Δοκιμή ελέγχων προστασίας ιδιωτικότητας ISO 27701 για λογοδοσία GDPR

Ο έλεγχος προστασίας ιδιωτικότητας της Παρασκευής που ανέδειξε το πραγματικό πρόβλημα
Είναι 15:40 Παρασκευή όταν η Μαρία, CISO μιας ταχέως αναπτυσσόμενης εταιρείας SaaS, συνδέεται σε τηλεδιάσκεψη με τον επικεφαλής προμηθειών ενός μεγάλου υποψήφιου εταιρικού πελάτη.
Η ομάδα της εργάζεται εδώ και μήνες στο Σύστημα Διαχείρισης Πληροφοριών Ιδιωτικότητας. Οι πολιτικές έχουν εγκριθεί. Το μητρώο επεξεργασίας υπάρχει. Η εταιρεία διαθέτει σχέδιο ετοιμότητας ISO 27701. Ο DPO διαθέτει ροές εργασίας για αιτήματα υποκειμένων δεδομένων. Το Νομικό Τμήμα έχει επικαιροποιήσει τις συμφωνίες επεξεργασίας δεδομένων. Η ομάδα μηχανικής αναφέρει ότι η πρόσβαση στο περιβάλλον παραγωγής είναι περιορισμένη.
Ο υπεύθυνος προμηθειών ξεκινά ευγενικά, αλλά άμεσα.
«Ευχαριστούμε για την τεκμηρίωση, Μαρία. Το πιστοποιητικό και το πακέτο πολιτικών είναι ένα καλό σημείο εκκίνησης. Η ομάδα δέουσας επιμέλειάς μας θα βρίσκεται στις εγκαταστάσεις σας τον επόμενο μήνα. Θα θέλει να δει τη διαδικασία DSAR στην πράξη, να επαληθεύσει τους ελέγχους ελαχιστοποίησης δεδομένων στους δοκιμαστικούς λογαριασμούς μας, να ανασκοπήσει τα αρχεία καταγραφής πρόσβασης για το περιβάλλον παραγωγής και να επιθεωρήσει τεκμήρια ότι οι έλεγχοι προστασίας ιδιωτικότητας δοκιμάζονται και δεν είναι απλώς τεκμηριωμένοι.»
Μέσα σε λίγα λεπτά, η Μαρία λαμβάνει άλλα δύο μηνύματα.
Ο DPO ρωτά αν η νέα λειτουργία αναλυτικής καλύπτεται από το μητρώο επεξεργασίας, την αξιολόγηση νομικής βάσης, το πρόγραμμα διατήρησης και τις μετακυλιόμενες υποχρεώσεις του εκτελούντος την επεξεργασία.
Ο Διευθυντής Συμμόρφωσης ρωτά αν η ανασκόπηση ετοιμότητας ISO 27701:2025 μπορεί να αποδείξει ότι οι έλεγχοι PIMS λειτουργούν αποτελεσματικά.
Αυτή είναι η στιγμή όπου πολλά προγράμματα προστασίας ιδιωτικότητας κλονίζονται. Ο οργανισμός διαθέτει έγγραφα προστασίας ιδιωτικότητας, αλλά όχι αποδεικτικά στοιχεία προστασίας ιδιωτικότητας. Διαθέτει ροές εργασίας, αλλά όχι τεκμήρια βάσει δειγματοληψίας. Διαθέτει συμβάσεις, αλλά αδύναμα αρχεία παρακολούθησης. Διαθέτει εσωτερική πεποίθηση, αλλά όχι τεκμηριωμένη διαδρομή ελέγχου.
Αυτό το κενό είναι η διαφορά μεταξύ συμμόρφωσης στα χαρτιά και αποδείξιμης λογοδοσίας.
Το GDPR καθιστά το πρόβλημα ρητό. Ο υπεύθυνος επεξεργασίας είναι υπεύθυνος για τη συμμόρφωση με τις αρχές προστασίας δεδομένων και πρέπει να μπορεί να την αποδεικνύει. Τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε νόμιμη, θεμιτή και διαφανή επεξεργασία, για καθορισμένους σκοπούς, να περιορίζονται στα αναγκαία, να είναι ακριβή, να διατηρούνται μόνο για όσο απαιτείται και να προστατεύονται με κατάλληλα τεχνικά και οργανωτικά μέτρα.
Το ISO 27701:2025 παρέχει στους οργανισμούς τη δομή διαχείρισης προστασίας ιδιωτικότητας. Το ISO/IEC 27001:2022 παρέχει τη ραχοκοκαλιά του ISMS για το πεδίο εφαρμογής, την αντιμετώπιση κινδύνων, τον επιχειρησιακό έλεγχο, τον εσωτερικό έλεγχο, την ανασκόπηση της Διοίκησης και τη συνεχή βελτίωση. Το GDPR επιβάλλει το βάρος της νομικής λογοδοσίας. NIS2, DORA, NIST CSF 2.0, διασφάλιση τύπου COBIT 2019 και ανασκοπήσεις ασφάλειας πελατών αυξάνουν την πίεση να αποδεικνύεται ότι οι έλεγχοι λειτουργούν.
Η θέση της Clarysec είναι απλή: η δοκιμή ελέγχων προστασίας ιδιωτικότητας δεν πρέπει να είναι ένας ετήσιος αγώνας συλλογής στιγμιότυπων οθόνης. Πρέπει να είναι ένα σύστημα τεκμηρίων PIMS που συνδέει δραστηριότητες επεξεργασίας, εφαρμοστέους ελέγχους, κινδύνους, δείγματα, τεχνικές επαληθεύσεις, ευρήματα, CAPA και ανασκόπηση της Διοίκησης σε ένα ενιαίο ιχνηλάσιμο μοντέλο.
Εκεί είναι που το σύνολο πολιτικών PIMS της Clarysec, το Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές και το Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης μετατρέπονται σε επιχειρησιακά εργαλεία και όχι σε υλικό βιβλιοθήκης.
Η δοκιμή ελέγχων προστασίας ιδιωτικότητας είναι η γέφυρα μεταξύ πολιτικής και λογοδοσίας
Μια δοκιμή ελέγχου προστασίας ιδιωτικότητας απαντά σε τρία πρακτικά ερωτήματα:
- Είναι ο έλεγχος σχεδιασμένος ώστε να καλύπτει την υποχρέωση προστασίας ιδιωτικότητας ή να μειώνει τον σχετικό κίνδυνο;
- Έχει υλοποιηθεί ο έλεγχος στη σχετική διεργασία, σύστημα, ομάδα, προμηθευτή ή ροή εργασίας προϊόντος;
- Λειτουργεί ο έλεγχος αποτελεσματικά διαχρονικά, με τεκμήρια που θα ικανοποιούσαν έναν ελεγκτή, πελάτη, εποπτική αρχή ή επιτροπή του Διοικητικού Συμβουλίου;
Μια εταιρεία SaaS μπορεί να δηλώνει ότι υποστηρίζει αιτήματα διαγραφής. Μια δοκιμή σχεδιασμού ελέγχει αν έχουν οριστεί η πολιτική διαγραφής, η διαδικασία επαλήθευσης ταυτότητας, το μοντέλο ιδιοκτησίας, ο συντονισμός με τους εκτελούντες την επεξεργασία, οι εξαιρέσεις διατήρησης και ο χειρισμός αντιγράφων ασφαλείας. Μια δοκιμή λειτουργικής αποτελεσματικότητας λαμβάνει δείγμα ολοκληρωμένων αιτημάτων διαγραφής, συγκρίνει χρονοσημάνσεις, ελέγχει εγκρίσεις, ανασκοπεί αρχεία καταγραφής συστήματος, επαληθεύει τις γνωστοποιήσεις προς κατάντη εκτελούντες την επεξεργασία και επιβεβαιώνει τα τεκμήρια κλεισίματος.
