ISO 27701 Clausule 6.9.7: Versterking van audits van informatiesystemen
Auditing omvat meestal het verzamelen van grote hoeveelheden informatie over een bepaald systeem, inclusief gebruikersacties, klantgegevens en kritieke gebeurtenissen.
Het auditproces zelf kan een risico vormen voor PII en privacybescherming, aangezien dergelijke activiteiten de potentie hebben om de beschikbaarheid van gegevens te beïnvloeden en soms gespecialiseerde methoden vereisen om gevoelige datasets te ondervragen.
Wat wordt er behandeld in ISO 27701, clausule 6.9.7
ISO 27701 6.9.7 bevat één subclausule met betrekking tot ICT-audit en de bijbehorende privacyrisico’s – ISO 6.9.7.1 – die richtlijnen bevat van ISO 27002 Controle 8.34.
ISO biedt geen aanvullende PIMS- of PII-gerelateerde richtlijnen, en er zijn er ook geen in het Verenigd Koninkrijk GDPR overwegingen om in gedachten te houden.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.9.7.1 – Auditcontroles van informatiesystemen
Referenties ISO 27002 Controle 8.34
Bij het uitvoeren van periodieke audits (en andere netwerkborgingsactiviteiten) moeten plannen worden opgesteld om ervoor te zorgen dat de integriteit en beschikbaarheid van PII en privacygerelateerde activa te allen tijde worden beschermd.
Om dit te bereiken moeten organisaties:
- Zorg ervoor dat de toegang tot systemen op de juiste manier wordt beheerd, voor auditdoeleinden.
- Geef duidelijk aan wat de reikwijdte van de auditactiviteiten is, voordat deze worden geïmplementeerd.
- Beperk waar mogelijk de toegang tot gevoelige gegevens tot alleen-lezen-rechten. Als verhoogde machtigingen vereist zijn, moeten organisaties overwegen om audittaken te delegeren aan een 'ervaren beheerder'.
- Onderzoek de beveiligingsconfiguratie van de apparaten die worden gebruikt om de audit uit te voeren.
- Werk volgens een overeengekomen procedure voor het aanvragen van gespecialiseerde audittools.
- Voer waar mogelijk alle auditactiviteiten buiten kantooruren uit, waar dergelijke activiteiten mogelijk van invloed kunnen zijn op de beschikbaarheid van het systeem.
- Houd een grondig logboek bij van alle auditactiviteiten (inclusief verzoeken) voor nalevingsdoeleinden.
- Houd rekening met de gevolgen voor de privacy van audits van test- en ontwikkelingsfaciliteiten en -omgevingen.
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.9.7.1 | Auditcontroles van informatiesystemen | 8.34 – Bescherming van informatiesystemen tijdens audittests voor ISO 27002 | Geen |
Hoe ISMS.online helpt
Ons PIMS voldoet aan de internationale standaard ISO 27001, maar kan ook een groeiend aantal nationale, regionale en sectorspecifieke privacystandaarden, -kaders en -regelgevingen huisvesten.
- GDPR
- POPIA
- BS 10012
- Australische privacyprincipes
- NIST-privacyframework
- OESO-privacyrichtlijnen
- APEC-privacykader
- En nog veel meer
Met ons intuïtieve platform kunt u uw werk over meerdere raamwerken verdelen, waardoor duplicatie en herhaling wordt geëlimineerd.
Meer informatie via een demo boeken.
