Kellele see komplekt on mõeldud?

See komplekt on mõeldud VKE-dele, kes vajavad tugevaid, kuid lihtsustatud andmekaitse ja privaatsuse poliitikaid, mis on kooskõlas ISO/IEC 27001:2022, GDPR-i, NIS2 ja teiste juhtivate standarditega.

Kas need poliitikad sobivad, kui meil ei ole pühendunud IT-/turvameeskonda?

Jah, kõik poliitikad on VKE-dele kohandatud organisatsioonidele, kus puuduvad pühendunud IT- või turbejuhtimise rollid, võimaldades tegevjuhil võtta peamise järelevalverolli.

Milliseid andmete elutsükli valdkondi see komplekt katab?

Poliitikad käsitlevad kogu teabe elutsüklit, sh andmete klassifitseerimist, märgistamist, säilitamist, turvalist kõrvaldamist, maskeerimist, andmekaitset, tarnija turvet ja vastavusauditeid.

Kas komplekt sisaldab nõudeid tarnijahalduseks?

Jah, kolmanda osapoole ja tarnija turbepoliitika nõuab kõigi tarnijate puhul hindamist, lepinguklausleid, juurdepääsukontrolli, seiret, erandite haldust ja turvalist lahkumisprotsessi.

Minikomplekt: andmekaitse ja privaatsus

Ülevaade

See VKE-dele suunatud komplekt sisaldab kuut omavahel seotud poliitikat, mis katavad andmete klassifitseerimise, säilitamise, maskeerimise, andmekaitse, kolmandate osapoolte turbe ja vastavuse pideva seire, kooskõlas ISO/IEC 27001:2022 ja GDPR-iga, ning rollid on kohandatud organisatsioonidele, kus puudub pühendunud IT-/turvapersonal.

Integreeritud andmekaitse

Ühtsed poliitikad andmete klassifitseerimiseks, säilitamiseks, andmekaitseks ja tarnija turbeks tagavad VKE-dele tugeva andmekaitse.

27001:2022 VKE vastavus

VKE-dele kohandatud lihtsustatud rollidega poliitikad on kooskõlas ISO/IEC 27001:2022 ja GDPR-i nõuetega.

Otsast lõpuni andmete elutsükli kontrollimeetmed

Kontrollimeetmed katavad klassifitseerimise, märgistamise, säilitamise, anonümiseerimise ja auditi kõigis vormingutes ja süsteemides.

Jõustatud kolmandate osapoolte turve

Tarnija- ja tarnijahalduse nõuded kaitsevad teie andmeid väliste riskide eest ja tagavad lepingulise vastavuse.

Auditiks ja kontrolliks valmis

Sisaldab korduvkasutatavaid kontrollnimekirju ja auditinõudeid operatiivseks kontrolliks ja välisteks sertifitseerimisteks.