Η Πολιτική Παρακολούθησης, Ελέγχου και Βελτίωσης PIMS το μετατρέπει σε ελέγξιμη απαίτηση:
[Αμφότεροι] Ο Εσωτερικός Ελεγκτής / Υπεύθυνος Ανασκόπησης Συμμόρφωσης ΠΡΕΠΕΙ να δοκιμάζει την κατάσταση υλοποίησης των εφαρμοστέων ελέγχων PIMS έναντι του REG03 κατά τη διάρκεια κάθε ελέγχου PIMS.
Από την ενότητα «Πρόγραμμα εσωτερικού ελέγχου PIMS», ρήτρα πολιτικής 4.2.5.
Η φράση «έναντι του REG03» είναι κεντρικής σημασίας. Η δοκιμή δεν είναι μια ελεύθερη συνέντευξη. Το REG03 λειτουργεί ως σημείο αναφοράς εφαρμοσιμότητας και υλοποίησης για τους ελέγχους PIMS. Δείχνει τι εφαρμόζεται, γιατί εφαρμόζεται και τι πρέπει να τεκμηριώνεται.
Η ίδια πολιτική προσθέτει:
[Αμφότεροι] Ο Εσωτερικός Ελεγκτής / Υπεύθυνος Ανασκόπησης Συμμόρφωσης ΠΡΕΠΕΙ να καταγράφει στο REG12 το επιλεγμένο δείγμα τεκμηρίων επεξεργασίας PII κατά τη διάρκεια κάθε ελέγχου PIMS.
Από την ενότητα «Πρόγραμμα εσωτερικού ελέγχου PIMS», ρήτρα πολιτικής 4.2.6.
Αυτός είναι ο πυρήνας της δοκιμής ελέγχων προστασίας ιδιωτικότητας ISO 27701:2025. Ένας έλεγχος PIMS χωρίς δείγμα είναι συζήτηση. Ένας έλεγχος PIMS με επιλεγμένα τεκμήρια, χαρτογράφηση ελέγχων, εξαιρέσεις, διορθωτικές ενέργειες και ιχνηλασιμότητα προς την ανασκόπηση της Διοίκησης είναι λογοδοσία.
Ξεκινήστε από το πεδίο εφαρμογής, τον ρόλο και την πραγματική επεξεργασία
Οι περισσότεροι αδύναμοι έλεγχοι προστασίας ιδιωτικότητας αποτυγχάνουν πριν ξεκινήσει η δοκιμή. Επιλέγουν γενικούς ελέγχους χωρίς να επιβεβαιώνουν ποια δεδομένα προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία, πού βρίσκονται, ποια συστήματα και ποιοι προμηθευτές τα επεξεργάζονται και αν ο οργανισμός ενεργεί ως υπεύθυνος επεξεργασίας, εκτελών την επεξεργασία, από κοινού υπεύθυνος επεξεργασίας ή υπεργολάβος επεξεργασίας.
Οι υποχρεώσεις GDPR εξαρτώνται σε μεγάλο βαθμό από τον ρόλο. Ένας υπεύθυνος επεξεργασίας που αποφασίζει γιατί και πώς υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα έχει διαφορετικές υποχρεώσεις από έναν εκτελούντα την επεξεργασία που ενεργεί βάσει τεκμηριωμένων εντολών πελάτη. Σημασία έχει επίσης η ευαισθησία των δεδομένων. Δεδομένα προσωπικού χαρακτήρα εργαζομένων, δεδομένα λογαριασμών πελατών, τηλεμετρία, χρηματοοικονομικά δεδομένα, βιομετρική επαλήθευση, δεδομένα που σχετίζονται με την υγεία, έλεγχοι κυρώσεων και δεδομένα ποινικών αδικημάτων δεν έχουν τον ίδιο κίνδυνο.
Ένα ισχυρό πρόγραμμα δοκιμών ISO 27701:2025 ξεκινά με πειθαρχημένο καθορισμό πεδίου εφαρμογής.
| Ερώτημα καθορισμού πεδίου εφαρμογής | Τεκμήρια προς επιθεώρηση | Γιατί έχει σημασία |
|---|---|---|
| Ποιες δραστηριότητες επεξεργασίας PII εμπίπτουν στο πεδίο εφαρμογής; | Μητρώο επεξεργασίας, αποτύπωση ροής δεδομένων, Αποθετήριο Περιουσιακών Στοιχείων Συστημάτων, μητρώο προμηθευτών | Η δοκιμή πρέπει να λαμβάνει δείγματα πραγματικής επεξεργασίας και όχι αφηρημένων δηλώσεων πολιτικής |
| Ποιος ρόλος PIMS εφαρμόζεται; | Χαρτογράφηση υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία, από κοινού υπευθύνου επεξεργασίας, υπεργολάβου επεξεργασίας | Οι υποχρεώσεις GDPR και οι έλεγχοι PIMS διαφέρουν ανά ρόλο |
| Ποιες νομικές, συμβατικές και κανονιστικές υποχρεώσεις εφαρμόζονται; | Αξιολόγηση GDPR, DPA πελατών, κλαδικοί κανόνες, εκτιμήσεις διαβίβασης | Ο σχεδιασμός των ελέγχων πρέπει να αντικατοπτρίζει τις πραγματικές υποχρεώσεις |
| Ποια συστήματα και ποιοι προμηθευτές επεξεργάζονται PII; | Αποθετήριο Περιουσιακών Στοιχείων, απογραφή περιβάλλοντος νέφους, κατάλογος εκτελούντων την επεξεργασία, πίνακας πρόσβασης | Οι λειτουργικές δοκιμές χρειάζονται τεχνικά τεκμήρια και τεκμήρια τρίτων μερών |
| Ποιες αλλαγές επηρεάζουν την επεξεργασία PII; | Αρχεία αλλαγών προϊόντος, εναύσματα DPIA, σημειώσεις έκδοσης, ανασκοπήσεις αρχιτεκτονικής | Η προστασία δεδομένων ήδη από τον σχεδιασμό πρέπει να δοκιμάζεται πριν από την κυκλοφορία και όχι μετά από καταγγελίες |
Το ISO/IEC 27001:2022 υποστηρίζει αυτή την ενοποιημένη προσέγγιση μέσω των απαιτήσεών του για το πλαίσιο του οργανισμού, τις απαιτήσεις ενδιαφερόμενων μερών, τις νομικές και συμβατικές υποχρεώσεις, το πεδίο εφαρμογής του συστήματος διαχείρισης, τον επιχειρησιακό σχεδιασμό και την αντιμετώπιση κινδύνων. Για την προστασία ιδιωτικότητας, αυτό σημαίνει ότι η επεξεργασία PII δεν μπορεί να παραμένει σε αποσυνδεδεμένο υπολογιστικό φύλλο. Πρέπει να αποτελεί μέρος του λειτουργικού μοντέλου του ISMS και του PIMS.
Η Πολιτική Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας συνδέει τη δοκιμή προστασίας ιδιωτικότητας απευθείας με τη διακυβέρνηση:
[Όλοι] Η Ανώτατη Διοίκηση ΠΡΕΠΕΙ να ανασκοπεί ετησίως στο REG12 την απόδοση του PIMS, τους στόχους προστασίας ιδιωτικότητας, τους ανοικτούς κινδύνους, τις μη συμμορφώσεις, τις διορθωτικές ενέργειες και τις αποφάσεις βελτίωσης.
Από την ενότητα «Διακυβέρνηση PIMS», ρήτρα πολιτικής 6.1.1.
Αν η δοκιμή εντοπίσει κενό προστασίας ιδιωτικότητας, δεν πρόκειται απλώς για σημείωση ελέγχου. Είναι είσοδος του συστήματος διαχείρισης που πρέπει να επηρεάζει την αντιμετώπιση κινδύνων, τις προτεραιότητες, τους πόρους και τις αποφάσεις της ηγεσίας.
Αποτελεσματικότητα σχεδιασμού έναντι λειτουργικής αποτελεσματικότητας
Όταν ένας πελάτης ρωτά αν οι έλεγχοι προστασίας ιδιωτικότητας δοκιμάζονται, συνήθως εννοεί τη λειτουργική αποτελεσματικότητα. Οι ελεγκτές, όμως, θα εξετάσουν και την αποτελεσματικότητα σχεδιασμού.
