Auditně připravená ochrana PII pro GDPR, NIS2 a DORA
Upozornění dorazilo Sarah do schránky v úterý ve 22:00.
Jako CISO rychle rostoucí fintechové SaaS společnosti byla na noční upozornění zvyklá. Toto bylo jiné. Juniorní vývojář při testování nové analytické funkce vystavil databázi ve staging prostředí na veřejný endpoint. Databáze měla obsahovat testovací data, ale nedávná synchronizace z produkčního do staging prostředí ji naplnila skutečnými zákaznickými PII.
Incident byl rychle izolován. Poté přišlo druhé zjištění. Ze stejné datové sady byla zkopírována migrační tabulka nazvaná customer_users_final_v7.xlsx. Obsahovala jména, e-maily, oprávnění rolí, logy používání, pole se zeměmi, poznámky podpory a volnotextové komentáře, které se nikdy neměly dostat do testovacího pracovního postupu. Byla zkopírována na sdílený disk, stažena vývojářem, přiložena k tiketu a zapomenuta.
O půlnoci už Sarah neřešila technickou chybu konfigurace. Řešila auditní problém.
Společnost již byla certifikována podle ISO/IEC 27001:2022. Správní rada požadovala ujištění o souladu s GDPR před vstupem na trh EU. Zákazníci z finančních služeb posílali dotazníky náležité péče podle DORA. Cloudové vztahy a vztahy s poskytovateli řízených služeb otevíraly otázky dodavatelského řetězce podle NIS2. Právní oddělení dokázalo vysvětlit povinnosti. Vývojový tým mohl odkázat na šifrování. Produktový tým měl záměry podle zásady ochrany osobních údajů již od návrhu. Prohlášení o použitelnosti zmiňovalo ochranu soukromí a ochranu PII.
Nikdo však nedokázal v jednom dohledatelném řetězci ukázat, jaké PII existují, proč se zpracovávají, kdo k nim má přístup, kde jsou maskovány, kteří dodavatelé s nimi přicházejí do styku, jak dlouho jsou uchovávány a jak by byl incident klasifikován podle GDPR, NIS2 nebo DORA.
Právě tato mezera vysvětluje význam ISO/IEC 27701:2025 a ISO/IEC 29151:2022. Nejde jen o označení související se soukromím. Tyto normy pomáhají organizacím převést sliby v oblasti ochrany soukromí na auditně připravená opatření na ochranu PII. ISO/IEC 27701:2025 rozšiřuje systém řízení bezpečnosti informací podle ISO/IEC 27001:2022 na řízení informací o soukromí. ISO/IEC 29151:2022 doplňuje praktické pokyny k ochraně osobně identifikovatelných údajů po celý jejich životní cyklus.
Přístup Clarysec spočívá ve vybudování jednoho důkazně podloženého provozního modelu ochrany soukromí a bezpečnosti, nikoli oddělených sil pro soulad. Tento model kombinuje Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Zenith Controls: The Cross-Compliance Guide Zenith Controls a politiky Clarysec do jediného dohledatelného systému pro GDPR, ISO/IEC 27001:2022, ISO/IEC 27701:2025, ISO/IEC 29151:2022, NIS2, DORA, ujištění podle přístupu NIST a očekávání správy a řízení podle COBIT 2019.
Proč je ochrana PII nyní auditní otázkou na úrovni vedení
Ochrana PII byla dříve vnímána jako odpovědnost týmu ochrany soukromí. Dnes jde o otázku důvěry, odolnosti a regulace na úrovni vedení.
GDPR zůstává výchozím rámcem pro ochranu osobních údajů v Evropě i mimo ni. Definuje osobní údaje, zpracování, správce, zpracovatele, příjemce, třetí stranu, souhlas a porušení zabezpečení osobních údajů způsobem, který ovlivňuje SaaS smlouvy, provoz podpory, analytiku, produktovou telemetrii, řízení dodavatelů a reakce na incidenty. Jeho zásady vyžadují zákonnost, korektnost, transparentnost, účelové omezení, minimalizaci údajů, přesnost, omezení uložení, integritu, důvěrnost a odpovědnost. Z auditního hlediska se GDPR neptá pouze na to, zda jsou data šifrována. Ptá se, zda organizace dokáže doložit, proč data existují a jak je zajištěn soulad.
