Begrijpen van clausule 6.3: Informatiebeveiliging effectief organiseren
Privacybescherming moet worden beheerd als een concept, evenals een operationele realiteit.
Organisaties moeten privacybescherming niet alleen overwegen in termen van de systemen die ze gebruiken om gegevens te beschermen, maar ook in de manier waarop ze de personen beheren die toegang hebben tot PII, en hoe privacybescherming wordt behandeld naast andere zakelijke functies, zoals projectmanagement.
ISO 27701 6.3 schetst hoe organisaties privacybescherming kunnen beheren als een end-to-end proces, waarbij de bovengenoemde factoren worden betrokken.
Wat wordt er behandeld in ISO 27701, clausule 6.3
ISO 27701 6.3 bevat drie subclausules die specifieke richtlijnen voor privacybescherming bevatten, aangepast van drie ondersteunende clausules in ISO 27002:
- ISO 27701 6.3.1.1 – Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging (referenties ISO 27002-beheersing 5.2)
- ISO 27701 6.3.1.2 – Functiescheiding (Referenties ISO 27002 controle 5.3)
- ISO 27701 6.3.1.5 – Informatiebeveiliging in projectmanagement (Referenties ISO 27002 controle 5.8)
Aanvullende PIMS-specifieke richtlijnen met betrekking tot de verwerking van PII zijn te vinden in artikel 6.3.1.1, dat ook is gekoppeld aan artikelen uit de AVG-wetgeving.
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.3.1.1 – Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Referenties ISO 27002 Controle 5.2
Organisaties moeten rollen en verantwoordelijkheden definiëren die specifiek zijn voor individuele functies binnen hun privacybeleid – zowel hun algemene beleid als hun onderwerpspecifieke beleid.
Individuen met specifieke verantwoordelijkheden moeten voldoende bekwaam zijn om privacygerelateerde taken uit te voeren, en moeten voortdurende ondersteuning krijgen die een aanvaardbaar competentieniveau handhaaft.
Tot de verantwoordelijkheidsgebieden behoren onder meer:
- De bescherming van PII en alle privacygerelateerde activa.
- Uitvoeren van privacybeschermingsprocedures.
- PII-gerelateerde risicobeheeractiviteiten, inclusief herstelmaatregelen.
- Iedereen die gebruik maakt van de informatie en gegevens van de organisatie, inclusief het gebruik van ICT-middelen.
- Individuen met de hoogste verantwoordelijkheid voor de bescherming van de privacy die taken aan anderen delegeren.
ISO erkent dat elke organisatie uniek is in de manier waarop zij informatie verwerkt. De bovenstaande verantwoordelijkheidsgebieden moeten vergezeld gaan van locatie- en faciliteitspecifieke richtlijnen die rekening houden met factoren uit de praktijk die van invloed zijn op de PII-verwerking van een organisatie.
Alle bovengenoemde verantwoordelijkheden en veiligheidsgebieden moeten duidelijk worden gedocumenteerd en beschikbaar worden gesteld aan alle relevante personeelsleden.
Aanvullende PIMS-specifieke richtlijnen
Organisaties moeten een persoon benoemen die klanten (en externe autoriteiten) kunnen gebruiken als speciaal aanspreekpunt voor alle PII-gerelateerde zaken (zie ISO 27701 7.3.2).
Bovendien moeten organisaties de verantwoordelijkheid delegeren aan een of meer individuen voor het opzetten van een organisatorisch programma voor privacybeheer dat de naleving van lokale en nationale wet- en regelgeving op het gebied van PII bevordert.
Toepasselijke AVG-artikelen
- Artikel 27 – (1), (2)(a), (2)(b), (3), (4), (5)
- Artikel 37 – (1)(a), (1)(b), (1)(c), (2), (3), (4), (5), (6), (7)
- Artikel 38 – (1), (2), (3), (4), (5), (6)
- Artikel 39 – (1)(a), (1)(b), (1)(c), (1)(d), (1)(e), (2)
Ondersteunende clausules
- ISO 27701 Clausule 7.3.2
ISO 27701 Clausule 6.3.1.2 – Scheiding van taken
Referenties ISO 27002 Controle 5.3
In een organisatie met veel verschillende privacygerelateerde rollen kunnen verantwoordelijkheden en plichten vaak met elkaar in conflict komen.
Individuen kunnen vaak rollen vervullen die het potentieel hebben om PII in gevaar te brengen, omdat ze ofwel de enige autoriteit zijn, ofwel geen managementtoezicht hebben.
Verantwoordelijkheden moeten worden gescheiden om een robuustere werking van de privacybescherming te garanderen. Voorbeelden van rollen die conflicten kunnen bevatten zijn:
- Het aanvragen, goedkeuren of doorvoeren van een wijziging in het PIMS.