Ένας έλεγχος με αποτελεσματικό σχεδιασμό είναι ικανός να καλύψει την απαίτηση εφόσον εκτελεστεί όπως προβλέπεται. Ένας λειτουργικά αποτελεσματικός έλεγχος εκτελείται πράγματι με συνέπεια και υποστηρίζεται από τεκμήρια.
| Περιοχή ελέγχου | Δοκιμή αποτελεσματικότητας σχεδιασμού | Δοκιμή λειτουργικής αποτελεσματικότητας |
|---|---|---|
| Λήψη συγκατάθεσης | Επαλήθευση πολιτικής, κειμένου συγκατάθεσης, κανόνων νομικής βάσης, απαιτήσεων UI, ροής εργασίας ανάκλησης | Δειγματοληψία αρχείων συγκατάθεσης και ανακλήσεων, σύγκριση χρονοσημάνσεων, επαλήθευση αποκλεισμού μετά την ανάκληση |
| Περιορισμός σκοπού | Ανασκόπηση RoPA, ενημέρωσης προστασίας ιδιωτικότητας, απαιτήσεων προϊόντος, διαχωρισμού συγκατάθεσης, κανόνων χρήσης δεδομένων | Δειγματοληψία αρχείων χρηστών, αρχείων καταγραφής, εξαγωγών και ροών αναλυτικής για επιβεβαίωση ότι τα PII δεν επαναχρησιμοποιούνται για μη εξουσιοδοτημένους σκοπούς |
| Πρόσβαση σε PII | Ανασκόπηση πολιτικής πρόσβασης, μοντέλου ρόλων, διαδικασίας νεοεισερχομένων, μετακινούμενων και αποχωρούντων, ροής έγκρισης | Δειγματοληψία χρηστών με πρόσβαση σε PII, επαλήθευση έγκρισης, επιχειρησιακής ανάγκης, MFA, πρόσφατης ανασκόπησης δικαιωμάτων πρόσβασης |
| Ένταξη εκτελούντος την επεξεργασία | Ανασκόπηση κριτηρίων δέουσας επιμέλειας, ρητρών DPA, κανόνων υπεργολάβων επεξεργασίας, δικλίδων διαβίβασης | Δειγματοληψία εκτελούντων την επεξεργασία, επιθεώρηση αξιολόγησης, σύμβασης, ανασκόπησης ασφάλειας, τεκμηρίων παρακολούθησης υπεργολάβων επεξεργασίας |
| Διατήρηση και διαγραφή | Ανασκόπηση προγράμματος διατήρησης, κανόνων εξαιρέσεων, διαδικασίας διαγραφής, δυνατότητας συστήματος | Δειγματοληψία διαγραμμένων εγγραφών ή αιτημάτων διαγραφής, επιθεώρηση αρχείων καταγραφής, αιτημάτων, επιβεβαιώσεων εκτελούντων την επεξεργασία |
| Χειρισμός παραβιάσεων | Ανασκόπηση ταξινόμησης περιστατικών, κλιμάκωσης προστασίας ιδιωτικότητας, κριτηρίων ειδοποίησης αρμόδιας αρχής | Δειγματοληψία αρχείων περιστατικών, επαλήθευση αρχικής αξιολόγησης, αιτιολόγησης αποφάσεων, γνωστοποιήσεων, διδαγμάτων που αντλήθηκαν |
Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης διατυπώνει απευθείας τον σκοπό:
Επικύρωση της αποτελεσματικότητας των ελέγχων ασφάλειας και προστασίας ιδιωτικότητας
Από την ενότητα «Σκοπός», ρήτρα πολιτικής 1.1.1.
Η έκδοση για ΜΜΕ διατηρεί την ίδια αρχή διασφάλισης σε επιχειρησιακή γλώσσα. Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης - ΜΜΕ αναφέρει:
Η παρούσα πολιτική καθορίζει την προσέγγιση του οργανισμού για τη διενέργεια εσωτερικών ελέγχων, ανασκοπήσεων ελέγχων ασφάλειας και παρακολούθησης συμμόρφωσης. Διασφαλίζει ότι όλοι οι έλεγχοι, οι πολιτικές, τα συστήματα και οι πάροχοι υπηρεσιών υπόκεινται σε τακτική και δομημένη ανασκόπηση.
Από την ενότητα «Σκοπός», ρήτρα πολιτικής 1.1.
Η ετοιμότητα ISO 27701 δεν αφορά το μέγεθος της εταιρείας. Ένας εκτελών την επεξεργασία SaaS με 30 άτομα μπορεί να μην χρειάζεται τα ίδια εργαλεία ελέγχου με μια παγκόσμια τράπεζα, αλλά εξακολουθεί να πρέπει να αποδεικνύει ότι η πρόσβαση, η διαγραφή, η κλιμάκωση περιστατικών, η διακυβέρνηση υπεργολάβων επεξεργασίας και η διατήρηση τεκμηρίων ελέγχονται.
Η αλυσίδα τεκμηρίων της Clarysec: REG03, REG12, CAPA και ανασκόπηση
Η Clarysec δομεί τη δοκιμή ελέγχων προστασίας ιδιωτικότητας γύρω από μια απλή αλυσίδα τεκμηρίων.
Το REG03 ορίζει τους εφαρμοστέους ελέγχους PIMS και την κατάσταση υλοποίησής τους. Το REG12 καταγράφει δείγματα, τεκμήρια, ευρήματα, κενά ιχνηλασιμότητας, επαλήθευση διορθωτικών ενεργειών και εισροές για την ανασκόπηση της Διοίκησης. Τα αρχεία CAPA μετατρέπουν τα ευρήματα σε βελτιώσεις βάσει ανάλυσης βασικής αιτίας. Η Ανώτατη Διοίκηση ανασκοπεί την απόδοση του PIMS, τους κινδύνους, τις μη συμμορφώσεις, τις διορθωτικές ενέργειες και τις αποφάσεις βελτίωσης.
Η Πολιτική Τεκμηριωμένων Πληροφοριών και Διαχείρισης Τεκμηρίων PIMS απαιτεί την καταγραφή ζητημάτων ποιότητας τεκμηρίων:
[Όλοι] Ο Εσωτερικός Ελεγκτής / Υπεύθυνος Ανασκόπησης Συμμόρφωσης ΠΡΕΠΕΙ να καταγράφει στο REG12 κενά πληρότητας, ακρίβειας ή ιχνηλασιμότητας τεκμηρίων κατά τη διάρκεια κάθε προγραμματισμένου ελέγχου ή ανασκόπησης συμμόρφωσης.
Από την ενότητα «Δημιουργία, ονοματοδοσία και ποιότητα τεκμηρίων», ρήτρα πολιτικής 4.3.4.
Αυτό έχει σημασία επειδή δεν είναι κάθε εύρημα συνολική αστοχία ελέγχου. Μερικές φορές ο έλεγχος λειτούργησε, αλλά τα τεκμήρια είναι ελλιπή. Μερικές φορές ένα αίτημα διαγραφής έχει κλείσει, αλλά κανένα αρχείο καταγραφής συστήματος δεν αποδεικνύει τη διαγραφή. Μερικές φορές το μητρώο επεξεργασίας αναφέρει το CRM, αλλά παραλείπει την εξαγωγή προς την αποθήκη δεδομένων. Μερικές φορές υπάρχει σύμβαση προμηθευτή, αλλά απουσιάζει η συνεχής παρακολούθηση.
Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης απαιτεί επίσης δομημένους εσωτερικούς ελέγχους:
Οι εσωτερικοί έλεγχοι πρέπει να ακολουθούν τεκμηριωμένη διαδικασία που περιλαμβάνει:
Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.1.1.
Και όταν προκύπτουν ευρήματα:
Όλα τα ευρήματα πρέπει να οδηγούν σε τεκμηριωμένη CAPA που περιλαμβάνει:
Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.2.1.