NIS2 zvyšuje laťku řízení kybernetické bezpečnosti pro základní a důležité subjekty. Article 21 vyžaduje opatření pro řízení kybernetických rizik, včetně analýzy rizik, politik bezpečnosti informačních systémů, zvládání incidentů, kontinuity činností, zabezpečení dodavatelského řetězce, bezpečného vývoje, nakládání se zranitelnostmi, posuzování účinnosti kontrol, kybernetické hygieny, kryptografie, bezpečnosti v oblasti lidských zdrojů, řízení přístupu, správy aktiv, autentizace a bezpečné komunikace. Article 23 doplňuje postupné hlášení incidentů, včetně včasného varování do 24 hodin, oznámení do 72 hodin a závěrečné zprávy do jednoho měsíce po oznámení.
DORA mění diskusi pro finanční subjekty a jejich poskytovatele ICT. Použije se od 17. ledna 2025 a vytváří harmonizovaný režim digitální provozní odolnosti zahrnující řízení rizik v oblasti ICT, hlášení významných incidentů souvisejících s ICT, testování odolnosti, rizika třetích stran v oblasti ICT, smluvní požadavky a dohled nad kritickými poskytovateli služeb třetích stran v oblasti ICT. Pro řadu finančních subjektů funguje DORA jako odvětvový právní akt Unie tam, kde se překrývají povinnosti rovnocenné NIS2. U SaaS a ICT dodavatelů obsluhujících finanční instituce se tlak DORA často projeví prostřednictvím smluvních doložek, zákaznických auditů, požadavků na plánování ukončení, povinností podpory při incidentech a testování odolnosti.
ISO/IEC 27001:2022 poskytuje páteř systému řízení. Vyžaduje kontext, zainteresované strany, rozsah, odpovědnost vedení, politiky, role, posouzení rizik, ošetření rizik, Prohlášení o použitelnosti, interní audit, přezkoumání vedením a neustálé zlepšování. Příloha A zahrnuje opatření přímo relevantní pro ochranu PII, včetně 5.34 Ochrana soukromí a ochrana PII, 5.18 Přístupová práva, 8.11 Maskování dat, 5.23 Bezpečnost informací při používání cloudových služeb, 8.15 Protokolování, 8.33 Testovací informace, 8.24 Používání kryptografie a 8.10 Mazání informací.
Problém nespočívá v tom, že by organizace neměly žádná opatření. Problém je v jejich roztříštěnosti. Záznamy o ochraně soukromí má právní oddělení. Přezkum přístupových práv má IT. Maskovací skripty má vývojový tým. Smlouvy s dodavateli má nákup. Důkazy jsou v tiketech, snímcích obrazovky, tabulkách a e-mailech.
ISO/IEC 27701:2025 a ISO/IEC 29151:2022 pomáhají tyto důkazy sjednotit kolem řízení informací o soukromí a postupů ochrany PII. Clarysec převádí tuto strukturu do provozního modelu.
Od ISMS k PIMS: integrovaný řetězec opatření pro ochranu soukromí
ISMS podle ISO/IEC 27001:2022 odpovídá na základní otázku: je bezpečnost informací řízena, založena na rizicích, implementována, monitorována a zlepšována?
Systém řízení informací o soukromí, tedy PIMS, tuto otázku rozšiřuje pro osobní údaje: jsou odpovědnosti za ochranu soukromí, činnosti zpracování PII, rizika v oblasti ochrany soukromí, povinnosti správce a zpracovatele, práva subjektů údajů a důkazy o opatřeních na ochranu soukromí řízeny ve stejném systému?
ISO/IEC 27701:2025 rozšiřuje ISMS o správu ochrany soukromí. ISO/IEC 29151:2022 jej doplňuje o praktické pokyny k ochraně PII, včetně omezení sběru, řízení zpřístupnění, použití maskování nebo pseudonymizace, ochrany předávání, omezení přístupu a sladění opatření s rizikem v oblasti ochrany soukromí.
