⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

ISO 27701 privaatsuse kontrollimeetmete testimine GDPR-i vastutuskohustuse tõendamiseks

Igor Petreski

Reedene privaatsusaudit, mis paljastas tegeliku probleemi

Reedel kell 15.40 liitub kiiresti kasvava SaaS-ettevõtte infoturbejuht Maria videokõnega suure ettevõttest potentsiaalse kliendi hankejuhtidega.

Tema meeskond on mitu kuud töötanud privaatsusteabe juhtimissüsteemi kallal. Poliitikad on heaks kiidetud. Töötlemistoimingute register on olemas. Ettevõttel on ISO 27701 valmisolekuplaan. Andmekaitseametnikul on andmesubjekti taotluste töövood. Õigusosakond on ajakohastanud andmetöötluslepingud. Arendus ütleb, et juurdepääs tootmiskeskkonnale on piiratud.

Hankejuht alustab viisakalt, kuid otse.

„Aitäh dokumentatsiooni eest, Maria. Sertifikaat ja poliitikapakett on hea lähtekoht. Meie hoolsuskontrolli meeskond tuleb järgmisel kuul kohapeale. Nad soovivad näha teie DSAR-protsessi toimimist, kontrollida andmete minimaalsuse kontrollimeetmeid meie testkontodel, vaadata üle tootmiskeskkonna juurdepääsulogid ning kontrollida tõendusmaterjali selle kohta, et privaatsuse kontrollimeetmeid testitakse, mitte üksnes dokumenteeritakse.“

Mõne minuti jooksul saab Maria veel kaks sõnumit.

Andmekaitseametnik küsib, kas uus analüütikafunktsioon on kaetud töötlemistoimingute registri, õigusliku aluse hindamise, säilitamisgraafiku ja volitatud töötlejale edasiantavate kohustustega.

Nõuetelevastavuse juht küsib, kas ISO 27701:2025 valmisoleku ülevaatus suudab tõendada, et PIMS-i kontrollimeetmed toimivad tõhusalt.

See on hetk, kus paljud privaatsusprogrammid kõikuma löövad. Organisatsioonil on privaatsusdokumendid, kuid mitte privaatsuse tõendusmaterjal. Tal on töövood, kuid mitte valimipõhine tõendusmaterjal. Tal on lepingud, kuid seirekirjed on nõrgad. Tal on sisemine kindlus, kuid puudub kaitstav auditijälg.

See lünk eristab paberil vastavust tõendatavast vastutuskohustusest.

GDPR sõnastab probleemi selgelt. Vastutav töötleja vastutab andmekaitsepõhimõtete järgimise eest ja peab suutma seda tõendada. Isikuandmeid tuleb töödelda seaduslikult, õiglaselt ja läbipaistvalt, kindlaksmääratud eesmärkidel, üksnes vajalikus ulatuses, täpselt, ainult nii kaua kui vaja ning kaitsta asjakohaste tehniliste ja korralduslike meetmetega.

ISO 27701:2025 annab organisatsioonidele privaatsusjuhtimise struktuuri. ISO/IEC 27001:2022 annab ISMS-i selgroo kohaldamisala, riskikäsitluse, operatiivse ohje, siseauditi, juhtkonnapoolse ülevaatuse ja pideva täiustamise jaoks. GDPR seab õigusliku vastutuskohustuse tõendamise koormuse. NIS2, DORA, NIST CSF 2.0, COBIT 2019-laadne kindluse andmine ja klientide turbeülevaatused suurendavad survet tõendada, et kontrollimeetmed toimivad.

Clarysec’i seisukoht on lihtne: privaatsuse kontrollimeetmete testimine ei tohiks olla iga-aastane ekraanitõmmiste tagaajamine. See peaks olema PIMS-i tõendusmaterjali süsteem, mis seob töötlemistoimingud, kohaldatavad kontrollimeetmed, riskid, valimid, tehnilised kontrollid, leiud, CAPA ja juhtkonnapoolse ülevaatuse üheks jälgitavaks mudeliks.