Η Πολιτική Διαχείρισης Κινδύνων - ΜΜΕ ενισχύει την πειθαρχία κλεισίματος:
Η ολοκλήρωση και η αποτελεσματικότητα των ενεργειών αντιμετώπισης πρέπει να επαληθεύονται.
Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.3.2.
Η Πολιτική Παρακολούθησης, Ελέγχου και Βελτίωσης PIMS κλείνει τον κύκλο:
[Όλοι] Ο Εσωτερικός Ελεγκτής / Υπεύθυνος Ανασκόπησης Συμμόρφωσης ΠΡΕΠΕΙ να επαληθεύει την αποτελεσματικότητα των διορθωτικών ενεργειών στο REG12 εντός 30 ημερών από το αναφερόμενο κλείσιμο της διορθωτικής ενέργειας.
Από την ενότητα «Μη συμμόρφωση και διορθωτική ενέργεια», ρήτρα πολιτικής 4.4.7.
Αυτή είναι η διαφορά μεταξύ της διόρθωσης ενός αιτήματος και της βελτίωσης ενός συστήματος διαχείρισης.
Πρακτική δοκιμή 1: αιτήματα διαγραφής και λογοδοσία βάσει GDPR
Τα αιτήματα διαγραφής είναι ένας από τους σαφέστερους τρόπους δοκιμής του κατά πόσο η λογοδοσία προστασίας ιδιωτικότητας λειτουργεί στην πράξη.
Ας υποθέσουμε ότι μια μεσαία εταιρεία SaaS ενεργεί τόσο ως υπεύθυνος επεξεργασίας όσο και ως εκτελών την επεξεργασία. Ελέγχει δεδομένα εργαζομένων, μάρκετινγκ και τιμολόγησης. Επεξεργάζεται δεδομένα τελικών χρηστών πελατών για λογαριασμό εταιρικών πελατών. Ο οργανισμός θέλει να δοκιμάσει αν οι έλεγχοι διαγραφής είναι έτοιμοι για έλεγχο ISO 27701:2025 και διασφάλιση προς πελάτες βάσει GDPR.
Βήμα 1: Επιλέξτε τη δραστηριότητα επεξεργασίας από το REG03
Επιλέξτε μια δραστηριότητα επεξεργασίας με πραγματικό κίνδυνο προστασίας ιδιωτικότητας, όπως «δεδομένα προφίλ τελικών χρηστών πελατών που υποβάλλονται σε επεξεργασία στην πλατφόρμα SaaS». Επιβεβαιώστε αν ο οργανισμός ενεργεί ως υπεύθυνος επεξεργασίας, εκτελών την επεξεργασία ή και τα δύο. Προσδιορίστε τους συνδεδεμένους ελέγχους για χειρισμό δικαιωμάτων, επικύρωση εντολών εκτελούντος την επεξεργασία, διατήρηση, διαγραφή, έλεγχο πρόσβασης, καταγραφή, χειρισμό αντιγράφων ασφαλείας και συντονισμό προμηθευτών.
Βήμα 2: Ορίστε ακριβή στόχο δοκιμής
Ένας χρήσιμος στόχος δοκιμής είναι συγκεκριμένος και βασισμένος σε τεκμήρια:
«Να επαληθευτεί ότι τα αιτήματα διαγραφής για δεδομένα προφίλ τελικών χρηστών πελατών λαμβάνονται, αυθεντικοποιούνται ή επικυρώνονται ως προς την εντολή, εκτελούνται εντός της καθορισμένης ροής εργασίας, καταγράφονται, ολοκληρώνονται τεχνικά στα συστήματα παραγωγής, μετακυλίονται στους σχετικούς υπεργολάβους επεξεργασίας όπου απαιτείται και κλείνουν με τεκμήρια.»
Βήμα 3: Λάβετε αντιπροσωπευτικό δείγμα
Επιλέξτε πέντε αιτήματα διαγραφής από το τελευταίο τρίμηνο. Συμπεριλάβετε ένα συνήθες αίτημα, ένα αίτημα που αφορά διαχειριστή πελάτη, ένα αίτημα βάσει εντολής εκτελούντος την επεξεργασία, ένα αίτημα με εξαίρεση διατήρησης και ένα αίτημα που αφορά χειρισμό αντιγράφων ασφαλείας.
Το Zenith Blueprint, στη φάση Ελέγχου, Ανασκόπησης και Βελτίωσης, Βήμα 26: Εκτέλεση ελέγχου, τονίζει τη δειγματοληψία και τη συλλογή τεκμηρίων:
✓ Πραγματοποιήστε συνεντεύξεις με το σχετικό προσωπικό: Ζητήστε από τα άτομα που είναι υπεύθυνα για τις διεργασίες να εξηγήσουν πώς καλύπτουν τις απαιτήσεις. Για παράδειγμα, ρωτήστε τον Ιδιοκτήτη Κινδύνου για την τελευταία αξιολόγηση κινδύνου ή ρωτήστε το HR πώς εκπαιδεύονται οι νέες προσλήψεις στην ασφάλεια (για να καλυφθεί ο έλεγχος 6.3 σχετικά με την ευαισθητοποίηση).
✓ Ανασκοπήστε την τεκμηρίωση: Ελέγξτε ότι τα έγγραφα και τα αρχεία υπάρχουν και είναι επικαιροποιημένα.
✓ Παρατηρήστε πρακτικές: Όπου είναι δυνατό, πραγματοποιήστε άμεση παρατήρηση.
✓ Λάβετε δείγμα και κάντε δειγματοληπτικό έλεγχο: Δεν μπορείτε να ελέγξετε τα πάντα, γι’ αυτό χρησιμοποιήστε δειγματοληψία.
Από τη φάση Ελέγχου, Ανασκόπησης και Βελτίωσης, Βήμα 26: Εκτέλεση ελέγχου (Διενέργεια εσωτερικού ελέγχου).
Βήμα 4: Επιθεωρήστε τα τεκμήρια για κάθε δείγμα
Για κάθε δειγματοληπτικό αίτημα, συλλέξτε το εισερχόμενο αίτημα, την ταξινόμηση ρόλου, την επαλήθευση ταυτότητας ή την εξουσιοδότηση πελάτη, το αρχείο καταγραφής διαγραφής συστήματος, την απόφαση εξαίρεσης διατήρησης, την εξήγηση χειρισμού αντιγράφων ασφαλείας, τη γνωστοποίηση προς υπεργολάβο επεξεργασίας, την επικοινωνία κλεισίματος, τις χρονοσημάνσεις και την έγκριση ανασκοπητή.
Βήμα 5: Καταγράψτε τα αποτελέσματα στο REG12
Καταγράψτε στο REG12 το δείγμα, την πηγή τεκμηρίων, το αποτέλεσμα ελέγχου, την εξαίρεση και το κενό ιχνηλασιμότητας. Αν η διαγραφή πραγματοποιήθηκε αλλά δεν υπάρχει αρχείο καταγραφής παραγωγής, ο έλεγχος μπορεί να λειτούργησε αλλά τα τεκμήρια είναι αδύναμα. Αν το αίτημα καθυστέρησε επειδή η ευθύνη του προμηθευτή ήταν ασαφής, το εύρημα μπορεί να αφορά τη διακυβέρνηση τρίτων μερών και τις συμβατικές μετακυλιόμενες υποχρεώσεις.
Βήμα 6: Δημιουργήστε CAPA και επαληθεύστε την αποτελεσματικότητα
Αν η βασική αιτία είναι ασαφής ιδιοκτησία μεταξύ υποστήριξης, Νομικού Τμήματος και μηχανικής, η CAPA μπορεί να περιλαμβάνει αναθεωρημένη ροή εργασίας, επικαιροποιημένο RACI, υποχρεωτικά πεδία τεκμηρίων και μηνιαίους δειγματοληπτικούς ελέγχους διαγραφής.