| Vrstva | Hlavní otázka | Typické auditní důkazy |
|---|---|---|
| ISO/IEC 27001:2022 | Existuje řízený ISMS založený na rizicích s vybranými a fungujícími opatřeními? | Rozsah, zainteresované strany, posouzení rizik, plán ošetření rizik, SoA, politiky, interní audit, přezkoumání vedením |
| ISO/IEC 27701:2025 | Jsou odpovědnosti za ochranu soukromí, rizika v oblasti ochrany soukromí a činnosti zpracování PII řízeny v rámci systému řízení? | Role v oblasti ochrany soukromí, registr zpracování, postupy správce a zpracovatele, posouzení rizik v oblasti ochrany soukromí, DPIA, proces žádostí subjektů údajů |
| ISO/IEC 29151:2022 | Jsou praktická opatření ochrany PII implementována napříč životním cyklem dat? | Klasifikace PII, omezení přístupu, maskování, pseudonymizace, kontroly uchovávání, ochranná opatření při předávání, důkazy k incidentům |
| GDPR | Dokáže organizace doložit zákonné, korektní, transparentní, minimalizované, bezpečné a odpovědné zpracování? | Záznamy o právním základu, oznámení o ochraně soukromí, DPIA, proces pro porušení zabezpečení, smlouvy se zpracovateli, vyřizování práv |
| NIS2 a DORA | Dokáže organizace řídit kybernetická rizika a rizika odolnosti, včetně incidentů a dodavatelů? | Dohled vedení, rámec řízení rizik ICT, klasifikace incidentů, playbooky pro hlášení, registry dodavatelů, práva na audit, testy kontinuity |
Tento vrstvený model brání nejčastější chybě v oblasti souladu s ochranou soukromí: zacházet s PII jen jako s dalším typem citlivých dat. PII nesou právní, etické, provozní, smluvní a reputační povinnosti. Potřebují řetězec opatření, který začíná znalostí dat a končí důkazy.
Začněte znalostí dat, ne diagramy šifrování
Nejčastějším selháním ochrany soukromí, které Clarysec pozoruje, je chybějící kontext. Společnost nemůže chránit PII, pokud neví, jaká PII má, kde se nacházejí, jakému účelu slouží, jak dlouho jsou uchovávána nebo kdo k nim může přistupovat.
Zenith Blueprint zahajuje tuto práci včas ve fázi řízení rizik. V kroku 9, Identifikace aktiv, hrozeb a zranitelností, ukládá organizacím evidovat informační aktiva a výslovně označovat osobní údaje:
„U každého aktiva zaznamenejte klíčové údaje: název/popis, vlastník, umístění a klasifikace (citlivost). Aktivem může být například ‚Zákaznická databáze – vlastněná IT oddělením – hostovaná na AWS – obsahuje osobní a finanční údaje (vysoká citlivost).‘“
Dále doplňuje: „Zajistěte, aby aktiva obsahující osobní údaje byla označena (z důvodu relevance pro GDPR) a aby byla uvedena kritická servisní aktiva (pro případnou použitelnost NIS2, pokud působíte v regulovaném odvětví).“
Toto je základ pro přijetí ISO/IEC 27701:2025 a ISO/IEC 29151:2022. Praktický postup je jednoduchý:
- Identifikujte systémy, datové sady, repozitáře, logy, reporty, zálohy, nástroje podpory, vývojová prostředí a dodavatele, kteří zpracovávají PII.
- Přiřaďte každému aktivu PII vlastníka.
- Klasifikujte PII podle citlivosti, obchodního účelu, právního základu, role při zpracování a požadavku na uchovávání.
- Propojte každé aktivum PII s hrozbami, zranitelnostmi, rizikovými scénáři a regulačními povinnostmi.
- Vyberte opatření, přiřaďte důkazy a průběžně monitorujte jejich fungování.
Politiky Clarysec z toho činí proveditelný proces. SME Data Protection and Privacy Policy Data Protection and Privacy Policy - SME stanoví:
„Koordinátor ochrany soukromí musí vést registr všech činností zpracování osobních údajů, včetně kategorií údajů, účelu, právního základu a dob uchovávání.“
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.2.1.
Pro podnikové organizace stanoví Data Protection and Privacy Policy Data Protection and Privacy Policy přísné pravidlo minimalizace:
„Shromažďovat a zpracovávat lze pouze údaje nezbytné pro konkrétní legitimní obchodní účel.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.1.
Tato ustanovení převádějí odpovědnost podle GDPR do každodenního provozu. Zároveň podporují řízení informací o soukromí a ochranu PII, protože nutí organizaci definovat, jaká data existují, proč existují a zda jsou nezbytná.
Tři opatření, která dávají ochraně PII skutečný obsah
Tři opatření přílohy A ISO/IEC 27001:2022 často rozhodují o tom, zda je ochrana PII při auditu obhajitelná: 5.34 Ochrana soukromí a ochrana PII, 8.11 Maskování dat a 5.18 Přístupová práva.
