ISO 27701 Clausule 6.5: Privacy versterken door middel van vermogensbeheer
Vermogensbeheer is een belangrijk onderdeel van het handhaven van de privacybescherming, op fysiek en digitaal niveau.
Organisaties moeten een kristalheldere registratie bijhouden van alle relevante activa, om een top-down beeld te krijgen van hoe PII- en privacygerelateerde gegevens door de organisatie stromen.
Personeel dat middelen binnen de ICT van een organisatie gebruikt die PII kunnen opslaan of verwerken, moet expliciet op de hoogte worden gesteld van wat er van hen wordt verwacht in termen van acceptabel gebruik en hoe dergelijke informatie wordt beheerd tijdens een off-boarding-periode.
Wat wordt er behandeld in ISO 27701, clausule 6.5
ISO 27701 6.5 bevat vier subclausules die specifiek ingaan op privacybescherming, binnen de context van asset management.
Elke subclausule is gebaseerd op de daarin opgenomen richtlijnen binnen verschillende subclausules van ISO 27002, met twee subclausules die exact dezelfde richtlijnen bevatten:
- ISO 27701 6.5.1.1 – Inventarisatie van activa (referenties ISO 27002 Controle 5.9).
- ISO 27701 6.5.1.2 – Eigendom van activa (referenties ISO 27002 Controle 5.9).
- ISO 27701 6.5.1.3 – Aanvaardbaar gebruik van middelen (referenties ISO 27002 Controle 5.10).
- ISO 27701 6.5.1.4 – Teruggave van activa (referenties ISO 27002 Controle 5.11).
ISO biedt geen aanvullende richtlijnen voor PIMS-gerelateerde activiteiten in het kader van vermogensbeheer, en er zijn ook geen gevolgen voor de AVG waarmee rekening moet worden gehouden.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.5.1.1 – Inventaris van activa
Referenties ISO 27002 Controle 5.9
Categoriseren van voorraden
Om de privacybescherming te vergroten, moeten organisaties een nauwkeurige, actuele en gedocumenteerde lijst met informatie en bedrijfsmiddelen bijhouden, inclusief de mogelijkheid om naar inventarissen in de hele organisatie te verwijzen.
Er zijn verschillende manieren waarop organisaties hun voorraadbeheer kunnen verbeteren, waaronder:
- Het regelmatig toetsen van de inhoud van een inventarisatie aan de hand van wat de organisatie feitelijk in bezit heeft.
- Telkens wanneer een asset door de organisatie wordt gewijzigd, geïntroduceerd of verwijderd, worden er procedures geïmplementeerd die de inventaris automatisch bijwerken als onderdeel van het veranderingsproces.
- Ervoor zorgen dat inventarissen een 'locatie'-veld bevatten, zodat de locatie van elk actief gemakkelijk kan worden geïdentificeerd.
Voorraden hoeven niet één grote lijst te zijn van alle fysieke en digitale activa die worden bewaard. In plaats daarvan moedigt ISO organisaties aan om inventarissen per categorie te scheiden, inclusief afzonderlijke inventarissen voor:
- Informatiemiddelen.
- Hardware en software.
- Virtuele machines (VM's).
- Facilitaire apparatuur.
- Personeelsdossiers.
Het is belangrijk op te merken dat – in het geval van bepaalde assets – niet alle informatie regelmatig kan worden onderhouden, en dat het niet nodig is om elk laatste asset in de gehele fysieke en digitale holdings van de organisatie op te nemen – bijvoorbeeld kortstondige VM’s die korte tijd een enkel doel dienen, voordat ze worden verwijderd.
Eigendom
Alle gecategoriseerde activa moeten een officiële 'eigenaar' krijgen – of dat nu een individu of een groep is (zie ISO 27002 5.12 en 5.13) – die moet veranderen wanneer functies beginnen, eindigen of worden gewijzigd.
Eigenaars van activa moeten ervoor zorgen dat:
- Alle activa worden correct geregistreerd en geclassificeerd in een inventaris.
- Classificaties zijn onderworpen aan periodieke evaluatie.
- Alle technologiecomponenten worden dienovereenkomstig vermeld, en afzonderlijk van fysieke activa (bijvoorbeeld DB-componenten).
- De organisatie houdt zich aan een beleid voor acceptabel gebruik (zie ISO 27002 controle 5.10).
- Er worden beperkingen gesteld aan de verduidelijking van bepaalde activa, en deze worden op gepaste momenten herzien.
- Wanneer de organisatie gegevens uit haar inventaris moet verwijderen of verwijderen, worden dergelijke gegevens veilig verwijderd.
- Risicobeheer staat centraal bij alle activiteiten op het gebied van asset handling.