Siin muutuvad Clarysec’i PIMS-i poliitikakomplekt, Zenith Blueprint: An Auditor’s 30-Step Roadmap ja Zenith Controls: The Cross-Compliance Guide operatiivseteks tööriistadeks, mitte riiulikaunistuseks.

Privaatsuse kontrollimeetmete testimine on sild poliitika ja vastutuskohustuse vahel

Privaatsuse kontrollimeetme test vastab kolmele praktilisele küsimusele:

  1. Kas kontrollimeede on kavandatud privaatsuskohustuse täitmiseks või privaatsusriski vähendamiseks?
  2. Kas kontrollimeede on rakendatud asjakohases protsessis, süsteemis, meeskonnas, tarnija tegevuses või toote töövoos?
  3. Kas kontrollimeede toimib aja jooksul tõhusalt ning kas selle kohta on olemas tõendusmaterjal, mis rahuldaks audiitorit, klienti, järelevalveasutust või juhatuse komiteed?

SaaS-ettevõte võib väita, et toetab kustutamistaotlusi. Kavandamise test kontrollib, kas kustutamispoliitika, isikusamasuse tuvastamise protsess, vastutusmudel, volitatud töötleja koordineerimine, säilitamise erandid ja varukoopiate käsitlemine on määratletud. Toimimise tõhususe test võtab valimi täidetud kustutamistaotlustest, võrdleb ajatempleid, kontrollib kinnitusi, vaatab üle süsteemilogid, kontrollib allavoolu volitatud töötlejate teavitusi ja kinnitab sulgemise tõendusmaterjali.

PIMS-i seire, auditi ja parendamise poliitika muudab selle auditeeritavaks nõudeks:

[Mõlemad] Siseauditi / nõuetelevastavuse hindaja PEAB iga PIMS-i auditi käigus testima kohaldatavate PIMS-i kontrollimeetmete rakendamise staatust REG03 alusel.

Jaotisest „PIMS-i siseauditi programm“, poliitika punkt 4.2.5.

Fraas „REG03 alusel“ on keskne. Testimine ei ole vabas vormis intervjuu. REG03 toimib PIMS-i kontrollimeetmete kohaldatavuse ja rakendamise viitena. See näitab, mis kohaldub, miks see kohaldub ja milline tõendusmaterjal peaks olemas olema.

Sama poliitika lisab:

[Mõlemad] Siseauditi / nõuetelevastavuse hindaja PEAB iga PIMS-i auditi käigus registreerima valitud isikut tuvastava teabe töötlemise tõendusmaterjali valimi REG12-s.

Jaotisest „PIMS-i siseauditi programm“, poliitika punkt 4.2.6.

See on ISO 27701:2025 privaatsuse kontrollimeetmete testimise tuum. PIMS-i audit ilma valimita on vestlus. PIMS-i audit koos valitud tõendusmaterjali, kontrollimeetmete vastenduse, erandite, parandusmeetmete ja juhtkonnapoolse ülevaatuse jälgitavusega on vastutuskohustuse tõendamine.

Alusta kohaldamisalast, rollist ja töötlemise tegelikkusest

Enamik nõrku privaatsusauditeid ebaõnnestub enne testimise algust. Valitakse üldised kontrollimeetmed, kinnitamata, milliseid isikuandmeid töödeldakse, kus need asuvad, millised süsteemid ja tarnijad neid puudutavad ning kas organisatsioon tegutseb vastutava töötleja, volitatud töötleja, kaasvastutava töötleja või alltöötlejana.

GDPR-i kohustused sõltuvad tugevalt rollist. Vastutaval töötlejal, kes otsustab, miks ja kuidas isikuandmeid töödeldakse, on teistsugused kohustused kui volitatud töötlejal, kes tegutseb dokumenteeritud kliendijuhiste alusel. Oluline on ka andmete tundlikkus. Töötajaandmed, kliendikonto andmed, telemeetria, finantsandmed, biomeetriline verifitseerimine, terviseandmed, sanktsioonide sõelumine ja süüteoandmed ei kanna sama riski.