5.34 Ochrana soukromí a ochrana PII
Opatření 5.34 je řídicím uzlem. V Zenith Controls je 5.34 pojato jako preventivní opatření podporující důvěrnost, integritu a dostupnost, s koncepty kybernetické bezpečnosti Identify a Protect a s provozními schopnostmi v oblasti ochrany informací a právního souladu.
Zenith Controls jasně ukazuje závislost:
„Evidence informačních aktiv (5.9) by měla zahrnovat úložiště dat PII (zákaznické databáze, HR soubory). To podporuje 5.34 tím, že zajišťuje, aby organizace věděla, jaká PII má a kde se nacházejí, což je první krok k jejich ochraně.“
Opatření 5.34 závisí na 5.9 Evidence informací a dalších souvisejících aktiv, protože PII nelze chránit, pokud je nelze najít. Souvisí také s 5.23 Bezpečnost informací při používání cloudových služeb, protože většina PII dnes žije v cloudových platformách, SaaS nástrojích, analytických prostředích a řízených službách.
Pro vysoce rizikové zpracování vyžaduje podniková Data Protection and Privacy Policy:
„Modelování hrozeb a posouzení vlivu na ochranu osobních údajů (DPIA) jsou povinné pro vysoce rizikové systémy zpracování.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.3.4.
Toto ustanovení je zásadní. Mění ochranu soukromí v činnost návrhu a řízení rizik, nikoli v právní kontrolu na poslední chvíli.
8.11 Maskování dat
Opatření 8.11 je přímou odpovědí na vystavení Sarahiny databáze ve staging prostředí. Zenith Controls popisuje 8.11 jako preventivní opatření důvěrnosti v rámci ochrany informací. Propojuje 8.11 s 5.12 Klasifikace informací, protože rozhodnutí o maskování závisí na citlivosti, s 5.34, protože maskování podporuje ochranu soukromí, a s 8.33 Testovací informace, protože testovací prostředí nemají vystavovat skutečné PII.
Data Masking and Pseudonymization Policy Data Masking and Pseudonymization Policy stanoví pravidlo výslovně:
„Skutečné osobní údaje nesmí být používány ve vývojových, testovacích ani staging prostředích. Místo nich musí být používána maskovaná nebo pseudonymizovaná data a musí být generována z předem schválených transformačních šablon.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.3.
Pro SME doplňuje Data Masking and Pseudonymization Policy - SME Data Masking and Pseudonymization Policy - SME klíčový požadavek na bezpečnost a důkazy:
„Přístup ke klíčům musí být šifrován, řízen přístupovými oprávněními a protokolován.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.1.3.
To je důležité, protože pseudonymizace snižuje riziko pouze tehdy, když jsou transformační logika, klíče a cesty opětovné identifikace pod kontrolou.
5.18 Přístupová práva
Opatření 5.18 je provozním jádrem zásady minimálních oprávnění. Zenith Controls je pojímá jako preventivní opatření propojené s důvěrností, integritou a dostupností a zařazené pod řízení identit a přístupů. Váže 5.18 na 5.15 Řízení přístupu, 5.16 Správa identit a 8.2 Práva privilegovaného přístupu.
SME Data Classification and Labeling Policy Data Classification and Labeling Policy - SME stanoví:
„Přístup musí být omezen na výslovně autorizované uživatele s oprávněnou potřebou znát.“
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.2.1.
Podniková Data Classification and Labeling Policy Data Classification and Labeling Policy doplňuje klasifikační základ:
„Všechna informační aktiva musí mít při vytvoření nebo onboardingu jasně přiřazenou klasifikaci. Pokud výslovná klasifikace chybí, aktiva musí být do formálního přezkumu standardně považována za ‚Důvěrné‘.“
Ze sekce „Požadavky na správu a řízení“, ustanovení politiky 5.4.
Společně tato opatření tvoří praktický řetězec ochrany PII: znát PII, klasifikovat je, omezit přístup, maskovat je tam, kde úplná identita není nezbytná, chránit klíče, protokolovat přístup a uchovávat důkazy.