- Zij bieden adequate ondersteuning aan al het personeel dat zich bezighoudt met privacybescherming en informatiebeheer.
Relevante ISO 27002-controles
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
ISO 27701 Clausule 6.5.1.2 – Eigendom van activa
Referenties ISO 27002 Controle 5.9
Zie ISO 27701 clausule 6.5.1.1
ISO 27701 Clausule 6.5.1.3 – Aanvaardbaar gebruik van activa
Referenties ISO 27002 Controle 5.10
Al het personeel binnen de organisatie dat met informatie of fysieke en digitale middelen omgaat, moet expliciet bewust worden gemaakt van hun verantwoordelijkheden op het gebied van privacybescherming, inclusief eventuele algemene of onderwerpspecifieke beveiligingsvereisten.
Beleid voor acceptabel gebruik moet duidelijk het volgende uiteenzetten:
- Hoe de organisatie acceptabel en onaanvaardbaar gedrag classificeert, binnen de reikwijdte van privacybescherming.
- Hoe informatie (met name PII) via het netwerk mag worden gebruikt.
- Hoe de organisatie het gebruik van middelen wil monitoren.
Er moeten procedures worden geïmplementeerd die rekening houden met de volledige levenscyclus van PII, waaronder:
- Toegangsbeperkingen die relevant zijn voor PII.
- Een duidelijk en actueel overzicht van wie toegang heeft tot PII-gegevens en gerelateerde activa, en onder welke omstandigheden.
- Voldoende beveiligings- en opslagniveaus voor PII-gegevens, inclusief tijdelijke kopieën.
- Rekening houden met de aanbevelingen van de fabrikant bij het opslaan van activa die verband houden met privacybescherming (zie ISO 27002 7.8).
- Alle opslagmedia duidelijk voorzien van een etiket met de gegevens van de geautoriseerde gebruiker/ontvanger (zie ISO 27002 7.10).
- Hoe PII-gegevens en bijbehorende activa uit het netwerk worden verwijderd en/of verwijderd en verwijderd.
Relevante ISO 27002-controles
- ISO 27002 7.8
- ISO 27002 7.10
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.5.1.4 – Teruggave van activa
Referenties ISO 27002 Controle 5.11
Procedures voor activabeheer moeten ook expliciete richtlijnen bevatten over hoe de organisatie de teruggave beheert van activa die betrokken zijn geweest bij de verwerking of opslag van PII en andere privacygerelateerde informatie.
Of het personeel nu hun eigen apparaten heeft gebruikt of een bedrijfsmiddel heeft toegewezen gekregen, er moeten processen worden ingevoerd die PII beschermen door de gegevens uit het betreffende bedrijfsmiddel te verwijderen en informatie terug te sturen naar de organisatie.
Als voor personeel een opzegtermijn geldt, moeten organisaties stappen ondernemen om ervoor te zorgen dat PII op geen enkele manier in gevaar wordt gebracht door de medewerker die de dienst verlaat, inclusief ongeoorloofd delen, overdragen of verwijderen.
Organisaties moeten workflows ontwikkelen die de teruggave bestrijken van alle activa die betrokken zijn bij het verwerken of opslaan van PII, inclusief (maar niet beperkt tot):
- Apparaten (laptops, mobiele telefoons, tablets enz.).
- USB-schijven.
- Authenticatietools en hardware (VPN-validatiemiddelen en tokens, deur-/gebouwtoegangsapparatuur.
- Gedrukte kopieën van PII.
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.5.1.1 | Inventarisatie van activa |
5.9 – Inventarisatie van informatie en andere bijbehorende activa voor ISO 27002 |
Geen |
| 6.5.1.2 | Eigendom van activa |
5.9 – Inventarisatie van informatie en andere bijbehorende activa voor ISO 27002 |
Geen |
| 6.5.1.3 | Aanvaardbaar gebruik van activa |
5.10 – Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen voor ISO 27002 |
Geen |
| 6.5.1.4 | Teruggave van activa |
5.11 – Teruggave van activa voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
Hoe helpen we?
Door een PIMS toe te voegen aan uw ISMS op het ISMS.online-platform blijft uw beveiligingspositie op één plek en vermijdt u duplicatie waar de standaarden elkaar overlappen.
Omdat uw PIMS direct toegankelijk is voor geïnteresseerde partijen, is het nog nooit zo eenvoudig geweest om met één klik op de knop te monitoren, rapporteren en auditen op basis van zowel ISO 27002 als ISO 27701.
Ontdek hoeveel tijd en geld u bespaart op uw reis naar een gecombineerde ISO 27002- en 27701-certificering met behulp van ISMS.online.
Meer informatie via het boeken van een hands-on demo.
