ISO 27701 – Clausule 6.2 – Informatiebeveiligingsbeleid

Belangrijkste elementen van clausule 6.2: Beleidskader voor PII-bescherming

Het privacybeschermingsbeleid biedt organisaties een operationeel raamwerk om zich te gedragen als een verantwoordelijke gegevensbeheerder en het personeel voor te lichten over hun dagelijkse verplichtingen op het gebied van PII.

Beleidsdocumentatie moet worden goedgekeurd door het senior management en aan het personeel worden gecommuniceerd, zodat iedereen in de organisatie naar dezelfde reeks PII-gerelateerde leidende principes toewerkt.

Wat wordt er behandeld in ISO 27701, clausule 6.2

ISO 27701 6.2 bevat twee subclausules die specifieke richtlijnen voor privacybescherming bieden:

• ISO 27701 6.2.1.1 – Beleid voor informatiebeveiliging (referenties ISO 27002 Controle 5.1)
• ISO 27701 6.2.1.2 – Herziening van het beleid voor informatiebeveiliging (referenties ISO 27002 Controle 5.1)

Net als bij andere clausules in de standaard, ISO 27701 clausule 6.2 verwijst terug naar ISO 27002 bij het uiteenzetten hoe organisaties moeten omgaan met PII- en PIMS-gerelateerde informatie.

De formulering van ISO 27701 6.2 bevat verwijzingen naar ISO 27002:2013, maar deze norm is nu vervangen door een recentere versie: ISO 27002:2022. Waar wordt verwezen naar clausules in ISO 27002:2013, hebben we citaten vergeleken met hun bijgewerkte versies in ISO 27002:2022.

Hiertoe is ISO 27701 6.2 gekoppeld aan twee normen uit ISO 27002:2013 (5.1.1 en 5.1.2) die binnen ISO 27002:2022 (5.1) zijn samengevoegd tot één norm.

ISO 27701 Clausule 6.2.1.1 – Beleid voor informatiebeveiliging

Referenties ISO 27002 Controle 5.1

ISO pleit voor een tweeledige aanpak van de privacybescherming van organisaties, die het volgende omvat:

• Een algemeen privacybeleid.
• Onderwerpspecifiek privacybeleid voor privacybescherming.

Beide typen beleid kunnen in één document worden gecombineerd of naar eigen goeddunken van elkaar worden gescheiden.

Het beleid moet worden verspreid onder alle relevante personeelsleden (en indien nodig extern personeel) om voortdurende naleving van de interne en externe vereisten voor privacybescherming te garanderen.

Iedereen die een polis ontvangt, moet worden gevraagd om, bij voorkeur schriftelijk, te bevestigen dat hij begrijpt wat er van hem wordt gevraagd en bereid is hieraan te voldoen.

Het beleid moet worden herzien wanneer er wijzigingen worden aangebracht in:

1. Bedrijfsstrategie.
2. Operationele praktijken/technische omgevingen.
3. Alle wetten (inclusief AVG), wettelijke bepalingen of algemene PII-gerelateerde richtlijnen waaraan de organisatie zich moet houden.
4. Risiconiveaus voor privacybescherming en het heersende/geprojecteerde dreigingslandschap.

Onderwerpspecifiek beleid

Een onderwerpspecifieke benadering van privacybescherming geeft organisaties de vrijheid om individuele elementen van hun gegevensverwerking/informatiebeveiligingsactiviteiten per onderwerp te behandelen, met voor elk een apart beleid.

Onderwerpspecifieke gebieden kunnen ICT-functies omvatten zoals toegangscontrole, netwerkbeveiliging, BUDR-planning en encryptieprocessen.

Elk onderwerpspecifiek beleid moet worden opgesteld in lijn met het overkoepelende privacybeleid van de organisatie, en worden opgesteld door afdelingsmedewerkers (niet noodzakelijk het senior management) die over het relevante niveau van expertise en competentie beschikken op het te overwegen gebied.

Algemeen privacybeleid

Het senior management moet een privacybeleid op het hoogste niveau opstellen, waarin duidelijk de processen en praktische stappen worden beschreven die zullen worden genomen om PII te beschermen. Het privacybeleid van de organisatie moet informatie bevatten over en relevant blijven voor:

• De algemene bedrijfsstrategie.
• Alle geldende wettelijke, wettelijke of contractuele vereisten.
• Eventuele duidelijke en aanwezige risico's voor de bescherming van de privacy.

Het privacybeschermingsbeleid moet het volgende van de organisatie definiëren:

1. Operationele definitie van privacybescherming.
2. Opgegeven doelstellingen voor privacybescherming.
3. Een bredere reeks bestuursbeginselen met betrekking tot de bescherming van PII.
4. Toewijding om hun PII-gerelateerde doelstellingen te behalen en deze voortdurend te verbeteren.
5. Benadering van het delegeren van de verantwoordelijkheid voor het gehele of een deel van het privacybeschermingsbeleid naar de relevante roltypes.
6. Aanpak voor het omgaan met uitzonderingen op het beleid.
7. Plannen voor het senior management om wijzigingen te beoordelen en goed te keuren.

Aanvullende PII-specifieke richtlijnen

Organisaties moeten beleid en procedures implementeren die specifiek omgaan met heersende PII-gerelateerde wetgeving, regelgevingsrichtlijnen of contractuele overeenkomsten. Als er externe organisaties bij betrokken zijn, moet het beleid de PII-verantwoordelijkheden aan beide kanten duidelijk omschrijven.

Toepasselijke AVG-artikelen

• Artikel 24 – (24)(2)

ISO 27701 Clausule 6.2.1.2 – Herziening van het beleid voor informatiebeveiliging

Referenties ISO 27002 Controle 5.1

ISO 27701 clausule 6.2.1.2 bevat precies dezelfde richtlijnen als ISO 27701 clausule 6.2.1.1, zonder aanvullende PII-gerelateerde eisen.

Ondersteunende controles van ISO 27002 en AVG

Hoe ISMS.online helpt

Het kan lastig zijn om te weten waar je moet beginnen met ISO 27701, vooral als je nog nooit zoiets als dit hebt hoeven doen. Dit is waar ISMS.online in beeld komt!

Onze ISO 27701-oplossingen bieden raamwerken waarmee uw organisatie de naleving van ISO 27701 kan aantonen.

Onze experts op het gebied van informatiebeveiliging kunnen met u samenwerken om ervoor te zorgen dat u een logisch implementatieproces ontwikkelt dat aansluit bij het online documentatieframework.

Lees meer en krijg een praktische demonstratie door een demo boeken.