Vybudujte dohledatelnost prostřednictvím Prohlášení o použitelnosti
Systém řízení ochrany soukromí je připravený na audit tehdy, když dokáže doložit dohledatelnost. Zenith Blueprint, fáze řízení rizik, krok 13, Plánování ošetření rizik a Prohlášení o použitelnosti, popisuje Prohlášení o použitelnosti jako překlenovací dokument:
„SoA je v podstatě překlenovací dokument: propojuje vaše posouzení/ošetření rizik se skutečnými opatřeními, která máte. Jeho vyplněním si zároveň ověříte, zda jste některá opatření nevynechali.“
Tento koncept je klíčový pro připravenost podle ISO/IEC 27701:2025, ISO/IEC 29151:2022, GDPR, NIS2 a DORA. Každé opatření pro PII musí být dohledatelné od požadavku k riziku, od rizika k opatření, od opatření k vlastníkovi, od vlastníka k důkazům a od důkazů k přezkumu.
| Položka dohledatelnosti | Příklad pro PII v zákaznické podpoře | Očekávané důkazy |
|---|---|---|
| Aktivum PII | Ticketovací platforma podpory se jmény zákazníků, e-maily, logy a přílohami | Záznam v registru aktiv, vlastník, cloudové umístění, klasifikace |
| Účel zpracování | Zákaznická podpora a diagnostika služeb | Registr zpracování, právní základ, doba uchovávání |
| Rizikový scénář | Pracovník podpory nebo vývojář přistoupí k nadměrnému rozsahu zákaznických dat | Záznam v registru rizik, pravděpodobnost, dopad, vlastník |
| Výběr opatření | 5.34 ochrana PII, 5.18 přístupová práva, 8.11 maskování, 8.15 protokolování, 5.23 správa cloudu | SoA, politika přístupu, standard maskování, konfigurace protokolování |
| Provozní důkazy | Přístup na základě rolí, maskované exporty, čtvrtletní přezkum přístupových práv, upozorňování na hromadná stahování | Záznamy o přezkumu přístupových práv, upozornění DLP, logy, důkazy v tiketech |
| Regulační mapování | Odpovědnost a zabezpečení podle GDPR, řízení rizik podle NIS2, riziko ICT a požadavky na dodavatele podle DORA | Matice souladu, incidentní playbook, registr dodavatelských smluv |
| Důkazy o přezkumu | Uzavřené zjištění interního auditu, přijaté opatření z přezkoumání vedením | Auditní zpráva, nápravné opatření, zápis z přezkoumání vedením |
ISO/IEC 27005:2022 podporuje tento přístup založený na rizicích tím, že zdůrazňuje požadavky zainteresovaných stran, společná riziková kritéria, odpovědné vlastníky rizik, opakovatelné posouzení rizik, ošetření rizik, výběr opatření, sladění s Prohlášením o použitelnosti, schválení zbytkového rizika, monitorování a neustálé zlepšování. Ochrana PII má být živým rizikovým cyklem, nikoli jednorázovým dokumentačním cvičením pro GDPR.
Opravte rizikovou tabulku a databázi ve staging prostředí
Sarahin incident lze proměnit v opakovatelný balíček opatření, pokud se náprava provede systematicky.
| Krok | Opatření | Výsledek pro důkazy Clarysec |
|---|---|---|
| 1 | Zaregistrovat databázi ve staging prostředí a tabulku jako aktiva PII | Záznamy v evidenci aktiv s vlastníkem, umístěním, klasifikací, kategoriemi PII, účelem a uchováváním |
| 2 | Aktualizovat činnost zpracování | Záznam v registru uvádějící kategorie údajů, právní základ, účel a dobu uchovávání |
| 3 | Klasifikovat soubory a datové sady | Standardně použita klasifikace Důvěrné nebo vyšší až do formálního přezkumu |
| 4 | Odstranit skutečné PII z neprodukčního prostředí | Maskovaná nebo pseudonymizovaná datová sada vytvořená ze schválených transformačních šablon |
| 5 | Omezit a přezkoumat přístup | Oprávnění podle principu potřeby znát, odebraný nadměrný přístup, záznam o přezkumu přístupových práv |
| 6 | Chránit transformační logiku a klíče | Šifrovaný, řízený a protokolovaný přístup ke klíčům |
| 7 | Centrálně zachytit důkazy | Záznam aktiva, záznam rizika, přezkum přístupových práv, důkaz o výmazu, schválení maskování a uzavření tiketu |
| 8 | Aktualizovat SoA a plán ošetření rizik | Rizikový scénář propojený s 5.34, 5.18, 8.11, 8.15, 8.10, 5.23 a opatřeními pro dodavatele |
| 9 | Rozhodnout, zda je vyžadováno DPIA | DPIA nebo dokumentované odůvodnění rozhodnutí pro vysoce rizikové zpracování |
| 10 | Zaznamenat získané poznatky | Aktualizované školení, pravidla bezpečného vývoje, kontroly exportu, monitorování DLP a pokyny pro testovací data |
Audit and Compliance Monitoring Policy - SME Audit and Compliance Monitoring Policy - SME stanoví:
„Veškeré důkazy musí být uloženy v centralizované auditní složce.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.2.1.
