Kam skirtas šis rinkinys?

Šis rinkinys skirtas SVV, kurioms reikalingos patikimos, bet supaprastintos duomenų apsaugos ir duomenų privatumo politikos, suderintos su ISO/IEC 27001:2022, BDAR, NIS2 ir kitais pagrindiniais standartais.

Ar šios politikos taikomos, jei neturime dedikuotos IT / saugumo komandos?

Taip, visos politikos pritaikytos SVV organizacijoms be dedikuotų IT ar saugumo valdymo vaidmenų, leidžiant generaliniam direktoriui prisiimti pagrindinę priežiūrą.

Kokias duomenų gyvavimo ciklo sritis apima šis rinkinys?

Politikos apima visą informacijos gyvavimo ciklą, įskaitant duomenų klasifikavimą, ženklinimą, duomenų saugojimo politiką, saugų šalinimą, maskavimą, duomenų privatumą, tiekėjo saugumo politiką ir atitikties auditus.

Ar rinkinys pateikia reikalavimus tiekėjų valdymui?

Taip, trečiųjų šalių ir tiekėjų saugumo politika reikalauja tiekėjų deramo patikrinimo, sutarčių sąlygų, prieigos kontrolės, stebėsenos, išimčių valdymo ir saugaus darbo santykių nutraukimo proceso visiems tiekėjams.

Mini rinkinys: Duomenų apsauga ir privatumas

Apžvalga

Šis į SVV orientuotas rinkinys pateikia šešias tarpusavyje susietas politikas, apimančias duomenų klasifikavimą, duomenų saugojimo politiką, duomenų maskavimą, duomenų privatumą, trečiųjų šalių saugumą ir nuolatinę atitikties stebėseną; suderinta su ISO/IEC 27001:2022 ir BDAR, o vaidmenys pritaikyti organizacijoms be dedikuoto IT / saugumo personalo.

Integruota duomenų apsauga

Suderintos politikos, apimančios duomenų klasifikavimą, duomenų saugojimo politiką, duomenų privatumą ir tiekėjo saugumo politiką, užtikrina patikimą SVV duomenų apsaugą.

27001:2022 SVV atitiktis

Pritaikyta SVV su supaprastintais vaidmenimis; šios politikos suderintos su ISO/IEC 27001:2022 ir BDAR reikalavimais.

Viso duomenų gyvavimo ciklo kontrolės priemonės

Kontrolės priemonės apima duomenų klasifikavimą, ženklinimą, duomenų saugojimo politiką, anonimizavimą ir auditą – visuose formatuose ir sistemose.

Užtikrinamas trečiųjų šalių saugumas

Tiekėjų valdymas ir reikalavimai tiekėjams apsaugo jūsų duomenis nuo išorinių rizikų ir užtikrina sutartinę atitiktį.

Parengta auditui ir užtikrinimui

Įtraukti pakartotinai naudojami kontroliniai sąrašai ir audito reikalavimai operacinei kontrolei ir išoriniams sertifikatams.