Tugev ISO 27701:2025 testimisprogramm algab kohaldamisala distsipliinist.

Kohaldamisala küsimusKontrollitav tõendusmaterjalMiks see on oluline
Millised isikut tuvastava teabe töötlemistoimingud kuuluvad kohaldamisalasse?Töötlemistoimingute register, andmevoogude kaart, süsteemide register, tarnijate registerTestimine peab võtma valimi tegelikust töötlemisest, mitte abstraktsetest poliitikaväidetest
Milline PIMS-i roll kohaldub?Vastutava töötleja, volitatud töötleja, kaasvastutava töötleja ja alltöötleja rollide vastendusGDPR-i kohustused ja PIMS-i kontrollimeetmed erinevad rolliti
Millised õiguslikud, lepingulised ja regulatiivsed kohustused kohaldavad?GDPR-i hindamine, klientide DPA-d, sektoripõhised nõuded, edastamise hindamisedKontrollimeetme kavandamine peab peegeldama tegelikke kohustusi
Millised süsteemid ja tarnijad töötlevad isikut tuvastavat teavet?Varade register, pilveteenuste register, volitatud töötlejate loend, juurdepääsumaatriksToimimise testid vajavad tehnilist ja kolmandate osapoolte tõendusmaterjali
Millised muudatused mõjutavad isikut tuvastava teabe töötlemist?Tootemuudatuste kirjed, DPIA käivitajad, väljalaskemärkmed, arhitektuuri ülevaatusedLõimitud andmekaitset tuleb testida enne kasutuselevõttu, mitte pärast kaebusi

ISO/IEC 27001:2022 toetab seda integreeritud lähenemist organisatsiooni konteksti, huvitatud poolte nõuete, õiguslike ja lepinguliste kohustuste, juhtimissüsteemi kohaldamisala, tegevuse planeerimise ja riskikäsitluse nõuete kaudu. Privaatsuse puhul tähendab see, et isikut tuvastava teabe töötlemine ei saa asuda eraldiseisvas arvutustabelis. See peab olema osa ISMS-i ja PIMS-i toimimismudelist.

Privaatsusteabe juhtimissüsteemi poliitika seob privaatsuse testimise otse juhtimisega:

[Kõik] Tippjuhtkond PEAB kord aastas REG12-s läbi vaatama PIMS-i toimivuse, privaatsuseesmärgid, avatud riskid, mittevastavused, parandusmeetmed ja parendusotsused.

Jaotisest „PIMS-i juhtimine“, poliitika punkt 6.1.1.

Kui testimine tuvastab privaatsuslünga, ei ole see lihtsalt auditi märkus. See on juhtimissüsteemi sisend, mis peaks mõjutama riskikäsitlust, prioriteete, ressursse ja juhtkonna otsuseid.

Kavandamise tõhusus võrreldes toimimise tõhususega

Kui klient küsib, kas privaatsuse kontrollimeetmeid testitakse, peab ta tavaliselt silmas toimimise tõhusust. Audiitorid uurivad siiski ka kavandamise tõhusust.

Kavandamise poolest tõhus kontrollimeede suudab nõude täita, kui seda rakendatakse ettenähtud viisil. Toimimise poolest tõhus kontrollimeede toimib tegelikult järjepidevalt ja seda toetab tõendusmaterjal.