- Wijzigingen aanbrengen in toegangsrechten, waaronder RBAC.
- Code schrijven of aanpassen, of enige vorm van applicatieontwikkeling uitvoeren.
- Gebruik maken van applicaties of databases die zich bezighouden met de verwerking en/of opslag van PII.
- Opstellen, goedkeuren en/of beoordelen van privacybeschermingsmaatregelen.
Bij het ontwikkelen van segregatiecontroles moeten verschillende factoren in gedachten worden gehouden:
- Het voorkomen van collusie.
- Conflicten identificeren.
- Monitoringactiviteiten.
- Het creëren van audittrails.
- Automatisering van het proces van het identificeren van conflicten.
ISO erkent dat kleinere organisaties het misschien moeilijk vinden om rollen te scheiden, gezien hun beperkte middelen, maar het hele concept van segregatie moet niettemin worden nagestreefd voor zover dit commercieel en operationeel mogelijk is.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.3.1.5 – Informatiebeveiliging in projectmanagement
Referenties ISO 27002 Controle 5.8
Naast het dagelijks genereren van terugkerende inkomsten moet de privacybescherming zich ook uitstrekken tot de projectimplementatie en -beheeractiviteiten.
Projecten omvatten vaak de migratie, creatie en wijziging van grote hoeveelheden PII, en als zodanig moet er voldoende aandacht aan worden besteed, zodat organisaties kunnen blijven voldoen aan lokale en nationale privacygerelateerde wetten en regelgevingsrichtlijnen.
Een “project” kan elke activiteit zijn die een standaard manier van werken verandert, of nieuwe processen en/of apparatuur en toepassingen introduceert in een organisatie.
Projectmanagementactiviteiten moeten ervoor zorgen dat:
- Risico's en eisen op het gebied van privacybescherming worden al vroeg in het project in overweging genomen en blijven gedurende de gehele levenscyclus van het project gehandhaafd (zie ISO 27002, artikelen 5.32 en 8.26).
- De privacybescherming wordt voortdurend gemonitord en er wordt actie op ondernomen – door middel van formele evaluaties door geschikte personen of bestuursorganen, en gestructureerde tests.
- Alle rollen gerelateerd aan projectspecifieke privacybescherming zijn duidelijk gedefinieerd.
- Alle producten of diensten die als onderdeel van het project worden geleverd, moeten worden gecreëerd in overeenstemming met de gepubliceerde privacynormen van de organisatie.
- De privacybescherming wordt versterkt door middel van methoden als dreigingsmodellering, incidentbeoordelingen, kwetsbaarheidsdrempels en noodplanning.
Inspanningen op het gebied van privacybescherming mogen niet beperkt blijven tot ICT-projecten. Organisaties moeten een aantal factoren in overweging nemen bij het bepalen van specifieke PII-gerelateerde vereisten, waaronder:
- De unieke informatievariabelen, inclusief om welke specifieke gegevens het gaat, de beveiligingsbehoeften ervan en de gevolgen van een inbreuk of misbruik.
- De waarborgen die moeten worden gezocht op het gebied van vertrouwelijkheid, integriteit en beschikbaarheid.
- Het verstrekken van toegangsrechten en autorisatieprotocollen voor intern en extern personeel (inclusief klanten).
- Het stellen van duidelijke verwachtingen die gebruikers informeren over hun verplichtingen.
- De eisen van andere interne veiligheidscontroles.
- Alle systeemgerelateerde acties die nodig zijn vanwege operationele activiteiten (bijvoorbeeld transactieregistratie).
- Het handhaven van de naleving van wettelijke, regelgevende en contractuele vereisten.
- Contractuele verplichtingen van derden die in lijn zijn met de eigen privacynormen van de organisatie.
Relevante ISO 27002-controles
- ISO 27002 5.32
- ISO 27002 8.26
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.3.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
5.2 – Informatiebeveiligingsrollen en verantwoordelijkheden voor ISO 27002 |
Artikelen (27), (37), (38), (39) |
| 6.3.1.2 | Scheiding van taken |
5.3 – Scheiding van taken voor ISO 27002 |
Geen |
| 6.3.1.5 | Informatiebeveiliging in projectmanagement |
5.8 – Informatiebeveiliging in projectmanagement voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
Onze ISMS.online-oplossingen maken het voor organisaties gemakkelijk om projecttoezicht te realiseren, waardoor het beleid en de procedures voor de gegevensbeheerder en de verwerker in overeenstemming zijn met de ISO-norm.
Ons online systeem zorgt er ook voor dat systeemuitvoerders één centrale plek hebben voor referentie en samenwerking.
Met onze Assured Results Method (ARM) kunt u erop vertrouwen dat u alle vakjes aanvinkt die u nodig heeft om aan de norm te voldoen.
Lees meer en krijg een praktische demonstratie door een demo boeken.
