policy ISO 27701 PIMS Policy Pack

Lõimitud ja vaikimisi andmekaitse poliitika

Rakendage lõimitud ja vaikimisi andmekaitset isikut tuvastava teabega seotud projektides, muudatustes, hangetes ja tootmiskeskkonnas kasutuselevõtus koos auditiks valmis REG02, REG04, REG08 ja REG12 tõendusmaterjaliga.

Ülevaade

See poliitika rakendab lõimitud ja vaikimisi andmekaitset isikut tuvastava teabega seotud projektides, muudatustes, hangetes ja tootmiskeskkonnas kasutuselevõtu otsustes. See nõuab eesmärgipõhist andmete minimaalsust, vaikimisi andmekaitse konfiguratsiooni, privaatsusriskide hindamise ja DPIA vajaduse hindamise seost, tarnija disaini tõendusmaterjali ning auditiks sobivaid kirjeid REG02, REG04, REG08 ja REG12 registrites.

Kavandamine enne tootmiskeskkonnas kasutuselevõttu

Nõuab privaatsuse disaini läbivaatamist, andmete minimaalsuse tõendusmaterjali ja vaikeseadeid enne tootmiskeskkonda väljalaskmist või operatiivset kasutuselevõttu.

Auditiks valmis tõendusmaterjal

Seob privaatsuse disaini otsused REG02, REG04, REG08 ja REG12 registritega, et kirjed, puudujäägid, erandid ja tegevused oleksid jälgitavad.

Selge rollivastutus

Määratleb privaatsuse, protsesside, süsteemide, turbe, hanke, auditi ja tippjuhtkonna rollide vastutusalad kõigis disaini kontrollväravates.

