen van informatie van de ene bron naar de andere.
Wat wordt er behandeld in ISO 27701, clausule 6.10.2
ISO 27701 clausule 6.10.2 bevat vier subclausules die betrekking hebben op de privacybescherming binnen de reikwijdte van informatieoverdracht. Elke subclausule is afhankelijk van begeleidingsinformatie uit ISO 27002 :
- ISO 27701 6.10.2.1 – Beleid en procedures voor informatieoverdracht (ISO 27002 Controle 5.14).
- ISO 27701 6.10.2.2 – Overeenkomsten voor informatieoverdracht (ISO 27002 Controle 5.14).
- ISO 27701 6.10.2.3 – Elektronische berichtenuitwisseling (ISO 27002 Controle 5.14).
- ISO 27701 6.10.2.4 – Vertrouwelijkheids- of geheimhoudingsovereenkomsten (ISO 27002 Controle 6.6).
Twee subclausules bevatten richtlijnen die van toepassing zijn binnen Groot-Brittannië GDPR wetgeving – (artikelen 6.10.2.1 en 6.10.2.4), zonder dat er aanvullende PIMS- of PII-gerelateerde begeleiding wordt aangeboden buiten de al genoemde algemene begeleidingspunten.
Compliance hoeft niet ingewikkeld te zijn.
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
ISO 27701 Clausule 6.10.2.1 – Beleid en procedures voor informatieoverdracht
Referenties ISO 27002 Controle 5.14
Informatieoverdrachtsoperaties moeten:
- Focus op controles die voorkomen dat de onderschepping, onbevoegde toegang, kopiëren, wijziging, verkeerd routeren, vernietiging en denial of service van PII en privacygerelateerde informatie (zie ISO 27002 Controle 8.24).
- Zorg ervoor dat informatie traceerbaar is.
- Categoriseer een lijst met contactpersonen – dat wil zeggen eigenaren, risico-eigenaren enz.
- Geef een overzicht van de verantwoordelijkheden bij een beveiligingsincident.
- Zorg voor duidelijke en beknopte etiketteringssystemen (zie ISO 27002 Controle 5.13).
- Zorg voor een betrouwbare overdrachtsfaciliteit, inclusief onderwerpspecifiek beleid inzake de overdracht van gegevens (zie ISO 27002 Controle 5.10).
- Geef richtlijnen voor bewaring en verwijdering op, inclusief eventuele regio- of sectorspecifieke wetten en richtlijnen.
Elektronische overdracht
Bij het gebruik van elektronische overdrachtsfaciliteiten moeten organisaties:
- Probeer kwaadaardige programma's te detecteren en ertegen te beschermen (zie ISO 27002 Controle 8.7).
- Focus op het beschermen van bijlagen.
- Wees uiterst voorzichtig bij het verzenden van informatie naar het juiste adres.
- Mandaat voor een goedkeuringsproces, voordat werknemers informatie kunnen doorgeven via 'externe publieke diensten' (bijvoorbeeld instant messaging) en meer controle kunnen uitoefenen over dergelijke methoden.
- Vermijd waar mogelijk het gebruik van sms-diensten en faxapparaten.
Fysieke overdrachten (inclusief opslagmedia)
Bij het overbrengen van fysieke media (inclusief papieren documenten) tussen gebouwen of externe locaties moeten organisaties:
- Geef duidelijke verantwoordelijkheden voor verzending en ontvangst weer.
- Let goed op het invoeren van de juiste adresgegevens.
- Gebruik verpakkingen die bescherming bieden tegen fysieke schade of manipulatie.
- Werk met een lijst van geautoriseerde koeriers en externe verzenders, inclusief robuuste identificatiestandaarden.
- Houd grondige logboeken bij van alle fysieke overdrachten, inclusief gegevens van de ontvanger, data en tijden van overdrachten en eventuele fysieke beschermingsmaatregelen.
Mondelinge overdrachten
Het mondeling overbrengen van gevoelige informatie brengt een uniek veiligheidsrisico met zich mee, vooral als het gaat om PII en privacybescherming.