Loe täielikku ülevaadet

„Minikomplekt: andmekaitse ja privaatsus – VKE“ on kuuest tihedalt integreeritud poliitikast koosnev terviklik komplekt, mis on loodud väikestele ja keskmise suurusega ettevõtetele, et täita kriitilisi andmekaitse, privaatsuse ja vastavuse nõudeid. Kõik selle komplekti poliitikad on selgelt VKE-dele kohandatud (mida näitab poliitika numeratsioonis „S“ ning tegevjuhi kasutamine peamise volituste ja aruandekohustuse rollina), arvestades piiratud personalressursse või suurte, pühendunud IT-, turbe- või vastavustalituste puudumist. Nendest struktuursetest piirangutest hoolimata on poliitikad koostatud nii, et need vastaksid ISO/IEC 27001:2022, ISO/IEC 27002:2022, EL GDPR-i, EL NIS2 direktiivi, EL DORA määruse, NIST SP 800-53 Rev.5 ja COBIT 2019 rangetele nõuetele. See komplekt tagab otsast lõpuni katvuse kogu andmete elutsüklile. Andmete klassifitseerimise ja märgistamise poliitika (P13S) kehtestab VKE-dele sobiva, jõustatava kolmetasemelise klassifitseerimismudeli, sh märgistamisnõuded ja tehnilised kontrollimeetmed. See määratleb selged rollid tegevjuhile, andmehalduritele, IT-toele (sisemine/sisseostetud) ning kogu personalile, rõhutades praktilist nähtavust (päised, vesimärgid, sildid) ja vastavuskohustusi. Sellega tihedalt seotud andmete säilitamise ja kõrvaldamise poliitika (P14S) nõuab õigus- ja äripõhiseid säilitustähtaegu koos keskse säilitamise registriga, selgesõnalisi turvalise kõrvaldamise tehnikaid (purustamine, digitaalne pühkimine, krüptograafiline kustutamine) ning erandite ja õigusliku säilitamiskohustuse ranget dokumenteerimist, kusjuures poliitika järelevalve on teostatav ka väikestes organisatsioonides. Andmete minimeerimiseks ja töötlemiseks väljaspool tootmiskeskkonda nõuab andmete maskeerimise ja pseudonümiseerimise poliitika (P16S), et päris isikuandmeid või tundlikke andmeid ei kasutataks kunagi, kui see ei ole rangelt vajalik, näiteks testimisel või analüütilisel kasutusel, jõustades teisenduskontrollid (maskeerimine, tokeniseerimine, pseudonümiseerimine). Kõik teisendusprotsessid peavad olema auditeeritavad, kasutades ainult IT poolt heakskiidetud tööriistu koos logide ja võtmehaldusega, tagades jälgitavuse kuni üksikute andmekogumite ja sündmusteni. Komplekti keskmes olev andmekaitse ja privaatsuse poliitika (P17S) koondab kõik isikuandmetega seotud õiguslikud kohustused, hõlmates töötajate, klientide ja kolmandate osapoolte kirjeid. See jõustab lõimitud turvalisuse ja vaikimisi privaatsuse, seadusliku kogumise ja minimeerimise, turvalise säilitamise, selge juurdepääsuõiguste ülevaatamise ning andmesubjekti õiguste käsitlemise. Vastutused on selgelt jaotatud tegevjuhi (DPO/andmekaitse eest vastutav), privaatsuskoordinaatori (sisemine/sisseostetud), IT-teenuseosutaja ja kogu operatiivpersonali vahel. Integreeritud on koolitus, nõusolek, eskaleerimine ja andmerikkumisest teavitamine ning kooskõlakontrollid seotud klassifitseerimise, säilitamise, maskeerimise ja intsidentide käsitlemise poliitikatega. Väliste riskide juhtimiseks kehtestab kolmanda osapoole ja tarnija turbepoliitika (P26S) kohustuslikud nõuded tarnijate hindamiseks, riskianalüüsiks, juurdepääsu piiramiseks, lepinguklausliteks (sh rikkumistest teavitamise SLA ja auditeerimisõigused) ning pidevaks järelevalveks. See käsitleb kõiki tüüpilisi VKE kolmanda osapoole stsenaariume (IT, SaaS, äriprotsessid jne), nõudes tarnijate lepingutingimuste aktsepteerimist, regulaarseid ülevaatusi ning turvalist lahkumisprotsessi või andmete hävitamist pärast lepingu lõppemist. Lõpuks lihtsustab auditi ja vastavuse pideva seire poliitika (P33S) siseauditite, turvakontrollide kontrollide ja regulatiivse läbivaatamise protsessi. Spetsialistaudiitoriteta kasutamiseks looduna võimaldab see tegevjuhil ja IT-teenuseosutajal kasutada kontrollnimekirju ning pidada tõendilogisid, et tagada operatiivne auditivalmidus ISO/IEC 27001 sertifitseerimiseks või kliendi/tarnija hoolsuskontrolliks. Auditijäljed, parandusmeetmete dokumentatsioon ja vastavustõendus peavad olema tsentraliseeritud ja kättesaadavad vähemalt kaks aastat, toetades kaitstavat juhtimist ka VKE-de puhul, kus vastavusressursid on minimaalsed. Koos muudab see minikomplekt juhtivad standardid ja privaatsusseadused rakendatavateks, äripraktikaks sobivateks kontrollimeetmeteks, pakkudes tugevat, auditivalmis andmekaitse ja privaatsuse raamistikku, mida VKE-del on lihtne rakendada ja hallata.

