LISD Ledningssystem för informa4onssäkerhet och dataskydd

Full text

(1)

LISD – Ledningssystem för informa4onssäkerhet och dataskydd

SS ISO/IEC 27701:2019

Tillägg 4ll ISO/IEC 27001 och 27002 för hantering av personuppgiHer – Krav och Vägledning

Rose-Mharie Åhlfeldt

(2)

LISD – Ledningssystem för

informa4onssäkerhet och dataskydd

Skyddet för den personliga integriteten vid behandling av

personuppgi;er är e=

samhällsbehov.

Det är också frågor som adresseras i särskilda lagar och/eller regler

över hela världen.

Det ledningssystem för informaDonssäkerhet (LIS) som

definieras i ISO/IEC 27001 är uQormat för a= göra det

möjligt a= lägga Dll sektorsspecifika krav utan a= behöva utveckla e=

ny= ledningssystem

ISO-standarder för ledningssystem, inklusive sektorsspecifika sådana, är

uQormade för a= kunna Dllämpas anDngen var för sig eller i form av e= kombinerat ledningssystem.

(3)

SS-ISO/IEC 27701s struktur

27001

27001

27701 27701

Krav Vägledning

(4)

Placering av LISD-specifika krav och övrig

informa4on för 4llämpning av kraven i ISO/IEC 27001:2013

Avsni- i

ISO/IEC 27001:2013 Titel Underavsni- I 27701 Kommentar

4 OrganisaDonens

förutsä=ningar 5.2 Y=erligare krav

5 Ledarskap 5.3 Inga y=erligare krav

6 Planering 5.4 Y=erligare krav

7 Stöd 5.5 Inga y=erligare krav

8 Verksamhet 5.6 Inga y=erligare krav

9 Utvärdering av prestanda 5.7 Inga y=erligare krav

10 Förbä=ring 5.8 Inga y=erligare krav

(5)

Placering av LISD-specifik vägledning och övrig

informa4on för 4llämpning avsäkerhetsåtgärder i ISO/IEC 27002:2013

Avsni- i

ISO/IEC 27002:2013 Titel Underavsni- i 27701 Kommentar

12 Dri;säkerhet 6.9 Y=erligare vägledning

13 KommunikaDonssäkerhet 6.10 Y=erligare vägledning

14 Anskaffning, utveckling och

underhåll av system 6.11 Y=erligare vägledning

15 LeverantörsrelaDoner 6.12 Y=erligare vägledning

16 Hantering av informaDons-

säkerhetsincidenter 6.13 Y=erligare vägledning

17 InformaDonssäkerhetsaspekter

avseende hantering av verksamhetens konDnuitet

6.14 Y=erligare vägledning

18 E;erlevnad 6.15 Y=erligare vägledning

(6)

Adderade eller förtydligade krav

•  Generellt

•  Kraven ISO/IEC 27001:2013 som omnämner "informaDonssäkerhet" ska

utvidgas Dll skyddet för den personliga integriteten som potenDellt påverkas av behandlingen av personuppgi;er.

•  Dvs. I prakDken gäller a= där "informaDonssäkerhet" används i ISO/IEC

27001:2013 "informaDonssäkerhet och dataskydd" istället

(7)

Adderade eller förtydligade krav

•  Kap 4

•  Förtydliganden och Dlläggskrav Dll:

•  A= förstå organisaDonen och dess förutsä=ningar

•  A= förstå intressenters behov och förväntningar

•  A= bestämma ledningssystemets omfa=ning

•  Ledningssystem för informaDonssäkerhet

(8)

Adderade eller förtydligade krav

•  Kap 6

•  Adderade krav Dll 27001:

•  6.1.2 c) och 6.1.2 d) förtydligad så a= riskanalys och riskhantering även ska inkludera aspekter av personlig integritet.

•  6.1.3 c) och 6.1.3 d) förtydligade så a= hänsyn även skall tas för Annex A och B i ISO/IEC

27701 vid riskhantering och i SoA

(9)

Placering av LISD-specifik vägledning och övrig

informa4on för 4llämpning av säkerhetsåtgärder i ISO/IEC 27002:2013

Avsni- i

ISO/IEC 27002:2013 Titel Underavsni- i 27701 Kommentar

5 InformaDonssäkerhetspolicy 6.2 Y=erligare vägledning

6 OrganisaDon av

informaDonssäkerhetsarbetet 6.3 Y=erligare vägledning

7 Personalsäkerhet 6.4 Y=erligare vägledning

8 Hantering av Dllgångar 6.5 Y=erligare vägledning

9 Styrning av åtkomst 6.6 Y=erligare vägledning

10 Kryptering 6.7 Y=erligare vägledning

11 Fysisk och miljörelaterad

säkerhet 6.8 Y=erligare vägledning

(10)

Nya annex och 4llägg 4ll ISO 27002

•  ISOIEC 27701 innehåller två nya normaDva annex.