Loe täielikku ülevaadet (click to expand)
Lõimitud ja vaikimisi andmekaitse poliitika määratleb, kuidas privaatsusnõuded tuleb PIMS-i kohaldamisalas uutesse ja muudetud isikut tuvastava teabe töötlemistoimingutesse sisse ehitada. Seda kohaldatakse projektidele, toodetele, teenustele, süsteemidele, rakendustele, integratsioonidele, hanketegevustele ja äriprotsesside muudatustele. Poliitika on koostatud vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstide jaoks, sealhulgas olukordades, kus organisatsioon kavandab, konfigureerib, muudab või käitab töötlemist kliendi, vastutava töötleja või ülesvoolu volitatud töötleja nimel dokumenteeritud juhiste alusel. Selle põhieesmärk on tagada, et privaatsusnõuded tuvastatakse, rakendatakse ja tõendatakse enne isikut tuvastava teabe töötlemise alustamist või olulist muutmist. Poliitika rõhutab eelkõige eesmärki, vajalikkust, andmete minimaalsust ja privaatsust kaitsvaid vaikeseadeid. Protsessiomanikud ja äriprotsesside omanikud peavad enne kogumise või impordi disaini heakskiitmist dokumenteerima REG02 ja REG04 registrites minimaalsed isikut tuvastava teabe kategooriad, isikuandmesubjektide kategooriad, allikad ja eesmärgid. Süsteemiomanikud ja rakenduste omanikud peavad seadistama töötlemise vaikeseaded nii, et kogutakse ja töödeldakse ainult dokumenteeritud eesmärgi jaoks vajalikku minimaalset isikut tuvastavat teavet, ning peavad enne tootmiskeskkonnas kasutuselevõttu salvestama tõendusmaterjali REG04-s. Valikulisi isikut tuvastava teabe välju, valikulisi töötlemisvalikuid, vaikimisi väljalülitatud seadeid, vaadete ja aruannete kokkupuute seadeid ning ajutiste failide, vahemälude, logide või vahekeskkonna kirjete käitlemist käsitletakse disainietapi privaatsuskohustustena, mitte tagantjärele tehtavate operatiivsete parandusmeetmetena. Privaatsusriskide hindamise ja DPIA seos on disainiprotsessi sisse ehitatud, asendamata PII07-s määratletud eraldi metoodikat. Andmekaitse eest vastutav isik / PIMS-i juht peab kinnitama, et uue või oluliselt muudetud isikut tuvastava teabe töötlemise disaini heakskiitmise eel on privaatsusriskide hindamine ja DPIA vajaduse hindamine REG04-s kajastatud. Privaatsuse disaini käsitlustegevused, omanikud ja tähtajad tuleb dokumenteerida enne läbivaatamise sulgemist ning rakendamise tõendusmaterjal tuleb koguda enne tootmiskeskkonnas kasutuselevõttu. Suure riskiga või oluliselt muudetud vastutava töötleja poolse töötlemise korral nõuab poliitika ka rakendamisjärgset privaatsuse disaini kontrolli REG04-s 30 kalendripäeva jooksul pärast tootmiskeskkonnas kasutuselevõttu. Kui disainiküsimused puuduvad, on ebatõhusad, tähtaja ületanud või neist on mööda mindud, avatakse REG12-s parandusmeede. Poliitika laiendab lõimitud andmekaitset ka hangetele ja kolmandate osapoolte suhetele. Tarnija- ja hankeomanikud peavad enne hanke heakskiitmist salvestama REG08-s lõimitud andmekaitse nõuded tarnijatele, volitatud töötlejatele, alltöötlejatele, SaaS-teenustele, platvormidele või väliselt majutatud süsteemidele. Kolmandate osapooltega seotud isikut tuvastava teabe vajalikkus, eesmärk ja minimaalsed isikut tuvastava teabe kategooriad tuleb dokumenteerida enne välist töötlemist, andmete jagamist või hanke heakskiitmist. Tarnija tugi vaikimisi andmekaitse seadetele, andmete minimaalsusele ja kliendi konfiguratsioonivajadustele tuleb registreerida enne kaasamist, samas kui lahendamata tarnija privaatsuse disaini puudujäägid eskaleeritakse REG12-sse viie tööpäeva jooksul ja enne lepingu allkirjastamist. Juhtimine, seire, rakendamine ja hooldus määratletakse korduva tõendusmaterjali ja läbivaatamistsüklite kaudu. Andmekaitse eest vastutav isik / PIMS-i juht esitab REG12-s kord kvartalis privaatsuse disaini staatuse kokkuvõtted, arvutab lõpetamise ja tähtaja ületanud tegevuste mõõdikud ning kontrollib enne siseauditit, et disaini tõendusmaterjal oleks koondatud REG02, REG04, REG08 ja REG12 registritesse. Tippjuhtkond vaatab juhtkonna läbivaatamise käigus läbi suure mõjuga erandid, blokeeritud tootmiskeskkonnas kasutuselevõtu otsused ja korduvad leiud. Rakendussätted nõuavad tootmiskeskkonnas kasutuselevõtu takistamist, kui REG04 läbivaatamine on lõpetamata; kaasamise takistamist, kui REG08 tõendusmaterjal puudub; ning uue või muudetud isikut tuvastava teabe töötlemise peatamist kuni REG04 läbivaatamise, REG02 uuenduste ja nõutavate REG12 erandite lõpuleviimiseni.

Poliitika diagramm

Protsessivoo skeem, mis näitab lõimitud andmekaitse samme: projekti või muudatuse päästik, REG04 privaatsuse disaini kanne, REG02 töötlemisseos, andmete minimaalsuse ja vaikeseadete disain, privaatsusriskide hindamine ja DPIA vajaduse hindamine, vajaduse korral tarnijakontrollid REG08-s, tootmiskeskkonnas kasutuselevõtu soovitus, REG12 eskaleerimine erandite või parandusmeetmete jaoks ning seire ja läbivaatamine.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Privaatsusnõuded projekti algatamisel

Eesmärgi, andmete minimaalsuse ja vaikeseadete disaini kontrollimeetmed

Privaatsuse disaini läbivaatamine enne tootmiskeskkonnas kasutuselevõttu

Muudatusest käivitatud privaatsuse disaini läbivaatamine

Hanke lõimitud andmekaitse kontrollid

Privaatsusriski, DPIA vajaduse hindamise ja parandusmeetmete seos

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 6.1.2Clause 6.1.3Clause 6.3Clause 8.1Clause 7.5Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.6Annex A.1.2.9Annex A.1.4.2Annex A.1.4.3Annex A.1.4.4Annex A.1.4.5Annex A.1.4.6Annex A.1.4.7Annex A.2.2.2Annex A.2.2.6Annex A.2.2.7Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.3.27Annex A.3.29
EU GDPR
Article 5(1)(b)Article 5(1)(c)Article 5(2)Article 24Article 25Article 28Article 30Article 35
ISO/IEC 29100:2020
Clause 4.7Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.7Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.8

Seotud poliitikad

Töötlemisregistri ja õigusliku aluse poliitika

Privaatsuse disaini kanded peavad olema seotud REG02 töötlemistoimingute, eesmärkide ja töötlemiskirjete uuendustega.

