policy ISO 27701 PIMS Policy Pack

Privatumo pagal projektavimą ir pagal numatytuosius nustatymus politika

Įtvirtinkite privatumą pagal projektavimą ir privatumą pagal numatytuosius nustatymus AII projektuose, pakeitimuose, pirkimuose ir paleidimo gamybinėje aplinkoje metu, pateikdami auditui tinkamus REG02, REG04, REG08 ir REG12 įrodymus.

Apžvalga

Ši politika įtvirtina privatumą pagal projektavimą ir privatumą pagal numatytuosius nustatymus AII projektuose, pakeitimuose, pirkimuose ir sprendimuose dėl paleidimo gamybinėje aplinkoje. Joje reikalaujama tikslais grindžiamo minimizavimo, privatumo pagal numatytuosius nustatymus konfigūracijos, rizikos ir pirminio DPIA poreikio vertinimo sąsajos, tiekėjų projektavimo įrodymų ir REG02, REG04, REG08 ir REG12 auditui tinkamų įrašų.

Projektavimas prieš paleidimą gamybinėje aplinkoje

Reikalaujama atlikti privatumo projektavimo peržiūras, pateikti minimizavimo įrodymus ir nustatyti numatytuosius nustatymus prieš išleidimą į produkcinę aplinką arba veiklos paleidimą.

Auditui tinkami įrodymai

Privatumo projektavimo sprendimai susiejami su REG02, REG04, REG08 ir REG12, kad įrašai, spragos, išimtys ir veiksmai išliktų atsekami.

Aiški vaidmenų atskaitomybė

Apibrėžiamos privatumo, procesų, sistemų, saugumo, pirkimų, audito ir aukščiausiosios vadovybės atsakomybės pagal vaidmenis visuose projektavimo kontrolės taškuose.