•  Annex A är tänkt för rollen som personuppgi;sansvarig med 31 säkerhetsåtgärder

•  Annex B för rollen som personuppgi;sbiträde med 18 säkerhetsåtgärder

•  Några av implementaDonsguiderna i ISO/IEC 27002 har få= Dllägg och

implementaDonsanvisningar för de nya kontrollerna i Annex A och B (dessa ses som Dllägg Dll ISO/IEC 27002)

•  Dessutom finns y=erligare 4 informerande bilagor:

•  Annex C med korsreferenser Dll ISO/IEC 29100

•  Annex D med korsreferenser mot arDklar i GDPR

•  Annex E med korsreferenser mot ISO/IEC 27018 och ISO/IEC 29151

•  Annex F med exempel på hur ISO/IEC 27701 ska Dllämpas på ISO/IEC 27001 och ISO/

IEC 27002.

(11)

A.7.2 Villkor för insamling och behandling

•  Mål: A= fastställa och dokumentera a= behandlingen är laglig, med rä=slig grund enligt Dllämpliga jurisdikDoner, och med tydligt definierade och

legiDma ändamål.

•  IdenDfiera och dokumentera ändamål

•  IdenDfiera rä=slig grund

•  Fastställ när och hur samtycke ska inhämtas

•  Inhämta och dokumentera samtycke

•  Bedömning av konsekvenser för den personliga integriteten

•  Avtal med personuppgi;sbiträden

•  Gemensam personuppgi;sansvarig

•  Dokumenterad informaDon relaterad Dll behandling av personuppgi;er.

(12)

A.7.3 Förpliktelser gentemot de registrerade

•  Mål: A= säkerställa a= de registrerade förses med lämplig informaDon om behandlingen av deras personuppgi;er och a= uppfylla andra eventuella

Dllämpliga förpliktelser gentemot de registrerade i relaDon Dll behandlingen av deras personuppgi;er.

•  Fastställa och uppfylla förpliktelser gentemot de registrerade

•  Fastställa informaDon Dll de registrerade

•  Tillhandahålla informaDon Dll de registrerade

•  Tillhandahålla en mekanism för a= ändra eller återkalla samtycke

•  Tillhandahålla en mekanism för a= invända mot personuppgi; behandling

•  Åtkomst, korrigering och/eller radering

•  Personuppgi;sansvarigas skyldighet a= informera tredje part

•  Tillhandahållla en kopia av behandlade personuppgi;er

•  Hantera begäran från de registrerade

•  AutomaDserat beslutsfa=ande

(13)

A.7.4 Inbyggt dataskydd och dataskydd som norm

•  Mål: A= säkerställa a= processer och system är uQormade så a=

inhämtande och behandling (inklusive användning, utlämnande, bevarande, överföring och destrukDon) begränsas Dll det som är nödvändigt för det idenDfierade ändamålet.

•  Begränsa insamling

•  Begränsa behandling

•  RikDghet och kvalitet

•  Mål för personuppgi;sminimering

•  AvidenDfiering och destrukDon av personuppgi;er vid slutet av behandlingen

•  Tillfälliga filer

•  Bevarande

•  DestrukDon

•  Säkerhetsåtgärder för överföring av personuppgi;er

(14)

A.7.5 Delning, överföring och utlämnande av personuppgiHer

•  Mål: A= fastställa om och dokumentera när personuppgi;er delas,

överförs Dll andra jurisdikDoner eller tredjeparter och/eller utlämnas i enlighet med Dllämpliga förpliktelser.

•  IdenDfiera grunden för personuppgi;söverföring mellan jurisdikDoner

•  Länder och internaDonella organisaDoner som personuppgi;er kan överföras Dll

•  Dokumenterad informaDon vid överföring av personuppgi;er

•  Dokumenterad informaDon om utlämnande av personuppgi;er Dll tredje part

(15)

Införande av LIS(D) – e\ långsik4gt arbete

Källa: ICA, Andersson, Jan-Olov, CISO (2019-11-18)

(16)

Källor

•  SIS presentation av 27701 – Struktur och framtagande – Hans Hedbom, Ordf. SIS/TK318/AG51.

•  SS-ISO/IEC 27701:2019 Säkerhetstekniker – Tillägg Dll ISO/IEC

27001 och ISO/IEC 27002 för hantering av personuppgi;er – Krav

och vägledning

Figur

Updating...

Referenser

Updating...

Relaterade ämnen :