KontrollivaldkondKavandamise tõhususe testToimimise tõhususe test
Nõusoleku kogumineKontrolli poliitikat, nõusoleku teksti, õigusliku aluse reegleid, kasutajaliidese nõudeid ja nõusoleku tagasivõtmise töövooguVõta valim nõusolekukirjetest ja tagasivõtmistest, võrdle ajatempleid ning kontrolli välistamist pärast tagasivõtmist
Eesmärgi piirangVaata üle RoPA, privaatsusteade, tootenõuded, nõusolekute eristamine ja andmekasutuse reeglidVõta valim kasutajakirjetest, logidest, väljavõtetest ja analüütikavoogudest, et kinnitada, et isikut tuvastavat teavet ei taaskasutata loata eesmärkidel
Juurdepääs isikut tuvastavale teabeleVaata üle juurdepääsupoliitika, rollimudel, tööleasujate, ametikoha vahetajate ja lahkujate protseduur ning kinnitamise töövoogVõta valim kasutajatest, kellel on juurdepääs isikut tuvastavale teabele, ning kontrolli kinnitust, ärivajadust, MFA-d ja hiljutist juurdepääsuõiguste ülevaatust
Volitatud töötleja kaasamineVaata üle hoolsuskontrolli kriteeriumid, DPA klauslid, alltöötleja reeglid ja edastamise kaitsemeetmedVõta valim ühest volitatud töötlejast ning kontrolli hindamist, lepingut, turbeülevaatust ja alltöötleja seire tõendusmaterjali
Säilitamine ja kustutamineVaata üle säilitamisgraafik, erandireeglid, kustutusprotseduur ja süsteemi võimekusVõta valim kustutatud kirjetest või kustutamistaotlustest ning kontrolli logisid, pileteid ja volitatud töötleja kinnitusi
Rikkumiste käsitlemineVaata üle intsidendi klassifitseerimine, privaatsuse eskaleerimine ja järelevalveasutusele teatamise kriteeriumidVõta valim intsidendikirjetest ning kontrolli triaaži, otsuse põhjendust, teavitusi ja õppetunde

Auditi ja nõuetelevastavuse seire poliitika sõnastab eesmärgi otse:

Valideerida turbe- ja privaatsuskontrollide tõhusust

Jaotisest „Eesmärk“, poliitika punkt 1.1.1.

VKE versioon säilitab sama kindluse andmise põhimõtte operatiivses keeles. Auditi ja nõuetelevastavuse seire poliitika - VKE ütleb:

Käesolev poliitika kehtestab organisatsiooni lähenemisviisi siseauditite, turbekontrollide ülevaatuste ja nõuetelevastavuse seire läbiviimiseks. See tagab, et kõiki kontrollimeetmeid, poliitikaid, süsteeme ja teenuseosutajaid vaadatakse regulaarselt ja struktureeritult läbi.

Jaotisest „Eesmärk“, poliitika punkt 1.1.

ISO 27701 valmisolek ei sõltu ettevõtte suurusest. 30 töötajaga SaaS-teenuse volitatud töötleja ei pruugi vajada sama audititööriistastikku nagu globaalne pank, kuid ta peab ikkagi tõendama, et juurdepääs, kustutamine, intsidendi eskaleerimine, alltöötlejate halduskorraldus ja tõendusmaterjali säilitamine on kontrolli all.

Clarysec’i tõendusahel: REG03, REG12, CAPA ja ülevaatus

Clarysec struktureerib privaatsuse kontrollimeetmete testimise lihtsa tõendusahela ümber.

REG03 määratleb kohaldatavad PIMS-i kontrollimeetmed ja nende rakendamise staatuse. REG12 registreerib valimid, tõendusmaterjali, leiud, jälgitavuse lüngad, parandusmeetmete verifitseerimise ja juhtkonnapoolse ülevaatuse sisendid. CAPA kirjed muudavad leiud algpõhjusepõhisteks parendusteks. Tippjuhtkond vaatab läbi PIMS-i toimivuse, riskid, mittevastavused, parandusmeetmed ja parendusotsused.

PIMS-i dokumenteeritud teabe ja tõendusmaterjali halduse poliitika nõuab tõendusmaterjali kvaliteediprobleemide registreerimist:

[Kõik] Siseauditi / nõuetelevastavuse hindaja PEAB iga kavandatud auditi või nõuetelevastavuse ülevaatuse käigus registreerima REG12-s tõendusmaterjali täielikkuse, täpsuse või jälgitavuse lüngad.

