ISO 27701 Clausule 6.5.2: De sleutel tot effectieve informatieclassificatie
De wereld van de mondiale handel is gevuld met allerlei soorten informatie – van alledaagse, openbaar beschikbare datasets tot zeer gevoelige PII-records die financiële informatie en kopieën van identiteitsbewijzen van de overheid bevatten.
Organisaties moeten een goed inzicht hebben in de verschillende categorieën gegevens die zij opslaan, verwerken en overdragen, en hun werking aanpassen aan de informatie op basis van het doel en het risicotype ervan.
Zodra de organisatie onderscheid kan maken tussen verschillende gegevenstypen – vooral in het geval van PII – moet zij in staat zijn dergelijke informatie duidelijk te labelen op een manier die verschillende categorieën van elkaar onderscheidt, en rekening houden met verschillende risiconiveaus in de manier waarop privacy wordt beschermd. -gerelateerde activa zijn processen die door de hele organisatie worden afgehandeld.
Wat wordt er behandeld in ISO 27701, clausule 6.5.2
ISO 27701 Clausule 6.5.2 bevat drie subclausules die alles bevatten wat een organisatie moet weten over het classificeren, labelen en omgaan met PII.
Alle drie de subclausules bevatten informatie verkregen uit ISO 27002, maar met een specifieke focus op PII en privacybescherming:
- ISO 27701 6.5.2.1 – Classificatie van informatie (Referenties ISO 27002 Controle 5.12)
- ISO 27701 6.5.2.2 – Etikettering van informatie (Referenties ISO 27002 Controle 5.13)
- ISO 27701 6.5.2.3 – Behandeling van activa (referenties ISO 27002 Controle 5.10)
Subclausules 6.5.2.1 en 6.5.2.2 bevatten beide richtlijnen die relevant zijn voor de Britse AVG-wetgeving, en de relevante artikelen zijn voor uw gemak opgesomd.
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
ISO 27701 Clausule 6.5.2.1 – Classificatie van informatie
Referenties ISO 27002 Controle 5.12
In plaats van alle informatie op gelijke voet te plaatsen, moeten organisaties informatie op een onderwerpspecifieke basis classificeren.
Informatie-eigenaren moeten bij het classificeren van gegevens (vooral met betrekking tot PII) rekening houden met vier sleutelfactoren, die periodiek moeten worden beoordeeld, of wanneer dergelijke factoren veranderen:
- Ocuco's Medewerkers vertrouwelijkheid van de gegevens.
- Ocuco's Medewerkers integriteit van de gegevens.
- Data beschikbaarheid levels.
- Die van de organisatie wettelijke verplichtingen richting PII.
Om een duidelijk operationeel raamwerk te bieden, moeten informatiecategorieën worden benoemd in overeenstemming met het inherente risiconiveau, mochten zich incidenten voordoen die een van de bovengenoemde factoren in gevaar brengen.
Om platformonafhankelijke compatibiliteit te garanderen, moeten organisaties hun informatiecategorieën beschikbaar stellen aan al het externe personeel met wie zij informatie delen, en ervoor zorgen dat het eigen classificatieschema van de organisatie breed wordt begrepen door alle relevante partijen.
Organisaties moeten op hun hoede zijn voor het onderclassificeren of, omgekeerd, voor het overclassificeren van gegevens. Het eerste kan leiden tot fouten bij het groeperen van PII met minder gevoelige gegevenstypen, terwijl het eerste vaak leidt tot extra kosten, een grotere kans op menselijke fouten en verwerkingsafwijkingen.
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f), (32)(2)
ISO 27701 Clausule 6.5.2.2 – Etikettering van informatie
Referenties ISO 27002 Controle 5.13
Labels zijn een belangrijk onderdeel om ervoor te zorgen dat het PII-classificatiebeleid van de organisatie (zie hierboven) wordt nageleefd en dat gegevens duidelijk kunnen worden geïdentificeerd in overeenstemming met de gevoeligheid ervan (bijvoorbeeld dat PII wordt gelabeld als verschillend van minder vertrouwelijke gegevenstypen).
PII-etiketteringsprocedures moeten het volgende definiëren:
- Elk scenario waarin etikettering niet vereist is (openbaar beschikbare gegevens).
- Instructies over hoe het personeel beide moet labelen digitaal en Fysiek activa en opslaglocaties.
- Noodplannen voor elk scenario waarin labelen fysiek niet mogelijk is.
ISO biedt organisaties volop mogelijkheden om hun eigen etiketteringstechnieken te kiezen, waaronder:
- fysiek etikettering.
- elektronisch labels in kop- en voetteksten.
- De toevoeging of wijziging van metadata, inclusief doorzoekbare termen en interactieve functionaliteit met andere informatiebeheerplatforms (bijvoorbeeld het PIMS van de organisatie).
- watermerken dat een duidelijke indicatie geeft van de gegevensclassificatie per document.
- Uitstansen markeringen op fysieke kopieën van informatie.
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
Compliance hoeft niet ingewikkeld te zijn.
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
ISO 27701 Clausule 6.5.2.3 – Behandeling van activa
Referenties ISO 27002 Controle 5.10
Organisaties moeten een reeks onderwerpspecifieke beleidsmaatregelen voor acceptabel gebruik ontwikkelen, die de omgang met PII-gerelateerde activa en informatie dekken.
Elke groep of individu – zowel intern als extern – die de mogelijkheid heeft om PII te verwerken namens de organisatie, of als onderdeel van een overeenkomst voor het delen van informatie, moet begrijpen wat hun verantwoordelijkheden zijn en wat er van hen wordt verwacht.
Themaspecifiek beleid moet duidelijk definiëren:
- Aanvaardbaar en onaanvaardbaar gedrag, in het kader van privacybescherming.
- Hoe en waar PII mag worden gebruikt.
- De details van de PII-monitoringoperatie van de organisatie.
Er moeten processen en procedures worden geïmplementeerd die rekening houden met:
- RBAC-vereisten (of elke vorm van digitale en/of fysieke toegangscontrole) die de toegang tot PII beschermt.
- Een grondige registratie van wie toegang heeft tot PII en privacygerelateerde activa en informatie.
- Hoe u zowel tijdelijke als permanente kopieën van privacygerelateerde informatie kunt beschermen.
- Richtlijnen van fabrikanten bij het opslaan van privacygerelateerde bedrijfsmiddelen (zie ISO 27002 7.8).
- Hoe opslagmedia worden gemarkeerd ter attentie van de ontvanger (zie ISO 27002 7.10).
- Hoe PII en privacygerelateerde middelen moeten worden verwijderd of permanent vernietigd (zie ISO 27002 8.10).
Relevante ISO 27002-controles
- ISO 27002 7.8
- ISO 27002 7.10
- ISO 27002 8.10
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.5.2.1 | Classificatie van informatie |
5.12 – Classificatie van informatie voor ISO 27002 | Artikelen (5), (32) |
| 6.5.2.2 | Etikettering van informatie |
5.13 – Etikettering van informatie voor ISO 27002 | Artikel (5) |
| 6.5.2.3 | Behandeling van activa |
5.10 – Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen voor ISO 27002 | Geen |
Hoe ISMS.online helpt
Het ISMS.online-platform heeft ingebouwde begeleiding in elke fase, naast onze 'Adopt, Adapt, Add'-implementatieaanpak, om u te helpen ISO 27701 met minder moeite te bereiken.
Bovendien profiteert u van een verscheidenheid aan tijdbesparende functies.
Meer informatie via een demo boeken.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