Privaatsusriskide hindamise ja DPIA poliitika

See poliitika käivitab privaatsusriskide hindamise ja DPIA vajaduse hindamise, jättes hindamismetoodika PII07 alla.

Kogumise, kasutamise, avalikustamise ja jagamise poliitika

Disaini kontrollimeetmed peavad piirama kogumise, kasutamise, avalikustamise ja jagamise dokumenteeritud eesmärkide ning minimaalse isikut tuvastava teabe vajadusega.

Säilitamise, kustutamise ja kõrvaldamise poliitika

Säilitamise, kustutamise ja ajutiste isikut tuvastava teabe artefaktidega seotud privaatsuse disaini sõltuvused suunatakse seotud tõendusmaterjali teekonnale.

Volitatud töötlejate, alltöötlejate ja kolmandate osapoolte privaatsushalduse poliitika

Hanke ja kolmandate osapoolte lõimitud andmekaitse kontrollid tuginevad tarnija, volitatud töötleja ja alltöötleja juhtimise tõendusmaterjalile.

Turbe- ja juurdepääsukontrolli poliitika

Isikut tuvastava teabe turbekontrolli sõltuvused tuleb dokumenteerida sisenditena, mis toetavad privaatsuse disaini ja tootmiskeskkonnas kasutuselevõtu otsuseid.

Claryseci poliitikate kohta - Lõimitud ja vaikimisi andmekaitse poliitika

Lõimitud ja vaikimisi andmekaitse poliitika muudab privaatsusnõuded operatiivseks enne isikut tuvastava teabe töötlemise alustamist või olulist muutmist. See nõuab privaatsuse disaini kandeid, töötlemiskirjete seoseid, andmete minimaalsuse otsuseid, vaikimisi andmekaitse seadeid, hankekontrolle, privaatsusriskide hindamise ja DPIA vajaduse hindamise seoseid, tootmiskeskkonnas kasutuselevõtu läbivaatamist, erandeid, parandusmeetmeid ning seire tõendusmaterjali. Poliitika kohaldub vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstidele ning määrab selged vastutused tippjuhtkonnale, andmekaitse eest vastutavale isikule / PIMS-i juhile, protsessiomanikele, süsteemiomanikele, tarnija- ja hankeomanikele, infoturbele, DPO / andmekaitsenõustaja rollidele ning auditi- või vastavuse läbivaatajatele.

Disaini kohaldamisala

Hõlmab isikut tuvastavat teavet puudutavaid projekte, tooteid, teenuseid, süsteeme, rakendusi, integratsioone, hankeid ja äriprotsesside muudatusi.

Vaikimisi andmete minimaalsus

Nõuab enne tootmiskeskkonnas kasutuselevõttu minimaalset isikut tuvastava teabe kogumist ja töötlemise seadeid ning registreerib tõendusmaterjali REG04-s.

Riski seos

Seob privaatsuse disaini läbivaatamise privaatsusriskide hindamise ja DPIA vajaduse hindamisega ilma PII07 metoodikat dubleerimata.

Hankekontrollid

Nõuab REG08 tõendusmaterjali tarnija, volitatud töötleja, alltöötleja, SaaS-i ja väliselt majutatud süsteemi disainikohustuste kohta.

Eskaleerimiskontroll

Suunab puuduvad kontrollimeetmed, lahendamata puudujäägid, erandid ja loata tootmiskeskkonnas kasutuselevõtu probleemid REG12 kaudu.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

andmekaitse õigus vastavus IT-turve DPO büroo

🏷️ Temaatiline katvus

lõimitud andmekaitse isikuandmete töötlemine privaatsuse mõjuhindamine töötlemistoimingute kirjed kolmandate osapoolte haldus andmete säilitamine ja kõrvaldamine riskijuhtimine
€79

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
Privacy by Design and Default Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 4