Skaityti visą apžvalgą (click to expand)
Privatumo pagal projektavimą ir pagal numatytuosius nustatymus politika apibrėžia, kaip privatumo reikalavimai turi būti įtvirtinami naujose ir keičiamose AII tvarkymo veiklose PIMS taikymo srityje. Ji taikoma projektams, produktams, paslaugoms, sistemoms, taikomosioms programoms, integracijoms, pirkimų veikloms ir verslo procesų pakeitimams. Politika parengta duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstams, įskaitant situacijas, kai organizacija projektuoja, konfigūruoja, keičia arba vykdo tvarkymą kliento, duomenų valdytojo arba aukštesnės grandies duomenų tvarkytojo vardu pagal dokumentuotus nurodymus. Pagrindinis jos tikslas – užtikrinti, kad privatumo reikalavimai būtų nustatyti, įgyvendinti ir pagrįsti įrodymais prieš pradedant ar iš esmės pakeičiant AII tvarkymą. Politikoje ypatingas dėmesys skiriamas tikslui, būtinumui, minimizavimui ir privatumą apsaugantiems numatytiesiems nustatymams. Procesų savininkai ir Verslo savininkai turi dokumentuoti minimalias AII kategorijas, duomenų subjektų kategorijas, šaltinius ir tikslus REG02 ir REG04 įrašuose prieš patvirtinant rinkimo arba importavimo projektą. Sistemos savininkai ir Taikomųjų programų savininkai turi sukonfigūruoti numatytuosius tvarkymo nustatymus taip, kad būtų renkamas ir tvarkomas tik minimalus AII kiekis, reikalingas dokumentuotam tikslui, ir prieš paleidimą gamybinėje aplinkoje turi įrašyti įrodymus REG04. Neprivalomi AII laukai, neprivalomi tvarkymo pasirinkimai, pagal numatytuosius nustatymus išjungti nustatymai, rodinių ir ataskaitų pasiekiamumo nustatymai, taip pat laikinųjų failų, podėlių, žurnalų arba parengiamosios aplinkos įrašų tvarkymas laikomi projektavimo etapo privatumo įpareigojimais, o ne vėlesnėmis operacinėmis korekcijomis. Privatumo rizikos ir DPIA sąsaja integruojama į projektavimo procesą nepakeičiant atskiros PII07 apibrėžtos metodikos. Privatumo vadovas / PIMS vadovas turi patvirtinti, kad privatumo rizikos vertinimas ir pirminis DPIA poreikio vertinimas yra įrašyti REG04 prieš patvirtinant naujo arba iš esmės pakeisto AII tvarkymo projektą. Privatumo projektavimo rizikos tvarkymo veiksmai, savininkai ir įvykdymo terminai turi būti įrašyti prieš uždarant peržiūrą, o įgyvendinimo įrodymai turi būti užfiksuoti prieš paleidimą gamybinėje aplinkoje. Didelės rizikos arba iš esmės pakeistam duomenų valdytojo atliekamam tvarkymui politika taip pat reikalauja REG04 įraše užfiksuoti privatumo projektavimo patikrą po įgyvendinimo per 30 kalendorinių dienų po paleidimo gamybinėje aplinkoje. Kai projektavimo klausimai yra neužfiksuoti, neveiksmingi, pradelsti arba apeinami, REG12 atidaromas korekcinis veiksmas. Politika taip pat išplečia privatumą pagal projektavimą į pirkimus ir trečiųjų šalių santykius. Tiekėjų ir pirkimų savininkai turi REG08 įrašyti privatumo pagal projektavimą reikalavimus tiekėjams, duomenų tvarkytojams, subtvarkytojams, SaaS paslaugoms, platformoms arba išorėje talpinamoms sistemoms prieš pirkimo patvirtinimą. Trečiųjų šalių vykdomo AII tvarkymo būtinumas, tikslas ir minimalios AII kategorijos turi būti dokumentuoti prieš išorinį tvarkymą, duomenų dalijimąsi arba pirkimo patvirtinimą. Tiekėjo parama privatumo pagal numatytuosius nustatymus parametrams, minimizavimui ir kliento konfigūracijos poreikiams turi būti įrašyta prieš įtraukiant tiekėjus, o neišspręstos tiekėjo privatumo projektavimo spragos eskaluojamos į REG12 per penkias darbo dienas ir prieš sutarties pasirašymą. Valdysena, stebėsena, politikos taikymas ir priežiūra apibrėžiami per pasikartojančius įrodymų ir peržiūros ciklus. Privatumo vadovas / PIMS vadovas REG12 įraše teikia ketvirtines privatumo projektavimo būsenos santraukas, skaičiuoja užbaigimo ir pradelstų veiksmų rodiklius ir prieš vidaus auditą patikrina, ar projektavimo įrodymai išlieka konsoliduoti REG02, REG04, REG08 ir REG12. Aukščiausioji vadovybė vadovybės peržiūros metu peržiūri didelio poveikio išimtis, užblokuotus sprendimus dėl paleidimo gamybinėje aplinkoje ir pasikartojančias išvadas. Politikos taikymo nuostatos reikalauja neleisti paleisti gamybinėje aplinkoje, kai REG04 peržiūra neužbaigta, neleisti įtraukti tiekėjo, kai nėra REG08 įrodymų, ir sustabdyti naują arba pakeistą AII tvarkymą, kol REG04 peržiūra, REG02 atnaujinimai ir būtinos REG12 išimtys bus užbaigti.

Politikos diagrama

Proceso srauto schema, rodanti privatumo pagal projektavimą veiksmus: projekto arba pakeitimo paleidiklis, REG04 privatumo projektavimo įrašas, REG02 tvarkymo sąsaja, minimizavimo ir numatytųjų nustatymų projektavimas, rizikos ir pirminis DPIA poreikio vertinimas, tiekėjų patikros REG08, kai taikoma, rekomendacija dėl paleidimo gamybinėje aplinkoje, REG12 eskalavimas dėl išimčių arba korekcinio veiksmo, stebėsena ir peržiūra.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Privatumo reikalavimai projekto inicijavimo metu

Tikslo, minimizavimo ir numatytųjų nustatymų projektavimo kontrolės priemonės

Privatumo projektavimo peržiūra prieš paleidimą gamybinėje aplinkoje

Pakeitimų inicijuojama privatumo projektavimo peržiūra

Pirkimų privatumo pagal projektavimą patikros

Privatumo rizikos, pirminio DPIA poreikio vertinimo ir korekcinių veiksmų sąsaja

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27701:2025
Clause 6.1.2Clause 6.1.3Clause 6.3Clause 8.1Clause 7.5Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.6Annex A.1.2.9Annex A.1.4.2Annex A.1.4.3Annex A.1.4.4Annex A.1.4.5Annex A.1.4.6Annex A.1.4.7Annex A.2.2.2Annex A.2.2.6Annex A.2.2.7Annex A.2.4.2Annex A.2.4.3Annex A.2.4.4Annex A.3.27Annex A.3.29
EU GDPR
Article 5(1)(b)Article 5(1)(c)Article 5(2)Article 24Article 25Article 28Article 30Article 35
ISO/IEC 29100:2020
Clause 4.7Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.7Clause 5.10Clause 5.12
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.8

Susijusios politikos

Tvarkymo veiklos apskaitos ir teisinio pagrindo politika

Privatumo projektavimo įrašai turi būti susieti su REG02 tvarkymo veiklomis, tikslais ir tvarkymo įrašų atnaujinimais.