Jaotisest „Tõendusmaterjali loomine, nimetamine ja kvaliteet“, poliitika punkt 4.3.4.

See on oluline, sest iga leid ei ole täielik kontrollimeetme tõrge. Mõnikord kontrollimeede toimis, kuid tõendusmaterjal on puudulik. Mõnikord on kustutuspilet suletud, kuid ükski süsteemilogi ei tõenda kustutamist. Mõnikord nimetab töötlemistoimingute register CRM-i, kuid jätab välja andmelao ekspordi. Mõnikord on tarnijaleping olemas, kuid pidev seire puudub.

Auditi ja nõuetelevastavuse seire poliitika nõuab ka struktureeritud siseauditeid:

Siseauditid peavad järgima dokumenteeritud protseduuri, mis hõlmab järgmist:

Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.1.1.

Ja leidude korral:

Kõik leiud peavad viima dokumenteeritud CAPA-ni, mis hõlmab järgmist:

Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.2.1.

Riskijuhtimise poliitika - VKE tugevdab sulgemise distsipliini:

Käsitlustegevuste lõpuleviimine ja tõhusus tuleb verifitseerida.

Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.3.2.

PIMS-i seire, auditi ja parendamise poliitika sulgeb tsükli:

[Kõik] Siseauditi / nõuetelevastavuse hindaja PEAB REG12-s verifitseerima parandusmeetme tõhususe 30 päeva jooksul pärast parandusmeetme sulgemisest teatamist.

Jaotisest „Mittevastavus ja parandusmeede“, poliitika punkt 4.4.7.

See on erinevus pileti parandamise ja juhtimissüsteemi parendamise vahel.

Praktiline test 1: kustutamistaotlused ja GDPR-i vastutuskohustus

Kustutamistaotlused on üks selgemaid viise testida, kas privaatsusega seotud vastutuskohustus praktikas toimib.

Oletame, et keskmise suurusega SaaS-ettevõte tegutseb nii vastutava töötleja kui ka volitatud töötlejana. Ta kontrollib töötaja-, turundus- ja arveldusandmeid. Ta töötleb ettevõtte klientide nimel nende lõppkasutajate andmeid. Organisatsioon soovib testida, kas kustutamiskontrollid on valmis ISO 27701:2025 auditiks ja GDPR-i kliendikindluse tagamiseks.

1. samm: vali töötlemistoiming REG03-st

Vali tegeliku privaatsusriskiga töötlemistoiming, näiteks „SaaS-platvormis töödeldavad kliendi lõppkasutaja profiiliandmed“. Kinnita, kas organisatsioon tegutseb vastutava töötleja, volitatud töötleja või mõlemana. Tuvasta seotud kontrollimeetmed õiguste käsitlemiseks, volitatud töötleja juhiste valideerimiseks, säilitamiseks, kustutamiseks, juurdepääsukontrolliks, logimiseks, varukoopiate käsitlemiseks ja tarnijate koordineerimiseks.

2. samm: määra täpne testieesmärk

Kasulik testieesmärk on konkreetne ja tõendusmaterjalipõhine:

„Kontrollida, et kliendi lõppkasutaja profiiliandmete kustutamistaotlused võetakse vastu, autenditakse või valideeritakse juhise alusel, täidetakse määratletud töövoos, logitakse, viiakse tootmiskeskkonna süsteemides tehniliselt lõpule, edastatakse vajaduse korral asjakohastele alltöötlejatele ning suletakse tõendusmaterjaliga.“

3. samm: võta representatiivne valim

Vali viimase kvartali viiest kustutamistaotlusest koosnev valim. Kaasa üks tavapärane taotlus, üks kliendi administraatorit puudutav taotlus, üks volitatud töötleja juhise alusel esitatud taotlus, üks säilitamise erandiga taotlus ja üks varukoopiate käsitlemist puudutav taotlus.