Organisaties moeten werknemers eraan herinneren:
- Vermijd dergelijke gesprekken op een openbare plaats of op een onbeveiligde interne locatie.
- Laat geen voicemailberichten achter die gevoelige of beperkte informatie bevatten.
- Zorg ervoor dat de persoon met wie ze spreken het juiste niveau heeft om de genoemde informatie te ontvangen, en informeer hem of haar over wat er gaat worden gezegd voordat de informatie wordt vrijgegeven.
- Houd rekening met hun omgeving en zorg ervoor dat de controles in de kamer worden nageleefd.
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
Relevante ISO 27002-controles
- ISO 27002 5.13
- ISO 27002 8.7
- ISO 27002 8.24
ISO 27701 Clausule 6.10.2.2 – Overeenkomsten voor informatieoverdracht
Referenties ISO 27002 Controle 5.14
Zie ISO 27701 clausule 6.10.2.1
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
ISO 27701 Clausule 6.10.2.3 – Elektronische berichtenuitwisseling
Referenties ISO 27002 Controle 5.14
Zie ISO 27701 clausule 6.10.2.1
ISO 27701 Clausule 6.10.2.4 – Vertrouwelijkheids- of geheimhoudingsovereenkomsten
Referenties ISO 27002 Controle 6.6
Organisaties moeten geheimhoudingsovereenkomsten (NDA's) en vertrouwelijkheidsovereenkomsten gebruiken om de opzettelijke of onbedoelde openbaarmaking van gevoelige informatie aan onbevoegd personeel te beschermen.
Bij het opstellen, implementeren en onderhouden van dergelijke overeenkomsten moeten organisaties:
- Geef een definitie voor de informatie die moet worden beschermd.
- Geef duidelijk aan wat de verwachte duur van de overeenkomst is.
- Geef duidelijk aan welke acties nodig zijn zodra een overeenkomst is beëindigd.
- Alle verantwoordelijkheden die zijn overeengekomen door bevestigde ondertekenaars.
- Eigendom van informatie (inclusief IP en bedrijfsgeheimen).
- Hoe ondertekenaars de informatie mogen gebruiken.
- Geef een duidelijke omschrijving van het recht van de organisatie om vertrouwelijke informatie te controleren.
- Eventuele gevolgen die voortvloeien uit niet-naleving.
- Evalueert regelmatig hun vertrouwelijkheidsbehoeften en past eventuele toekomstige overeenkomsten dienovereenkomstig aan.
Vertrouwelijkheidswetten variëren van rechtsgebied tot rechtsgebied, en organisaties moeten rekening houden met hun eigen wettelijke en regelgevende verplichtingen bij het opstellen van geheimhoudingsverklaringen en vertrouwelijkheidsovereenkomsten (zie ISO 27002-controles 5.31, 5.32, 5.33 en 5.34).
Toepasselijke AVG-artikelen
- Artikel 5 – (1)
- Artikel 25 – (1)(f)
- Artikel 28 – (3)(b)
- Artikel 38 – (5)
Relevante ISO 27002-controles
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.10.2.1 | Beleid en procedures voor informatieoverdracht |
5.14 – Informatieoverdracht voor ISO 27002 | Artikel (5) |
| 6.10.2.2 | Overeenkomsten voor informatieoverdracht |
5.14 – Informatieoverdracht voor ISO 27002 | Geen |
| 6.10.2.3 | Elektronische berichten |
5.14 – Informatieoverdracht voor ISO 27002 | Geen |
| 6.10.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.6 – Vertrouwelijkheids- of geheimhoudingsovereenkomsten voor ISO 27002 | Artikel (5), (25), (28), (38) |
Hoe ISMS.online helpt
Of u nu net begint met gegevensprivacy, of een expert bent die meerdere normen en regelgeving wil integreren, onze functies zijn eenvoudig te gebruiken en u boekt vooruitgang zodra u zich aanmeldt.
- Ingebouwde risicobank
- ROPA gemakkelijk gemaakt
- Veilige ruimte voor DRR
Meer informatie via een demo boeken.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