Το Zenith Blueprint, στη φάση Ελέγχου, Ανασκόπησης και Βελτίωσης, Βήμα 29, εξηγεί την προσδοκία κλεισίματος:
Σχεδιάστε πώς θα επαληθεύσετε την αποτελεσματικότητα κάθε διορθωτικής ενέργειας. Αυτό μπορεί να σημαίνει προγραμματισμό επακόλουθου ελέγχου ή ελέγχου επαλήθευσης. Για παράδειγμα, αν η διορθωτική ενέργεια ήταν η εκπαίδευση του προσωπικού ΤΠ στον έλεγχο πρόσβασης, μπορείτε να σχεδιάσετε ανασκόπηση νέων λογαριασμών σε έναν μήνα για να διαπιστώσετε αν όλοι έχουν τις κατάλληλες εγκρίσεις (επαλήθευση).
Από τη φάση Ελέγχου, Ανασκόπησης και Βελτίωσης, Βήμα 29: Συνεχής βελτίωση (Διορθωτικές ενέργειες και διδάγματα που αντλήθηκαν).
Για τη διαγραφή, η επαλήθευση μπορεί να σημαίνει δειγματοληψία των επόμενων πέντε αιτημάτων διαγραφής μετά τη θέση σε λειτουργία της αναθεωρημένης ροής εργασίας. Μόνο τότε πρέπει να κλείσει η CAPA.
Πρακτική δοκιμή 2: περιορισμός σκοπού και ελαχιστοποίηση δεδομένων
Μια δεύτερη δοκιμή υψηλής αξίας είναι ο περιορισμός σκοπού. Είναι ιδιαίτερα χρήσιμη πριν από δέουσα επιμέλεια πελάτη, κυκλοφορίες αναλυτικής, εμπλουτισμό AI, επέκταση αποθήκης δεδομένων ή αλλαγές αυτοματοποίησης μάρκετινγκ.
Η πλατφόρμα SaaS της Μαρίας συλλέγει δεδομένα χρηστών πελατών για την παροχή υπηρεσιών. Ο στόχος ελέγχου είναι να διασφαλιστεί ότι τα PII χρησιμοποιούνται μόνο για καθορισμένους και νόμιμους σκοπούς και δεν επαναχρησιμοποιούνται για αναλυτική μάρκετινγκ, εκτός αν ο χρήστης έχει δώσει ρητή, χωριστή συγκατάθεση όπου απαιτείται.
| Τύπος τεκμηρίων | Συγκεκριμένα τεχνουργήματα |
|---|---|
| Τεκμηρίωση | Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας, RoPA, DPA πελάτη, ενημερώσεις προστασίας ιδιωτικότητας, αρχεία διαχείρισης συγκατάθεσης |
| Τεχνική παραμετροποίηση | Κανόνες διαχείρισης δεδομένων εφαρμογής, σχήματα βάσεων δεδομένων, παραμετροποιήσεις Διεπαφών Προγραμματισμού Εφαρμογών, ρυθμίσεις εργασιών ETL |
| Αρχεία καταγραφής και αρχεία | Αρχεία καταγραφής πρόσβασης εφαρμογής, αρχεία καταγραφής ερωτημάτων βάσεων δεδομένων, ιστορικό αλλαγών συγκατάθεσης, αρχεία εξαγωγής εκστρατειών |
| Τεκμήρια προσωπικού | Συνεντεύξεις με Ιδιοκτήτη Προϊόντος, επικεφαλής προγραμματιστή, διαχειριστή βάσης δεδομένων, υπεύθυνο προστασίας ιδιωτικότητας |
Μια ισχυρή λειτουργική δοκιμή δεν σταματά στην πολιτική. Λαμβάνει δείγματα χρηστών που επέλεξαν συμμετοχή στο μάρκετινγκ και χρηστών που δεν το έπραξαν. Ιχνηλατεί αν η κατάσταση συγκατάθεσης αποτυπώνεται σωστά στις βασικές βάσεις δεδομένων εφαρμογών, στους πίνακες αποθήκης δεδομένων, στα εργαλεία εκστρατειών, στους πίνακες ελέγχου και στις εξαγωγές. Αν χρήστες χωρίς συγκατάθεση εμφανίζονται σε κοινό μάρκετινγκ, ο οργανισμός έχει συγκεκριμένη μη συμμόρφωση.
Η Πολιτική Ελέγχου και Παρακολούθησης Συμμόρφωσης για ΜΜΕ παρέχει τη σωστή νοοτροπία μέσω παραδείγματος τεχνικής δοκιμής:
Τεχνική επαλήθευση ελέγχων (π.χ. κατάσταση αντιγράφων ασφαλείας, παραμετροποίηση ελέγχου πρόσβασης, αρχεία διορθώσεων)
Από την ενότητα «Απαιτήσεις εφαρμογής της πολιτικής», ρήτρα πολιτικής 6.1.1.2.
Για την προστασία ιδιωτικότητας, η τεχνική επαλήθευση ελέγχων περιλαμβάνει ελέγχους συγχρονισμού συγκατάθεσης, εξαγωγές ελέγχου πρόσβασης, αρχεία καταγραφής διαγραφής, ρυθμίσεις κρυπτογράφησης, δοκιμές απόκρυψης δεδομένων, ειδοποιήσεις DLP, περιορισμούς αντιγράφων ασφαλείας, συμβάντα παρακολούθησης και τεκμήρια προμηθευτών.
Χαρτογράφηση της δοκιμής προστασίας ιδιωτικότητας στο ISO/IEC 27001:2022 και στη διασταυρούμενη συμμόρφωση της Clarysec
Οι έλεγχοι προστασίας ιδιωτικότητας δεν λειτουργούν απομονωμένα. Η προστασία PII εξαρτάται από το Αποθετήριο Περιουσιακών Στοιχείων, την ταξινόμηση, τον έλεγχο πρόσβασης, τη διακυβέρνηση υπηρεσιών νέφους, την απόκρυψη δεδομένων, τη μεταφορά πληροφοριών, την καταγραφή, την παρακολούθηση, τη διαγραφή, την προστασία αρχείων, την εποπτεία προμηθευτών και την ανεξάρτητη ανασκόπηση.
Στο Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης, ο έλεγχος 5.34 του Παραρτήματος A του ISO/IEC 27001:2022, Προστασία ιδιωτικότητας και προστασία PII, χαρτογραφείται ως προληπτικός έλεγχος ευθυγραμμισμένος με την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα, με τις έννοιες κυβερνοασφάλειας Identify και Protect και με επιχειρησιακές δυνατότητες στην Προστασία Πληροφοριών και στη Νομική και Συμμόρφωση.
Η σχέση του με την απογραφή είναι άμεση:
Ένα αποθετήριο πληροφοριακών περιουσιακών στοιχείων (5.9) πρέπει να περιλαμβάνει αποθέματα δεδομένων PII (βάσεις δεδομένων πελατών, αρχεία HR). Αυτό υποστηρίζει το 5.34 διασφαλίζοντας ότι ο οργανισμός γνωρίζει ποια PII διαθέτει και πού βρίσκονται, κάτι που αποτελεί το πρώτο βήμα για την προστασία τους.
Από το Zenith Controls, Προστασία ιδιωτικότητας και προστασία PII, έλεγχος 5.34.
Για τη δοκιμή ελέγχου, αυτό σημαίνει ότι ο ελεγκτής προστασίας ιδιωτικότητας δεν πρέπει να ξεκινά μόνο από την ενημέρωση προστασίας ιδιωτικότητας. Πρέπει να ξεκινά από την απογραφή PII, το μητρώο επεξεργασίας, τις ροές δεδομένων, το Αποθετήριο Περιουσιακών Στοιχείων και την απογραφή προμηθευτών. Αν η απογραφή είναι ελλιπής, οι κατάντη έλεγχοι προστασίας ιδιωτικότητας δεν μπορούν να είναι πλήρως αξιόπιστοι.