Zenith Blueprint rõhutab auditi, ülevaatuse ja parendamise etapis, 26. sammus „Auditi läbiviimine“, valimite ja tõendusmaterjali kogumist:

✓ Intervjueeri asjakohast personali: palu protsesside eest vastutavatel inimestel selgitada, kuidas nad nõudeid täidavad. Näiteks küsi riskiomanikult viimase riskihindamise kohta või küsi personaliosakonnalt, kuidas uusi töötajaid turvalisuse alal koolitatakse (et katta kontroll 6.3 teadlikkuse kohta).
✓ Vaata dokumentatsioon üle: kontrolli, et dokumendid ja kirjed oleksid olemas ja ajakohased.
✓ Vaatle praktikat: võimaluse korral tee otsene vaatlus.
✓ Võta valim ja tee pisteline kontroll: kõike ei saa kontrollida, seega kasuta valimipõhist lähenemist.

Auditi, ülevaatuse ja parendamise etapist, 26. samm: auditi läbiviimine (siseauditi läbiviimine).

4. samm: kontrolli iga valimi tõendusmaterjali

Iga valimisse võetud taotluse kohta kogu vastuvõtupilet, rollide klassifitseerimine, isikusamasuse tuvastamine või kliendi volitus, süsteemi kustutuslogi, säilitamise erandi otsus, varukoopiate käsitlemise selgitus, alltöötleja teavitus, sulgemisteavitus, ajatemplid ja ülevaataja kinnitus.

5. samm: registreeri tulemused REG12-s

Registreeri REG12-s valim, tõendusmaterjali allikas, kontrollimeetme tulemus, erand ja jälgitavuse lünk. Kui kustutamine toimus, kuid tootmiskeskkonna logi puudub, võis kontrollimeede toimida, kuid tõendusmaterjal on nõrk. Kui taotlus viibis seetõttu, et tarnija vastutus oli ebaselge, võib leid puudutada kolmandate osapoolte halduskorraldust ja lepinguliste kohustuste edasiandmist.

6. samm: loo CAPA ja verifitseeri tõhusus

Kui algpõhjus on ebaselge vastutus toe, õigusosakonna ja arenduse vahel, võib CAPA hõlmata muudetud töövoogu, ajakohastatud RACI-t, kohustuslikke tõendusmaterjali välju ja igakuiseid kustutamise valimikontrolle.

Zenith Blueprint selgitab auditi, ülevaatuse ja parendamise etapis, 29. sammus sulgemise ootust:

Kavanda, kuidas verifitseerid iga parandusmeetme tõhusust. See võib tähendada järelkontrolli või -auditi ajastamist. Näiteks kui sinu parandusmeede oli IT-personali koolitamine juurdepääsukontrolli teemal, võid kavandada uute kontode ülevaatamise ühe kuu pärast, et kontrollida, kas kõigil on nõuetekohased kinnitused (verifitseerimine).

Auditi, ülevaatuse ja parendamise etapist, 29. samm: pidev täiustamine (parandusmeetmed ja õppetunnid).

Kustutamise puhul võib verifitseerimine tähendada järgmise viie kustutamistaotluse valimi võtmist pärast muudetud töövoo kasutuselevõttu. Alles siis tuleks CAPA sulgeda.

Praktiline test 2: eesmärgi piirang ja andmete minimaalsus

Teine suure väärtusega test on eesmärgi piirang. See on eriti kasulik enne kliendi hoolsuskontrolli, analüütika kasutuselevõttu, AI-rikastamist, andmelao laiendamist või turundusautomaatika muudatusi.

Maria SaaS-platvorm kogub kliendi kasutajaandmeid teenuse osutamiseks. Kontrollieesmärk on tagada, et isikut tuvastavat teavet kasutatakse ainult kindlaksmääratud ja õiguspärastel eesmärkidel ning seda ei taaskasutata turundusanalüütikaks, välja arvatud juhul, kui kasutaja on andnud nõutava sõnaselge ja eraldi nõusoleku.

