Mini csomag: Adatvédelem és adatvédelem (privacy) – ENT

A Mini csomag: Adatvédelem és adatvédelem (privacy) – ENT átfogó szabályzatkészletet biztosít, amely nagy szervezetekben a teljes adat-életciklus során robusztus irányítást és jogi megfelelést garantál az érzékeny adatokra. A csomag vállalati felhasználásra készült, és olyan fő szabályozási keretrendszereket fed le, mint az ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, EU GDPR, EU NIS2, EU DORA és COBIT 2019. A csomagban szereplő szabályzatok formalizálják az adatosztályozás, adatmegőrzés, adatvédelem, adatvédelmi (privacy) alapelvek, audit és beszállító-kezelés követelményeit, segítve a vállalatokat a védhető kontrollok és az auditfelkészültség igazolásában. Az Adatosztályozási és címkézési szabályzat (P13) formális sémát hoz létre a szervezeti információs vagyonelemek érzékenység, kockázat és szabályozási kötelezettségek szerinti kategorizálására. A tartós címkék, a hozzáférés-ellenőrzéshez való igazítás és a strukturált irányítás lehetővé teszi a bizalmasság, sértetlenség és rendelkezésre állás biztosítását, támogatva a biztonságos adatmegosztást, titkosítást és monitorozást. A létrehozáskor és valamennyi formátumban és környezetben kötelező osztályozás biztosítja, hogy minden vagyonelem a megfelelő védelmi szintet kapja, miközben az irányítási szerepkörök a CISO, az információtulajdonosok, az IT és az adatvédelmi (privacy) csapatok számára meghatározásra kerülnek. A kapcsolódó szabályzatok megerősítik a hozzáférés-kezelést, az eszközök nyomon követhetőségét, a kriptográfiai védelmi intézkedéseket és a naplózást. Az Adatmegőrzési és selejtezési szabályzat (P14) előírja, hogy az adatokat mennyi ideig kell megőrizni, és az életciklus végén kötelezővé teszi a biztonságos, visszafordíthatatlan megsemmisítést, nyomon követhető dokumentációval, valamint a jogi kötelezettségekhez, üzleti igényekhez és az osztályozáshoz való igazítással. Bevezeti a központi adatmegőrzési ütemtervet, az adathordozók láncolt átadás-átvételét, valamint erős kontrollokat a biztonsági mentések, archiválás és törlés területén, támogatva az auditválaszadást, az adatvédelmi (privacy) jogokat és a szabályozói megkereséseket. A megfelelés automatizált munkafolyamatokkal, dokumentált megfelelőségi nyilatkozatokkal, éves felülvizsgálati ciklusokkal és az incidenskezelés integrációjával kerül kikényszerítésre. Az Adatmaszkolási és álnevesítési szabályzat (P16) meghatározza az adatvédelmi (privacy) technológiák alkalmazását az adatok azonosíthatóságának csökkentésére nem éles környezetekben, tesztelésben, analitikában és operatív folyamatokban. Jóváhagyott technikákat és eszközöket ír elő, tiltja a valós személyes adatok használatát az éles környezeten kívül átalakítás nélkül, és kikényszeríti az újraazonosítási kockázatértékeléseket. Minden kapcsolódó tevékenység naplózott, monitorozott és eredményesség szempontjából tesztelt, összhangban a GDPR 4. cikk (5) bekezdésével, a NIST kontrollokkal és az adatvédelmi (privacy) szabványokkal. A kivételkezelés, a beszállítói követelmények és a szabályzatkapcsolatok biztosítják a következetes érvényesítést rendszerek és csapatok között. Az Adatvédelmi és adatvédelem (privacy) szabályzat (P17) kötelező technikai és szervezeti intézkedéseket határoz meg a személyes adatok jogszerű és átlátható gyűjtésére, kezelésére, megosztására és selejtezésére. Kikényszeríti a beépített biztonságot, a biztonságos alapértelmezett adatkezelést, a kifejezett hozzájárulást, az érintetti jogokat és a határokon átnyúló megfelelést. A szerepek és felelősségek az adatvédelmi tisztviselőtől (DPO), a CISO-n, a jogi és megfelelőségi, az IT-n át valamennyi munkavállalóig/vállalkozóig terjednek, szigorú bejelentésköteles incidensek bejelentési és kivétel-felülvizsgálati eljárásokkal. Rendszeres megfelelési auditok, kockázati nyilvántartás és az összes kulcsfontosságú biztonsági és adatvédelmi (privacy) kontrollal való integráció kötelező. Az Audit és megfelelés-monitorozási szabályzat (P33) és a Harmadik fél és beszállítói biztonsági szabályzat (P26) egészíti ki a csomagot szigorú protokollokkal a belső és külső auditokra, helyesbítő és megelőző kontrollokra, beszállítói átvilágításra és életciklus-felügyeletre. A harmadik felekkel való együttműködések szerződésben kikényszeríthető biztonsági intézkedéseket, időszakos felülvizsgálatokat, bejelentésköteles incidensek bejelentését, biztonsági tanúsítványokhoz kapcsolódó auditbizonyítékot és kiléptetési validálást igényelnek. Az auditprogram felépítése auditbizonyíték-alapú jelentéstételt, pártatlanságot és folyamatos fejlesztést követel meg az ISO szabványokhoz rendelve. Együttesen ezek a szabályzatok vállalati szintű kontrollkészletet alkotnak a tanúsítás, szabályozói válaszadás, beszállítói felügyelet és igazolhatóan erős adatirányítás támogatására. Valamennyi szabályzat kifejezetten vállalati bevezetésre készült; olyan specializált szerepköröket definiál, mint a CISO, a DPO és a belső audit, és nem KKV-kra adaptált.