Privatumo rizikos vertinimo ir DPIA politika

Ši politika inicijuoja privatumo rizikos vertinimą ir pirminį DPIA poreikio vertinimą, o vertinimo metodika paliekama PII07 politikoje.

Rinkimo, naudojimo, atskleidimo ir dalijimosi politika

Projektavimo kontrolės priemonės turi riboti rinkimą, naudojimą, atskleidimą ir dalijimąsi dokumentuotais tikslais ir minimaliu AII poreikiu.

Saugojimo, ištrynimo ir sunaikinimo politika

Privatumo projektavimo priklausomybės, susijusios su saugojimu, ištrynimu ir laikinaisiais AII artefaktais, nukreipiamos į susijusį įrodymų kelią.

Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politika

Pirkimų ir trečiųjų šalių privatumo pagal projektavimą patikros remiasi tiekėjų, duomenų tvarkytojų ir subtvarkytojų valdysenos įrodymais.

Saugumo ir prieigos kontrolės politika

AII saugumo kontrolės priemonių priklausomybės turi būti įrašytos kaip įvestiniai duomenys, pagrindžiantys privatumo projektavimo ir paleidimo gamybinėje aplinkoje sprendimus.

Apie Clarysec politikas - Privatumo pagal projektavimą ir pagal numatytuosius nustatymus politika

Privatumo pagal projektavimą ir pagal numatytuosius nustatymus politika operacionalizuoja privatumo reikalavimus prieš pradedant arba iš esmės pakeičiant AII tvarkymą. Joje reikalaujama privatumo projektavimo įrašų, tvarkymo įrašų sąsajos, minimizavimo sprendimų, numatytųjų privatumo nustatymų, pirkimų patikrų, rizikos ir pirminio DPIA poreikio vertinimo sąsajos, paleidimo gamybinėje aplinkoje peržiūros, išimčių, korekcinių veiksmų ir stebėsenos įrodymų. Politika taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstams ir priskiria aiškias atsakomybes Aukščiausiajai vadovybei, Privatumo vadovui / PIMS vadovui, Procesų savininkams, Sistemų savininkams, Tiekėjų / pirkimų savininkams, Informacijos saugumui, DAP / duomenų apsaugos konsultanto vaidmenims ir audito arba atitikties peržiūrą atliekantiems asmenims.

Projektavimo taikymo sritis

Apima projektus, produktus, paslaugas, sistemas, taikomąsias programas, integracijas, pirkimus ir verslo procesų pakeitimus, susijusius su AII.

Numatytasis minimizavimas

Reikalaujama minimalių AII rinkimo ir tvarkymo nustatymų prieš paleidimą gamybinėje aplinkoje, o įrodymai įrašomi REG04.

Rizikos sąsaja

Privatumo projektavimo peržiūra susiejama su privatumo rizika ir pirminiu DPIA poreikio vertinimu, nedubliuojant PII07 metodikos.

Pirkimų patikros

Reikalaujama REG08 įrodymų dėl tiekėjų, duomenų tvarkytojų, subtvarkytojų, SaaS ir išorėje talpinamų sistemų projektavimo įpareigojimų.

Eskalavimo kontrolė

Trūkstamos kontrolės priemonės, neišspręstos spragos, išimtys ir neautorizuoto paleidimo gamybinėje aplinkoje klausimai nukreipiami per REG12.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

Privatumas Teisė Atitiktis IT saugumas DAP biuras

🏷️ Teminė aprėptis

Privatumas pagal projektavimą Asmens duomenų tvarkymas Poveikio privatumui vertinimas Tvarkymo veiklos įrašai Trečiųjų šalių valdymas Duomenų saugojimas ir sunaikinimas Rizikos valdymas
€79

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai

Ši politika yra 1 iš 25 visame ISO/IEC 27701 PIMS rinkinyje

Sutaupykite 52%

Gaukite visas 25 PIMS politikas, pilną registrų rinkinį ir išsamų įgyvendinimo planą už €799 vietoj €1 675 perkant atskirai.

Žiūrėti visą 27701 rinkinį →
Privacy by Design and Default Policy

Produkto informacija

Tipas: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standartai: 4