Tõendusmaterjali liikKonkreetsed artefaktid
DokumentatsioonAndmekaitse- ja privaatsuspoliitika, RoPA, kliendi DPA, privaatsusteated, nõusolekute halduse kirjed
Tehniline konfiguratsioonRakenduse andmekäitlusreeglid, andmebaasiskeemid, API konfiguratsioonid, ETL-tööde seaded
Logid ja kirjedRakenduse juurdepääsulogid, andmebaasipäringute logid, nõusolekumuudatuste ajalugu, kampaaniaekspordi kirjed
Personali tõendusmaterjalIntervjuud tooteomaniku, juhtivarendaja, andmebaasiadministraatori ja privaatsuse eest vastutava isikuga

Tugev toimimise test ei lõpe poliitikaga. See võtab valimi kasutajatest, kes nõustusid turundusega, ja kasutajatest, kes seda ei teinud. See jälgib, kas nõusoleku olek kajastub õigesti põhirakenduse andmebaasides, andmelao tabelites, kampaaniatööriistades, juhtpaneelides ja ekspordifailides. Kui nõusolekut mitte andnud kasutajad ilmuvad turunduse sihtrühma, on organisatsioonil konkreetne mittevastavus.

VKE Auditi ja nõuetelevastavuse seire poliitika annab õige mõtteviisi tehnilise testimise näite kaudu:

Tehnilise kontrollimeetme verifitseerimine (nt varundusstaatus, juurdepääsukontrolli konfiguratsioon, paikade kirjed)

Jaotisest „Poliitika rakendamise nõuded“, poliitika punkt 6.1.1.2.

Privaatsuse puhul hõlmab tehnilise kontrollimeetme verifitseerimine nõusoleku sünkroniseerimise kontrolle, juurdepääsukontrolli väljavõtteid, kustutusloge, krüpteerimisseadeid, andmete maskeerimise teste, DLP teavitusi, varukoopiate piiranguid, seiresündmusi ja tarnija tõendusmaterjali.

Privaatsuse testimise vastendamine ISO/IEC 27001:2022 ja Clarysec’i raamistikeülese vastavusega

Privaatsuse kontrollimeetmed ei toimi isoleeritult. Isikut tuvastava teabe kaitse sõltub varade registrist, klassifitseerimisest, juurdepääsukontrollist, pilveteenuste halduskorraldusest, andmete maskeerimisest, teabe edastamisest, logimisest, seirest, kustutamisest, kirjete kaitsest, tarnijate järelevalvest ja sõltumatust ülevaatusest.

Zenith Controls: The Cross-Compliance Guide vastendab ISO/IEC 27001:2022 lisa A kontrollimeetme 5.34, isikut tuvastava teabe privaatsus ja kaitse, ennetava kontrollimeetmena, mis on joondatud konfidentsiaalsuse, tervikluse ja käideldavusega, hõlmab küberturbe mõisteid Identify ja Protect ning operatiivseid võimekusi teabe kaitse ning õigus- ja nõuetelevastavuse valdkonnas.

Selle seos registriga on otsene:

Teabevarade register (5.9) peaks hõlmama isikut tuvastava teabe andmekogumeid (kliendiandmebaasid, HR-failid). See toetab kontrollimeedet 5.34, tagades, et organisatsioon teab, millist isikut tuvastavat teavet tal on ja kus see asub; see on selle kaitsmise esimene samm.

Zenith Controls juhendist, isikut tuvastava teabe privaatsus ja kaitse, kontroll 5.34.

Audititestimise puhul tähendab see, et privaatsusaudiitor ei peaks alustama üksnes privaatsusteatest. Ta peaks alustama isikut tuvastava teabe registrist, töötlemistoimingute registrist, andmevoogudest, varade registrist ja tarnijate registrist. Kui register on puudulik, ei saa allavoolu privaatsuse kontrollimeetmed olla täielikult usaldusväärsed.