Information Security Policy Information Security Policy výslovně stanoví širší auditní očekávání:
„Všechna implementovaná opatření musí být auditovatelná, podložená dokumentovanými postupy a uchovanými důkazy o jejich fungování.“
Ze sekce „Požadavky na implementaci politiky“, ustanovení politiky 6.6.1.
Tato dvě ustanovení představují rozdíl mezi tím, že organizace opatření má, a tím, že je dokáže prokázat.
Mapování napříč rámci pro jednu sadu opatření PII
Ochrana PII se snáze obhajuje, když je namapována napříč rámci dříve, než se zeptá auditor.
| Téma ochrany PII | Relevance pro GDPR | Relevance pro ISO/IEC 27001:2022, ISO/IEC 27701:2025 a ISO/IEC 29151:2022 | Relevance pro NIS2 | Relevance pro DORA | Auditní pohled NIST a COBIT 2019 |
|---|---|---|---|---|---|
| Evidence PII a registr zpracování | Odpovědnost, právní základ, účelové omezení, omezení uložení | Kontext ISMS, 5.9 evidence aktiv, řízení informací o soukromí, ochrana PII | Správa aktiv a analýza rizik | Přehled o závislostech aktiv a služeb ICT | Důkazy pro funkci Identify a správa informačních aktiv |
| Přístupová práva a zásada minimálních oprávnění | Integrita a důvěrnost, přístup omezený podle role | 5.15 řízení přístupu, 5.16 správa identit, 5.18 přístupová práva, 8.2 práva privilegovaného přístupu | Řízení přístupu, bezpečnost v oblasti lidských zdrojů, autentizace | Opatření pro řízení rizik ICT a dohled nad privilegovaným přístupem | Prosazování přístupu, vlastnictví, odpovědnost a monitorování |
| Maskování a pseudonymizace | Minimalizace údajů, ochrana osobních údajů již od návrhu, zabezpečení zpracování | 5.12 klasifikace, 5.34 ochrana PII, 8.11 maskování dat, 8.33 testovací informace | Kybernetická hygiena a bezpečný vývoj | Bezpečné testování, snížení rizika ztráty dat, provozní odolnost | Testování technických ochranných opatření a spolehlivé fungování kontrol |
| Klasifikace a hlášení incidentů | Posouzení a oznámení porušení zabezpečení osobních údajů | Plánování incidentů, posouzení událostí, reakce, sběr důkazů | Včasné varování do 24 hodin, oznámení do 72 hodin, závěrečná zpráva | Klasifikace a hlášení významných incidentů souvisejících s ICT | Kritéria eskalace, rozhodovací logy, kořenová příčina, náprava |
| Zpracování dodavateli a v cloudu | Povinnosti zpracovatele, předávání, smlouvy | 5.21 dodavatelský řetězec ICT, 5.23 cloudové služby, 5.31 právní a smluvní požadavky | Zabezpečení dodavatelského řetězce | Riziko třetích stran v oblasti ICT, práva na audit, ukončení a přechod | Správa třetích stran, ujištění a odpovědnost vedení |
Právě zde je Zenith Controls obzvlášť užitečný. U 5.34 mapuje ochranu PII na evidenci aktiv, maskování dat a správu cloudu. U 8.11 mapuje maskování na klasifikaci, ochranu soukromí a testovací informace. U 5.18 mapuje přístupová práva na řízení přístupu, správu identit a privilegovaný přístup. Tyto vazby umožňují týmu vysvětlit nejen to, že opatření existuje, ale i proč existuje a která související opatření musí fungovat spolu s ním.
Jak různí auditoři testují stejné opatření pro PII
Jedno opatření, například 8.11 Maskování dat, bude posuzováno odlišně podle auditního pohledu.