Skaityti visą apžvalgą

„Mini rinkinys: Duomenų apsauga ir privatumas – SVV“ yra išsamus šešių glaudžiai integruotų politikų rinkinys, skirtas mažoms ir vidutinėms įmonėms įgyvendinti kritinius duomenų apsaugos, privatumo ir atitikties įsipareigojimus. Visos šio rinkinio politikos yra aiškiai pritaikytos SVV (tai nurodoma politikų numeracijoje su „S“ ir generalinio direktoriaus kaip pagrindinio atskaitomybės vaidmens naudojimu), atsižvelgiant į ribotus personalo išteklius arba didelių, dedikuotų IT, saugumo ar atitikties departamentų nebuvimą. Nepaisant šių struktūrinių apribojimų, politikos parengtos taip, kad atitiktų griežtus ISO/IEC 27001:2022, ISO/IEC 27002:2022, ES BDAR, ES NIS2 direktyvos, ES DORA reglamento, NIST SP 800-53 Rev. 5 ir COBIT 2019 reikalavimus. Šis rinkinys užtikrina viso duomenų gyvavimo ciklo aprėptį nuo pradžios iki pabaigos. Duomenų klasifikavimo ir ženklinimo politika (P13S) nustato SVV tinkamą, vykdytiną trijų lygių klasifikavimo modelį, įskaitant ženklinimo reikalavimus ir technologines kontrolės priemones. Joje apibrėžiami aiškūs vaidmenys generaliniam direktoriui, duomenų valdytojams, IT pagalbai (vidinei / išorinei) ir visiems darbuotojams / rangovams, pabrėžiant praktinį matomumą (antraštės, vandens ženklai, žymos) ir atitikties pareigas. Glaudžiai susieta duomenų saugojimo ir šalinimo politika (P14S) nustato teisiniais ir verslo poreikiais grindžiamus saugojimo terminus su centralizuotai valdomu saugojimo registru, aiškias saugaus šalinimo technikas (smulkinimas, skaitmeninis išvalymas, kriptografinis ištrynimas) ir griežtą išimčių bei teisinio duomenų išsaugojimo dokumentavimą, užtikrinant, kad priežiūra būtų įmanoma net mažose organizacijose. Duomenų minimizavimui ir tvarkymui už gamybos aplinkos ribų duomenų maskavimo ir pseudonimizavimo politika (P16S) reikalauja, kad tikri asmens ar jautrūs duomenys niekada nebūtų naudojami, kai tai nėra griežtai būtina, pavyzdžiui, testavimui ar analitiniam naudojimui, taikant transformavimo kontrolės priemones (maskavimas, žetonizavimas, pseudonimizavimas). Visi transformavimo procesai turi būti audituojami, naudojant tik IT patvirtintus įrankius su žurnalais ir raktų valdymu, užtikrinant atsekamumą iki atskirų duomenų rinkinių ir įvykių. Rinkinio pagrindas – duomenų apsaugos ir privatumo politika (P17S), apimanti visus teisinius įsipareigojimus dėl asmens duomenų, įskaitant darbuotojų, klientų ir trečiųjų šalių įrašus. Ji įtvirtina privatumą projektuojant ir pagal numatytuosius nustatymus, teisėtą rinkimą ir minimizavimą, saugų saugojimą, aiškias prieigos peržiūras ir duomenų subjekto teisių tvarkymą. Atsakomybės aiškiai paskirstomos generaliniam direktoriui (kaip DPO / privatumo atskaitingam asmeniui), privatumo koordinatoriui (vidiniam / išoriniam), IT paslaugų teikėjui ir visam operaciniam personalui. Integruojami mokymai, sutikimas, eskalavimas ir pranešimų apie pažeidimus teikimo terminai, taip pat suderinamumo patikros su susijusiomis klasifikavimo, saugojimo, maskavimo ir incidentų valdymo politikomis. Išorinių rizikų valdymui trečiųjų šalių ir tiekėjų saugumo politika (P26S) nustato privalomus reikalavimus tiekėjų deramam patikrinimui, rizikos analizei, prieigos apribojimui, sutarčių sąlygoms (įskaitant paslaugų lygio susitarimus (SLA) dėl pažeidimų pranešimų ir teisę atlikti auditą) ir nuolatinei priežiūrai. Ji apima tipinius SVV trečiųjų šalių scenarijus (IT, SaaS, verslo operacijos ir kt.), reikalaujant tiekėjų sutikimo su sutartinėmis nuostatomis, reguliarių peržiūrų ir saugaus darbo santykių nutraukimo arba duomenų sunaikinimo po nutraukimo. Galiausiai, audito ir atitikties stebėsenos politika (P33S) supaprastina vidaus auditą, saugos kontrolės patikras ir reglamentavimo peržiūros procesą. Skirta naudoti be specializuotų auditorių, ji suteikia generaliniam direktoriui ir IT paslaugų teikėjui galimybę naudoti kontrolinius sąrašus ir kaupti audito įrodymų žurnalus, kad būtų užtikrintas operacinis pasirengimas ISO/IEC 27001 sertifikavimui arba klientų / tiekėjų deramam patikrinimui. Audito pėdsakas, koreguojamųjų veiksmų dokumentacija ir atitikties įrodymai turi būti centralizuoti ir prieinami mažiausiai dvejus metus, užtikrinant pagrįstą valdyseną net SVV su minimaliais atitikties ištekliais. Kartu šis mini rinkinys paverčia pagrindinius standartus ir privatumo teisę į įgyvendinamas, verslui praktiškas kontrolės priemones, suteikdamas patikimą, auditui parengtą duomenų apsaugos ir privatumo režimą, kurį SVV lengva įdiegti ir palaikyti.