Ο οδηγός χαρτογραφεί επίσης τον έλεγχο 5.34 του Παραρτήματος A του ISO/IEC 27001:2022 σε συναφείς ελέγχους όπως 5.9 Απογραφή πληροφοριακών και άλλων συναφών περιουσιακών στοιχείων, 5.12 Ταξινόμηση πληροφοριών, 5.14 Μεταφορά πληροφοριών, 5.15 Έλεγχος πρόσβασης, 5.16 Διαχείριση ταυτοτήτων, 5.23 Ασφάλεια πληροφοριών για τη χρήση υπηρεσιών νέφους, 5.33 Προστασία αρχείων, 8.11 Απόκρυψη δεδομένων, 8.12 Πρόληψη διαρροής δεδομένων και 8.10 Διαγραφή πληροφοριών.
Δύο επιπλέον έλεγχοι του Παραρτήματος A του ISO/IEC 27001:2022 είναι ιδιαίτερα σχετικοί:
| Έλεγχος ISO/IEC 27001:2022 | Συνάφεια με τη δοκιμή προστασίας ιδιωτικότητας | Παράδειγμα τεκμηρίων |
|---|---|---|
| 5.34 Προστασία ιδιωτικότητας και προστασία PII | Επιβεβαιώνει ότι οι απαιτήσεις προστασίας ιδιωτικότητας και προστασίας PII εφαρμόζονται βάσει νόμων, κανονισμών και συμβάσεων | Μητρώο επεξεργασίας, DPIAs, αρχεία νομικής βάσης, τεκμήρια DSR, αρχεία καταγραφής διατήρησης |
| 5.35 Ανεξάρτητη ανασκόπηση της ασφάλειας πληροφοριών | Παρέχει αντικειμενική επικύρωση ότι οι ρυθμίσεις ασφάλειας, συμπεριλαμβανομένων των σχετικών με την προστασία ιδιωτικότητας ελέγχων, ανασκοπούνται ανεξάρτητα | Αναφορές εσωτερικού ελέγχου, αποτελέσματα εξωτερικής ανασκόπησης, δείγματα REG12, αρχεία CAPA |
| 5.36 Συμμόρφωση με πολιτικές, κανόνες και πρότυπα ασφάλειας πληροφοριών | Επιβεβαιώνει τη συνεχή συμμόρφωση με εσωτερικούς κανόνες και πρότυπα | Ανασκοπήσεις συμμόρφωσης με πολιτικές, έλεγχοι πρόσβασης, αποτελέσματα παρακολούθησης, αρχεία καταγραφής εξαιρέσεων |
Η Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας απαιτεί:
Εσωτερικός έλεγχος συμμόρφωσης προστασίας ιδιωτικότητας πρέπει να διενεργείται ετησίως ή σε περίπτωση σημαντικών οργανωτικών ή κανονιστικών αλλαγών. Το πεδίο εφαρμογής του ελέγχου πρέπει να περιλαμβάνει:
Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.4.
Περαιτέρω περιλαμβάνει:
Αποτελεσματικότητα των τεχνικών και οργανωτικών μέτρων
Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.4.1.
Η Πολιτική Προστασίας Δεδομένων και Ιδιωτικότητας - ΜΜΕ διατηρεί την ίδια προσδοκία σε πρακτικό επίπεδο:
Τακτικοί έλεγχοι προστασίας ιδιωτικότητας ή επαληθεύσεις ελέγχων πρέπει να πραγματοποιούνται και να καταγράφονται
Από την ενότητα «Απαιτήσεις διακυβέρνησης», ρήτρα πολιτικής 5.3.3.
Γιατί η λογοδοσία βάσει GDPR είναι πλέον ζήτημα κυβερνοδιακυβέρνησης
Τα τεκμήρια προστασίας ιδιωτικότητας δεν ζητούνται πλέον μόνο από ελεγκτές προστασίας ιδιωτικότητας. Τα ίδια αποδεικτικά στοιχεία μπορεί να ζητηθούν από ελεγκτή ISO 27701:2025, ελεγκτή ISO/IEC 27001:2022, ανασκοπητή GDPR, αρμόδια αρχή NIS2, πελάτη που υπόκειται στον DORA, αξιολογητή NIST CSF ή επιτροπή κινδύνων του Διοικητικού Συμβουλίου.
Το NIS2 Article 21 απαιτεί από βασικές και σημαντικές οντότητες να εφαρμόζουν κατάλληλα και αναλογικά τεχνικά, επιχειρησιακά και οργανωτικά μέτρα για τη διαχείριση κινδύνων κυβερνοασφάλειας. Το Article 21(2)(f) περιλαμβάνει ρητά πολιτικές και διαδικασίες για την αξιολόγηση της αποτελεσματικότητας των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας. Το NIS2 καθιστά επίσης τα διοικητικά όργανα υπεύθυνα για την έγκριση και την εποπτεία των μέτρων διαχείρισης κινδύνων κυβερνοασφάλειας.
Το DORA εφαρμόζεται από τις 17 Ιανουαρίου 2025 για τις χρηματοοικονομικές οντότητες και θεσπίζει ένα λεπτομερές πλαίσιο κανόνων ψηφιακής επιχειρησιακής ανθεκτικότητας. Απαιτεί διαχείριση κινδύνων ΤΠΕ, εποπτεία διοικητικού οργάνου, εσωτερικό έλεγχο, αποκατάσταση κρίσιμων ευρημάτων, ταξινόμηση και αναφορά περιστατικών, δοκιμές ανθεκτικότητας, διαχείριση κινδύνων ΤΠΕ τρίτων μερών, συμβατικούς ελέγχους, μητρώα συμβάσεων υπηρεσιών ΤΠΕ και στρατηγικές εξόδου. Οι πάροχοι ΤΠΕ που εξυπηρετούν χρηματοοικονομικές οντότητες πρέπει να αναμένουν αιτήματα τεκμηρίων που απορρέουν από τον DORA μέσω διασφάλισης προς πελάτες.
Το NIST CSF 2.0 παρέχει ένα χρήσιμο επίπεδο μετάφρασης. Η λειτουργία GOVERN αναμένει από τους οργανισμούς να κατανοούν τις προσδοκίες των ενδιαφερόμενων μερών, τις εξαρτήσεις και τις νομικές, κανονιστικές, συμβατικές υποχρεώσεις, καθώς και τις υποχρεώσεις προστασίας ιδιωτικότητας και πολιτικών ελευθεριών. Η προσέγγιση των Profiles βοηθά στη σύγκριση των τρεχόντων αποτελεσμάτων με τα επιθυμητά αποτελέσματα, στον εντοπισμό κενών και στην ιεράρχηση σχεδίων ενεργειών.
| Πίεση απαιτήσεων | Τι πρέπει να παράγει η δοκιμή ελέγχων προστασίας ιδιωτικότητας | Σημείο αναφοράς Clarysec |
|---|---|---|
| Λογοδοσία GDPR | Τεκμήρια ότι οι αρχές, η νομική βάση, τα δικαιώματα, η ασφάλεια, η διατήρηση και οι υποχρεώσεις εκτελούντος την επεξεργασία πληρούνται αποδείξιμα | Πολιτικές PIMS, REG03, REG12, CAPA |
| Ετοιμότητα ISO 27701:2025 | Δοκιμασμένοι έλεγχοι PIMS, εφαρμοσιμότητα βάσει ρόλου, ποιότητα τεκμηρίων, εσωτερικός έλεγχος, ανασκόπηση της Διοίκησης | Πολιτική Παρακολούθησης, Ελέγχου και Βελτίωσης PIMS |
| Διασφάλιση ISO/IEC 27001:2022 | Ιχνηλασιμότητα αντιμετώπισης κινδύνων, αιτιολόγηση SoA, επιχειρησιακός έλεγχος, έλεγχος, ανασκόπηση, βελτίωση | Zenith Blueprint, οδηγός διασταυρούμενης συμμόρφωσης Zenith Controls |
| Διακυβέρνηση NIS2 | Αξιολόγηση αποτελεσματικότητας, ετοιμότητα αντιμετώπισης περιστατικών, έλεγχοι προμηθευτών, εποπτεία διοίκησης | Χαρτογράφηση ελέγχων 5.35 και 5.36 του Παραρτήματος A του ISO/IEC 27001:2022 |
| Διασφάλιση DORA | Δοκιμή ελέγχων ΤΠΕ, δοκιμές ανθεκτικότητας, τεκμήρια τρίτων μερών, αρχεία κύκλου ζωής περιστατικών | Διασταυρωμένα χαρτογραφημένο μοντέλο ελεγκτικών τεκμηρίων |
| NIST CSF 2.0 | Current Profile, Target Profile, ανάλυση κενών, ιεραρχημένη βελτίωση | Zenith Blueprint Βήματα 24, 26, 29 |
Το Zenith Blueprint ενισχύει την ιχνηλασιμότητα στο Βήμα 24:
Το SoA σας πρέπει να είναι συνεπές με το Μητρώο Κινδύνων και το Σχέδιο Αντιμετώπισης Κινδύνων. Ελέγξτε ξανά ότι κάθε έλεγχος που επιλέξατε ως αντιμετώπιση κινδύνου έχει επισημανθεί ως «Εφαρμόσιμος» στο SoA. Αντίστροφα, αν ένας έλεγχος έχει επισημανθεί ως «Εφαρμόσιμος» στο SoA, πρέπει να έχετε αιτιολόγηση γι’ αυτόν — συνήθως χαρτογραφημένο κίνδυνο, νομική/κανονιστική απαίτηση ή επιχειρησιακή ανάγκη.