| Typ auditora | Hlavní zaměření | Důkazy, které bude očekávat |
|---|---|---|
| Auditor ISO/IEC 27001:2022 a ISO/IEC 27701:2025 | Integrace ISMS a PIMS, ošetření rizik, přesnost SoA | Posouzení rizik, záznam SoA, politika maskování, záznamy o změnách, výsledky interního auditu |
| Posuzovatel podle GDPR nebo orgán ochrany osobních údajů | Ochrana osobních údajů již od návrhu, minimalizace, odpovědnost | Registr zpracování, právní základ, DPIA, důkazy o pseudonymizaci, logika uchovávání |
| Posuzovatel zaměřený na NIS2 | Bezpečný vývoj, prevence incidentů, správa a řízení | Postup bezpečného vývoje, školení vývojářů, důkazy o nápravě incidentu, přezkum účinnosti kontrol |
| Zákazník nebo auditor podle DORA | Digitální provozní odolnost a riziko třetích stran v oblasti ICT | Důkazy o testování kritických aplikací, smluvní doložky dodavatelů, povinnosti podpory při incidentech, plánování obnovy a ukončení |
| Posuzovatel ve stylu NIST nebo COBIT 2019 | Návrh opatření, fungování, vlastnictví, monitorování | Vlastník kontrol, metriky, repozitář důkazů, reportování vedení, nápravná opatření |
Auditor ISO/IEC 27001:2022 začíná logikou systému řízení. Jsou PII v rozsahu? Jsou identifikovány požadavky zainteresovaných stran? Jsou rizika ochrany soukromí posuzována podle definovaných kritérií? Jsou opatření vybírána prostřednictvím ošetření rizik? Je SoA přesné? Pokrývají interní audity a přezkoumání vedením opatření související s PII?
Posuzovatel ochrany soukromí začíná odpovědností. Jaké osobní údaje jsou zpracovávány? Jaký je právní základ? Jsou subjekty údajů informovány? Je zpracování omezeno na konkrétní účel? Jsou posuzovány vysoce rizikové činnosti? Jsou zpracovatelé řízeni?
Posuzovatel zaměřený na NIS2 začíná správou a řízením kybernetických rizik. Schvaluje vedení opatření a dohlíží na ně? Jsou integrovány zvládání incidentů, kontinuita, bezpečnost dodavatelů, řízení přístupu, správa aktiv, bezpečný vývoj a posuzování účinnosti kontrol?
Zákazník nebo auditor podle DORA se ptá, zda je řízení rizik ICT dokumentováno, řízeno vedením, přiměřené a podpořené smlouvami. Pokud jsou PII zpracovávána ve službách podporujících finanční subjekty, očekávejte otázky k pomoci při incidentech, umístění zpracování dat, obnově, právům na audit, úrovním služeb, ukončení a exitu.
Posuzovatel ve stylu COBIT 2019 nebo ISACA testuje sladění správy a řízení. Kdo vlastní riziko PII? Který řídicí orgán dostává reporty? Jsou přiřazeny odpovědnosti? Jsou dodavatelé monitorováni? Jsou sledovány odchylky? Používají se metriky pro rozhodování? Je zbytkové riziko formálně akceptováno?
Jeden model důkazů může uspokojit všechny tyto pohledy, ale pouze tehdy, pokud je systém opatření od začátku navržen pro dohledatelnost.
Častá auditní zjištění v programech ochrany PII
Organizace, které přistupují k připravenosti podle ISO/IEC 27701:2025 nebo ISO/IEC 29151:2022 bez integrovaného souboru nástrojů, často narážejí na stejná zjištění.
| Zjištění | Proč je důležité | Náprava podle Clarysec |
|---|---|---|
| Evidence PII nezahrnuje logy, zálohy, analytické exporty nebo přílohy podpory | Skrytá PII nelze spolehlivě chránit ani mazat | Rozšířit evidenci aktiv v kroku 9 a registr zpracování tak, aby zahrnovaly všechna umístění PII |
| Testovací prostředí používají produkční data | Skutečná PII jsou vystavena tam, kde nejsou nezbytná | Prosadit politiku maskování a schválené transformační šablony |
| Přezkum přístupových práv je obecný a nezaměřuje se na repozitáře PII | Nadměrný přístup zůstává neodhalen | Namapovat 5.18 přístupová práva na vlastníky aktiv PII a důkazy pravidelných přezkumů |
| Právní základ je dokumentován, ale není propojen se systémy ani uchováváním | Odpovědnost podle GDPR nelze doložit | Doplnit pole právního základu a uchovávání do registru zpracování a evidence aktiv |
| Smlouvy s dodavateli postrádají umístění dat, pomoc při incidentech, práva na audit nebo ustanovení o exitu | Přetrvávají mezery v ujištění dodavatelů podle DORA, NIS2 a GDPR | Sladit prověrku dodavatelů a smlouvy se správou třetích stran v oblasti ICT a správou cloudu |
| Incidentní playbooky nerozlišují bezpečnostní incidenty od porušení zabezpečení osobních údajů | Mohou být zmeškány oznamovací lhůty | Vytvořit klasifikační stromy pro spouštěče hlášení podle GDPR, NIS2 a DORA |
| Důkazy jsou rozptýleny mezi tikety, disky, snímky obrazovky a e-mail | Připravenost na audit selhává i tam, kde opatření fungují | Používat centralizované auditní složky a standardy pojmenování důkazů |
Tato zjištění nejsou otázkou papírové dokumentace. Jsou to problémy provozního modelu. ISO/IEC 27701:2025 a ISO/IEC 29151:2022 je nevyřeší, pokud správa ochrany soukromí, bezpečnostní opatření a správa důkazů nejsou začleněny do běžných pracovních postupů.