Turinys

Duomenų klasifikavimo ir ženklinimo reikalavimai

Duomenų saugojimo politika ir saugaus šalinimo taisyklės

Duomenų maskavimas ir pseudonimizavimas

Išsami duomenų apsauga ir duomenų privatumas

Tiekėjo saugumo politika ir sutarčių sąlygos

Vidaus auditas ir nuolatinė atitikties stebėsena

Sistemos atitiktis

Sistema	Aptariamos sąlygos / Kontrolės
ISO/IEC 27001:2022	5.1 5.3 6.1.3 8.1 9.2 10.1
ISO/IEC 27002:2022	5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12
NIST SP 800-53 Rev.5	AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12
EU GDPR	Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34
EU NIS2	Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)
EU DORA	Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)
COBIT 2019	APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Sistema

Aptariamos sąlygos / Kontrolės

ISO/IEC 27001:2022

5.1 5.3 6.1.3 8.1 9.2 10.1

ISO/IEC 27002:2022

5.12 5.13 5.19 5.20 5.21 5.22 5.33 5.34 5.35 5.37 8.10 8.11 8.12

NIST SP 800-53 Rev.5

AC-6 AC-16 AR-2 AU-6 AU-11 CA-2 CA-3 CA-7 IR-4 MP-3 MP-5 MP-6 PL-5 PS-7 PT-2 PT-3 SA-9 SA-10 SC-12 SC-28 SI-12

EU GDPR

Article 4(5)Article 5Article 5(1)(c)Article 5(1)(e)Article 6Articles 12–23Article 17Article 24Article 28Article 30Article 32Articles 33–34

EU NIS2

Article 21(2)(a)Article 21(2)(b)Article 21(2)(c)Article 21(2)(e)Article 21(2)(f)Article 23(1)

EU DORA

Article 5(1)Article 5(2)Article 5(8)Article 6 Article 10 Article 10(1)Article 15 Article 17 Article 28(1)Article 28(2)

COBIT 2019

APO10 APO12 BAI03.04 BAI03.05 DSS01 DSS01.06 DSS05 DSS05.01 DSS05.02 DSS06 DSS06.06 MEA01 MEA03

Susijusios politikos

Duomenų klasifikavimo ir ženklinimo politika – SVV

Ši politika apibrėžia, kaip visa organizacijos tvarkoma informacija turi būti klasifikuojama ir ženklinama, kad per visą jos gyvavimo ciklą būtų išlaikytas konfidencialumas, vientisumas, prieinamumas.

Duomenų saugojimo ir šalinimo politika – SVV

Šios politikos tikslas – apibrėžti vykdytinas taisykles informacijos saugojimui ir saugiam šalinimui SVV aplinkoje.

Duomenų maskavimo ir pseudonimizavimo politika – SVV

Ši politika apibrėžia vykdytinus reikalavimus duomenų maskavimo ir pseudonimizavimo naudojimui, siekiant apsaugoti jautrius, asmens ir konfidencialius duomenis mažose ir vidutinėse įmonėse (SVV).

Duomenų apsaugos ir privatumo politika – SVV

Ši politika apibrėžia, kaip organizacija saugo asmens duomenis laikydamasi teisinės prievolės, reglamentavimo sistemų ir tarptautinių saugumo standartų.

Trečiųjų šalių ir tiekėjų saugumo politika – SVV

Ši politika nustato privalomus saugumo reikalavimus įtraukiant, valdant ir nutraukiant santykius su trečiųjų šalių paslaugų teikėjais ir tiekėjais, kurie turi prieigą prie organizacijos duomenų, sistemų ar paslaugų arba daro joms įtaką.

Audito ir atitikties stebėsenos politika – SVV

Ši politika nustato organizacijos požiūrį į vidaus auditą, saugos kontrolės patikras ir nuolatinę atitikties stebėseną.

Apie Clarysec politikas - Mini rinkinys: Duomenų apsauga ir privatumas – SVV

Bendrosios saugumo politikos dažnai kuriamos didelėms korporacijoms, todėl mažoms įmonėms sunku taikyti sudėtingas taisykles ir neapibrėžtus vaidmenis. Ši politika yra kitokia. Mūsų SVV politikos nuo pat pradžių kuriamos praktiškam įgyvendinimui organizacijose be dedikuotų saugumo komandų. Atsakomybes priskiriame vaidmenims, kuriuos jūs realiai turite, pavyzdžiui, generaliniam direktoriui ir jūsų IT paslaugų teikėjui, o ne specialistų komandai, kurios neturite. Kiekvienas reikalavimas suskaidytas į unikaliai sunumeruotą nuostatą (pvz., 5.2.1, 5.2.2). Tai paverčia politiką aiškiu, nuosekliu kontroliniu sąrašu, kurį lengva įgyvendinti, audituoti ir pritaikyti neperrašant ištisų skyrių.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

IT Saugumas Atitiktis Duomenų privatumas Teisė Pirkimai

🏷️ Teminė aprėptis

Duomenų klasifikavimas Duomenų tvarkymas Duomenų privatumas Duomenų subjekto teisės Trečiųjų šalių rizikos valdymas Tiekėjų valdymas Politikų gyvavimo ciklo valdymas Atitikties valdymas Teisinė atitiktis

Mini rinkinys: Duomenų apsauga ir privatumas – SVV