Από τη φάση Ελέγχου, Ανασκόπησης και Βελτίωσης, Βήμα 24: Έλεγχος, Ανασκόπηση και Βελτίωση.
Για τη δοκιμή ελέγχων προστασίας ιδιωτικότητας, η ίδια αρχή εφαρμόζεται στην εφαρμοσιμότητα PIMS. Κάθε εφαρμοστέος έλεγχος προστασίας ιδιωτικότητας πρέπει να ιχνηλατείται σε κίνδυνο επεξεργασίας, νομική υποχρέωση, απαίτηση πελάτη ή επιχειρησιακή ανάγκη. Κάθε δοκιμή πρέπει να ιχνηλατείται πίσω σε αυτόν τον έλεγχο.
Πώς θα κρίνουν διαφορετικοί ελεγκτές τον ίδιο έλεγχο
Ένα ισχυρό πρόγραμμα δοκιμών προστασίας ιδιωτικότητας προβλέπει την οπτική του ελεγκτή. Ο ίδιος έλεγχος διαγραφής, έλεγχος πρόσβασης ή έλεγχος ένταξης εκτελούντος την επεξεργασία θα ερμηνευθεί διαφορετικά ανάλογα με το πλαίσιο ανασκόπησης.
| Οπτική ελεγκτή | Πιθανό ερώτημα ελέγχου | Τεκμήρια που θα αναμένουν |
|---|---|---|
| Ελεγκτής ISO 27701:2025 | Έχουν υλοποιηθεί, αξιολογηθεί και βελτιωθεί οι έλεγχοι PIMS βάσει ρόλων; | Εφαρμοσιμότητα REG03, δείγματα REG12, μητρώο επεξεργασίας, χαρτογράφηση πολιτικών, αποτελέσματα ελέγχου |
| Ελεγκτής ISO/IEC 27001:2022 | Έχει ενσωματωθεί ο σχετικός με την προστασία ιδιωτικότητας έλεγχος στην αντιμετώπιση κινδύνων, στο SoA, στον επιχειρησιακό έλεγχο, στον εσωτερικό έλεγχο και στην ανασκόπηση της Διοίκησης; | Μητρώο Κινδύνων, αιτιολόγηση SoA, σχέδιο αντιμετώπισης, τεκμήρια ελέγχου, πρακτικά ανασκόπησης της Διοίκησης |
| Ανασκοπητής GDPR | Μπορεί ο υπεύθυνος επεξεργασίας να αποδείξει συμμόρφωση με τις αρχές και τις υποχρεώσεις του GDPR; | Νομική βάση, ενημερώσεις, αρχεία καταγραφής DSR, DPIAs, συμβάσεις, αρχεία παραβιάσεων, τεκμήρια διατήρησης |
| Αξιολογητής NIST CSF | Γνωρίζει ο οργανισμός τις υποχρεώσεις, ορίζει επιθυμητά αποτελέσματα, μετρά κενά και βελτιώνεται; | Current Profile και Target Profile, σχέδιο κάλυψης κενών, ιεράρχηση κινδύνων, αρχεία διακυβέρνησης |
| Πελάτης ή εποπτική αρχή με προσανατολισμό DORA | Δοκιμάζονται οι έλεγχοι ΤΠΕ, ταξινομούνται τα περιστατικά, παρακολουθούνται οι προμηθευτές και είναι ανθεκτικές οι κρίσιμες υπηρεσίες; | Πρόγραμμα δοκιμών, αρχεία περιστατικών, μητρώο προμηθευτών, συμβάσεις, σχέδια εξόδου |
| Ελεγκτής τύπου ISACA ή COBIT 2019 | Είναι αποτελεσματικοί οι στόχοι, η ιδιοκτησία, οι δείκτες, το κλείσιμο ζητημάτων και η εποπτεία διακυβέρνησης; | RACI, KPIs, αρχεία ζητημάτων, επαλήθευση CAPA, αναφορές προς τη διοίκηση |
Γι’ αυτό το REG12 είναι τόσο πολύτιμο. Μετατρέπει τη συμμόρφωση προστασίας ιδιωτικότητας σε ελέγξιμα τεκμήρια διακυβέρνησης.
Συνήθη ευρήματα στη δοκιμή ελέγχων PIMS
Η Clarysec βλέπει επανειλημμένα τα ίδια ευρήματα ελέγχου προστασίας ιδιωτικότητας σε οργανισμούς που προετοιμάζονται για πιστοποίηση ISO 27701:2025, διασφάλιση προς πελάτες βάσει GDPR ή εταιρική δέουσα επιμέλεια.
Το μητρώο επεξεργασίας δεν αντιστοιχεί στην πραγματικότητα των συστημάτων
Το μητρώο επεξεργασίας αναφέρει πλατφόρμες CRM και υποστήριξης, αλλά οι μηχανικοί έχουν προσθέσει εξαγωγές αναλυτικής, αρχεία καταγραφής παρατηρησιμότητας, εργαλεία AI και πίνακες αποθήκης δεδομένων.
Ανταπόκριση δοκιμής: λάβετε δείγμα συστημάτων από το Αποθετήριο Περιουσιακών Στοιχείων και την απογραφή περιβάλλοντος νέφους και, στη συνέχεια, συμφωνήστε τα με το μητρώο επεξεργασίας. Χρησιμοποιήστε τη σχέση μεταξύ των ελέγχων 5.9 και 5.34 του Παραρτήματος A του ISO/IEC 27001:2022 ως αιτιολόγηση ελέγχου.
Η πρόσβαση σε PII έχει εγκριθεί, αλλά δεν ανασκοπείται περιοδικά
Υπάρχουν αρχικές εγκρίσεις, αλλά οι αναθεωρήσεις δικαιωμάτων προνομιούχας πρόσβασης δεν περιλαμβάνουν εργαλεία πλαστοπροσωπίας υποστήριξης, βάσεις δεδομένων παραγωγής, πίνακες ελέγχου BI ή λογαριασμούς έκτακτης ανάγκης.
Ανταπόκριση δοκιμής: λάβετε δείγμα ενεργών χρηστών με πρόσβαση σε PII και συγκρίνετε ρόλο, επιχειρησιακή ανάγκη, έγκριση, κατάσταση MFA, τελευταία σύνδεση και τεκμήρια ανασκόπησης.
Υπάρχουν συμβάσεις εκτελούντων την επεξεργασία, αλλά η παρακολούθηση είναι αδύναμη
Η DPA έχει υπογραφεί, αλλά το ερωτηματολόγιο προμηθευτή είναι παλιό. Κανείς δεν έχει ανασκοπήσει αλλαγές υπεργολάβων επεξεργασίας, τοποθεσίες δεδομένων, κατάσταση ασφάλειας ή υποχρεώσεις κοινοποίησης περιστατικών.