Sisu

Andmete klassifitseerimise ja märgistamise nõuded

Säilitamise ja turvalise kõrvaldamise reeglid

Andmete maskeerimine ja pseudonümiseerimine

Terviklik andmekaitse ja privaatsus

Tarnija turve ja lepinguklauslid

Siseaudit ja vastavuse pidev seire

Raamistiku vastavus

Raamistik	Kaetud klauslid / Kontrollid
ISO/IEC 27001:2022	5.1 5.3 6.1.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12
NIST SP 800-53 Rev.5	AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12
EU GDPR	Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34
EU NIS2	Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)
EU DORA	Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)
COBIT 2019	APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Raamistik

Kaetud klauslid / Kontrollid

ISO/IEC 27001:2022

5.1 5.3 6.1.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12

NIST SP 800-53 Rev.5

AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12

EU GDPR

Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34

EU NIS2

Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)

EU DORA

Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)

COBIT 2019

APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Seotud poliitikad

Andmete klassifitseerimise ja märgistamise poliitika – VKE

See poliitika määratleb, kuidas kogu organisatsiooni poolt käideldav teave tuleb klassifitseerida ja märgistada, et säilitada selle konfidentsiaalsus, terviklus ja käideldavus kogu elutsükli vältel.

Andmete säilitamise ja kõrvaldamise poliitika – VKE

Selle poliitika eesmärk on määratleda jõustatavad reeglid teabe säilitamiseks ja turvaliseks kõrvaldamiseks VKE keskkonnas.

Andmete maskeerimise ja pseudonümiseerimise poliitika – VKE

See poliitika määratleb jõustatavad nõuded andmete maskeerimise ja pseudonümiseerimise kasutamiseks, et kaitsta tundlikke isikuandmeid ja konfidentsiaalseid andmeid väikestes ja keskmise suurusega ettevõtetes (VKE-d).

Andmekaitse ja privaatsuse poliitika – VKE

See poliitika määratleb, kuidas organisatsioon kaitseb isikuandmeid kooskõlas õiguslike kohustuste, regulatiivsete raamistike ja rahvusvaheliste turvastandarditega.

Kolmanda osapoole ja tarnija turbepoliitika – VKE

See poliitika kehtestab kohustuslikud turbenõuded kolmandate osapoolte ja tarnijatega suhete alustamiseks, haldamiseks ja lõpetamiseks, kui nad pääsevad ligi või mõjutavad organisatsiooni andmeid, süsteeme või teenuseid.

Auditi ja vastavuse pideva seire poliitika – VKE

See poliitika kehtestab organisatsiooni lähenemise siseauditite, turvakontrollide kontrollide ja regulatiivse vastavuse seire teostamiseks.

Claryseci poliitikate kohta - Minikomplekt: andmekaitse ja privaatsus – VKE

Üldised turbepoliitikad on sageli loodud suurkorporatsioonidele, jättes väikeettevõtted hätta keerukate reeglite ja määratlemata rollidega. See poliitika on teistsugune. Meie VKE poliitikad on algusest peale loodud praktiliseks rakendamiseks organisatsioonides, kus puuduvad pühendunud turvameeskonnad. Me määrame vastutused rollidele, mis teil tegelikult olemas on, nagu tegevjuht ja teie IT-teenuseosutaja, mitte spetsialistide armeele, mida teil ei ole. Iga nõue on jaotatud unikaalselt nummerdatud sätteks (nt 5.2.1, 5.2.2). See muudab poliitika selgeks samm-sammuliseks kontrollnimekirjaks, mida on lihtne rakendada, auditeerida ja kohandada ilma tervete jaotiste ümberkirjutamiseta.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

IT Turvalisus Vastavus Andmekaitse Õigus Hange

🏷️ Temaatiline katvus

andmete klassifitseerimine andmekäitlus andmekaitse andmesubjekti õigused kolmandate osapoolte riskijuhtimine tarnijahalduse poliitikate elutsükli haldus vastavuse juhtimine õigusnormidele vastavus

Minikomplekt: andmekaitse ja privaatsus – VKE