Na co se má vedení zeptat před dalším auditem
Před zahájením přípravy podle ISO/IEC 27701:2025, implementace ISO/IEC 29151:2022 nebo zákaznického posouzení podle GDPR, NIS2 či DORA by si vedení mělo položit deset přímých otázek:
- Máme úplný registr činností zpracování PII, včetně kategorií údajů, účelu, právního základu a uchovávání?
- Jsou aktiva PII označena v evidenci aktiv, včetně logů, záloh, exportů, analytických nástrojů a příloh podpory?
- Jsou klasifikace dat přiřazeny při vytvoření nebo onboardingu, přičemž nepřezkoumaná aktiva jsou standardně klasifikována jako Důvěrné?
- Dokážeme prokázat, že přístup k PII je omezen na autorizované uživatele s oprávněnou potřebou znát?
- Používají vývojová, testovací a staging prostředí maskovaná nebo pseudonymizovaná data namísto skutečných osobních údajů?
- Jsou maskovací šablony schválené, klíče chráněné, přístup řízen a protokolován?
- Propojuje SoA rizika PII s opatřeními a regulačními povinnostmi?
- Jsou cloudové a dodavatelské smlouvy přezkoumávány z hlediska umístění dat, bezpečnosti, podpory při incidentech, práv na audit, obnovy a exitu?
- Dokáže náš incidentní proces klasifikovat porušení zabezpečení osobních údajů podle GDPR, významné incidenty podle NIS2 a významné incidenty související s ICT podle DORA?
- Jsou důkazy ukládány centrálně a uchovávány tak, aby je auditor dokázal sledovat?
Pokud je odpověď na kteroukoli z těchto otázek nejasná, organizace zatím není připravena na audit.
Zajistěte prokazatelnost ochrany PII
Sarahin noční incident se mohl změnit v roztříštěnou snahu o soulad. Místo toho se může stát výchozím bodem silnějšího provozního modelu: ISMS podle ISO/IEC 27001:2022 rozšířeného o ochranu soukromí prostřednictvím ISO/IEC 27701:2025, posíleného postupy ISO/IEC 29151:2022 a namapovaného na GDPR, NIS2, DORA, ujištění podle přístupu NIST a očekávání správy a řízení podle COBIT 2019.
To je skutečná hodnota auditně připravené ochrany PII. Nezávisí na tom, zda se před příchodem auditora najde správná tabulka. Závisí na systému, který už ví, kde PII jsou, proč existují, jak jsou chráněna, kdo za ně odpovídá, kteří dodavatelé jsou zapojeni a kde jsou uloženy důkazy.
Začněte s Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, abyste strukturovali implementaci. Použijte Zenith Controls: The Cross-Compliance Guide Zenith Controls k mapování ochrany PII napříč ISO/IEC 27001:2022, GDPR, NIS2, DORA, ujištěním podle přístupu NIST a očekáváními správy a řízení podle COBIT 2019. Uveďte práci do provozu pomocí politik Clarysec, včetně Data Protection and Privacy Policy Data Protection and Privacy Policy, Data Masking and Pseudonymization Policy Data Masking and Pseudonymization Policy, Data Classification and Labeling Policy Data Classification and Labeling Policy, Audit and Compliance Monitoring Policy - SME Audit and Compliance Monitoring Policy - SME a Information Security Policy Information Security Policy.
Pokud se blíží váš další zákaznický audit, přezkum podle GDPR, projekt připravenosti na NIS2 nebo posouzení dodavatele podle DORA, nečekejte, až mezery odhalí porušení zabezpečení. Stáhněte si sady nástrojů Clarysec, požádejte o demo nebo si naplánujte posouzení ochrany PII a vybudujte program ochrany soukromí, který není pouze v souladu, ale je také obhajitelný.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