Ανταπόκριση δοκιμής: λάβετε δείγμα κρίσιμων εκτελούντων την επεξεργασία και επιθεωρήστε τη δέουσα επιμέλεια, τις συμβατικές ρήτρες, τις αλλαγές υπεργολάβων επεξεργασίας, τις δικλίδες διαβίβασης και τα αρχεία παρακολούθησης. Αυτό υποστηρίζει το GDPR, τις προσδοκίες εφοδιαστικής αλυσίδας του NIS2 και τις προσδοκίες DORA για κινδύνους τρίτων μερών.
Η απόκριση σε περιστατικά υπάρχει, αλλά η ταξινόμηση προστασίας ιδιωτικότητας είναι ασυνεπής
Τα περιστατικά ασφάλειας καταγράφονται, αλλά ο αντίκτυπος στην προστασία ιδιωτικότητας δεν αξιολογείται πάντα. Τα κριτήρια παραβίασης GDPR δεν τεκμηριώνονται με συνέπεια. Οι υποχρεώσεις κοινοποίησης πελατών αντιμετωπίζονται άτυπα.
Ανταπόκριση δοκιμής: λάβετε δείγμα περιστατικών που περιλαμβάνουν έκθεση δεδομένων και επιθεωρήστε την ταξινόμηση, την κλιμάκωση προστασίας ιδιωτικότητας, τη νομική ανασκόπηση, τις αποφάσεις γνωστοποίησης, τη διατήρηση τεκμηρίων, τη βασική αιτία και τα διδάγματα που αντλήθηκαν.
Η CAPA κλείνει χωρίς επαλήθευση αποτελεσματικότητας
Μια διαδικασία επικαιροποιείται και το εύρημα κλείνει. Κανείς δεν δοκιμάζει αν το επόμενο δείγμα βελτιώθηκε.
Ανταπόκριση δοκιμής: επαληθεύστε την αποτελεσματικότητα της διορθωτικής ενέργειας στο REG12 εντός 30 ημερών από το αναφερόμενο κλείσιμο, όπως απαιτείται από την Πολιτική Παρακολούθησης, Ελέγχου και Βελτίωσης PIMS.
Ένα sprint 90 ημερών για τη δοκιμή ελέγχων προστασίας ιδιωτικότητας
Για οργανισμούς που κινούνται προς ετοιμότητα ISO 27701:2025, δέουσα επιμέλεια πελάτη ή ανασκόπηση λογοδοσίας βάσει GDPR, η Clarysec συνιστά ένα εστιασμένο sprint 90 ημερών.
| Χρονοδιάγραμμα | Εστίαση | Παραδοτέα |
|---|---|---|
| Ημέρες 1 έως 15 | Πεδίο εφαρμογής και μοντέλο τεκμηρίων | Ρόλοι PIMS, μητρώο επεξεργασίας, εφαρμοσιμότητα REG03, κίνδυνοι προτεραιότητας, νομικές υποχρεώσεις, εξαρτήσεις προμηθευτών, κανόνες ονοματοδοσίας τεκμηρίων |
| Ημέρες 16 έως 35 | Δοκιμή σχεδιασμού | Ανασκόπηση πολιτικών, RACI, ενημερώσεις προστασίας ιδιωτικότητας, νομική βάση, εναύσματα DPIA, ροές εργασίας DSR, ταξινόμηση περιστατικών, χρονοδιαγράμματα διατήρησης, έλεγχοι προμηθευτών |
| Ημέρες 36 έως 65 | Λειτουργική δοκιμή | Δείγματα για πρόσβαση, διαγραφή, περιστατικά, εκτελούντες την επεξεργασία, διαβιβάσεις, διατήρηση, εκπαίδευση, τεχνική παρακολούθηση, τεκμήρια REG12 |
| Ημέρες 66 έως 80 | CAPA και αντιμετώπιση κινδύνων | Βασική αιτία, διορθωτική ενέργεια, ιδιοκτήτης, καταληκτική ημερομηνία, υπολειπόμενος κίνδυνος, μέθοδος επαλήθευσης |
| Ημέρες 81 έως 90 | Ετοιμότητα ανασκόπησης της Διοίκησης | Πακέτο απόδοσης PIMS, στόχοι, ανοικτοί κίνδυνοι, μη συμμορφώσεις, διορθωτικές ενέργειες, ζητήματα προμηθευτών, αποφάσεις βελτίωσης |
Στο τέλος του sprint, ο οργανισμός πρέπει να μπορεί να απαντήσει στα ερωτήματα που πράγματι θέτουν οι ελεγκτές:
- Ποια PII επεξεργάζεστε;
- Σε ποιον ρόλο;
- Ποιοι έλεγχοι εφαρμόζονται;
- Γιατί είναι εφαρμοστέοι;
- Ποια τεκμήρια αποδεικνύουν ότι έχουν υλοποιηθεί;
- Ποιο δείγμα αποδεικνύει ότι λειτουργούν;
- Ποια κενά εντοπίστηκαν;
- Ποιες διορθωτικές ενέργειες ελήφθησαν;
- Ποιος επαλήθευσε την αποτελεσματικότητα;
- Τι ανασκόπησε και τι αποφάσισε η Ανώτατη Διοίκηση;
Από την προστασία ιδιωτικότητας στα χαρτιά στην αποδείξιμη λογοδοσία
Ένα πιστοποιητικό ISO 27701 είναι πολύτιμο, αλλά δεν είναι ο τελικός προορισμός. Πελάτες, εποπτικές αρχές, διοικητικά συμβούλια και ελεγκτές αναμένουν ολοένα και περισσότερο αποδείξεις ότι οι έλεγχοι προστασίας ιδιωτικότητας έχουν σχεδιαστεί, υλοποιηθεί, παρακολουθούνται, διορθώνονται και κυβερνώνται.
Η συμμόρφωση προστασίας ιδιωτικότητας αποτυγχάνει όταν αντιμετωπίζεται ως έργο τεκμηρίωσης. Αντέχει σε έλεγχο όταν μετατρέπεται σε δοκιμασμένο σύστημα τεκμηρίων.
Η Clarysec βοηθά τους οργανισμούς να μεταβούν από δηλωμένη συμμόρφωση σε αποδείξιμη λογοδοσία, συνδέοντας πολιτικές PIMS, εφαρμοσιμότητα REG03, δείγματα τεκμηρίων REG12, επαλήθευση CAPA, ανασκόπηση της Διοίκησης και χαρτογράφηση μεταξύ πλαισίων μέσω του Zenith Blueprint: Ο οδικός χάρτης 30 βημάτων για ελεγκτές και του Zenith Controls: Ο οδηγός διασταυρούμενης συμμόρφωσης.
Αν ο οργανισμός σας προετοιμάζεται για πιστοποίηση ISO 27701:2025, ανασκόπηση λογοδοσίας βάσει GDPR, διασφάλιση προστασίας ιδιωτικότητας προς πελάτες, τεκμήρια διακυβέρνησης NIS2 ή δέουσα επιμέλεια προμηθευτών που απορρέει από τον DORA, ξεκινήστε με ένα εστιασμένο εργαστήριο δοκιμής ελέγχων προστασίας ιδιωτικότητας.
Η Clarysec μπορεί να σας βοηθήσει να χαρτογραφήσετε την εφαρμοσιμότητα REG03, να δημιουργήσετε δείγματα ελέγχου REG12, να δοκιμάσετε ελέγχους PIMS προτεραιότητας, να ευθυγραμμίσετε ευρήματα με CAPA και να προετοιμάσετε αποτελέσματα ανασκόπησης της Διοίκησης που αντέχουν σε έλεγχο.
Ο επόμενος έλεγχος προστασίας ιδιωτικότητας δεν πρέπει να είναι αγώνας συλλογής στιγμιότυπων οθόνης. Πρέπει να είναι μια σίγουρη απόδειξη ότι η προστασία ιδιωτικότητας λειτουργεί, τεκμηριώνεται, ανασκοπείται και βελτιώνεται συνεχώς.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council