Juhend vastendab ISO/IEC 27001:2022 lisa A kontrollimeetme 5.34 ka seotud kontrollimeetmetega, nagu 5.9 teabe ja muu seotud vara register, 5.12 teabe klassifitseerimine, 5.14 teabe edastamine, 5.15 juurdepääsukontroll, 5.16 identiteedihaldus, 5.23 infoturve pilveteenuste kasutamisel, 5.33 kirjete kaitse, 8.11 andmete maskeerimine, 8.12 andmelekke vältimine ja 8.10 teabe kustutamine.

Eriti olulised on veel kaks ISO/IEC 27001:2022 lisa A kontrollimeedet:

ISO/IEC 27001:2022 kontrollimeedeSeos privaatsuse testimisegaTõendusmaterjali näide
5.34 Isikut tuvastava teabe privaatsus ja kaitseKinnitab, et privaatsuse ja isikut tuvastava teabe kaitse nõuded on rakendatud seaduste, regulatsioonide ja lepingute aluselTöötlemistoimingute register, DPIA-d, õigusliku aluse kirjed, DSR-i tõendusmaterjal, säilitamislogid
5.35 Infoturbe sõltumatu läbivaatamineAnnab objektiivse kinnituse, et turbemeetmeid, sealhulgas privaatsuse seisukohalt olulisi kontrollimeetmeid, vaadatakse sõltumatult läbiSiseauditi aruanded, välise ülevaatuse tulemused, REG12 valimid, CAPA kirjed
5.36 Infoturbe poliitikate, reeglite ja standardite järgimineKinnitab pidevat vastavust sisereeglitele ja standarditelePoliitika vastavuse ülevaatused, juurdepääsukontrollid, seiretulemused, erandilogid

Andmekaitse- ja privaatsuspoliitika nõuab:

Sisemine privaatsuse nõuetelevastavuse audit tuleb läbi viia kord aastas või oluliste organisatsiooniliste või regulatiivsete muudatuste korral. Auditi kohaldamisala peab hõlmama järgmist:

Jaotisest „Juhtimisnõuded“, poliitika punkt 5.4.

See hõlmab lisaks:

Tehniliste ja korralduslike meetmete tõhusus

Jaotisest „Juhtimisnõuded“, poliitika punkt 5.4.1.

Andmekaitse- ja privaatsuspoliitika - VKE säilitab sama ootuse praktilisel kujul:

Regulaarseid privaatsusauditeid või kontrollimeetmete kontrolle tuleb teha ja logida

Jaotisest „Juhtimisnõuded“, poliitika punkt 5.3.3.

Miks GDPR-i vastutuskohustus on nüüd küberjuhtimise küsimus

Privaatsuse tõendusmaterjali ei küsi enam ainult privaatsusaudiitorid. Sama tõendust võib küsida ISO 27701:2025 audiitor, ISO/IEC 27001:2022 audiitor, GDPR-i ülevaataja, NIS2 pädev asutus, DORA-reguleeritud klient, NIST CSF-i hindaja või juhatuse riskikomitee.

NIS2 Article 21 nõuab, et olulised ja elutähtsad üksused rakendaksid küberturbe riskijuhtimiseks asjakohaseid ja proportsionaalseid tehnilisi, operatiivseid ja korralduslikke meetmeid. Article 21(2)(f) hõlmab sõnaselgelt poliitikaid ja protseduure küberturbe riskijuhtimismeetmete tõhususe hindamiseks. NIS2 paneb juhtorganitele vastutuse küberturbe riskijuhtimismeetmete heakskiitmise ja järelevalve eest.

DORA kohaldub finantssektori üksustele alates 17. jaanuarist 2025 ning kehtestab üksikasjaliku digitaalse operatsioonilise toimepidevuse reeglistiku. See nõuab IKT-riski juhtimist, juhtorgani järelevalvet, siseauditit, kriitiliste leidude kõrvaldamist, intsidentide klassifitseerimist ja aruandlust, toimepidevuse testimist, kolmandatest isikutest IKT-teenuseosutajate riskijuhtimist, lepingulisi kontrollimeetmeid, IKT-teenuste kokkulepete registreid ja väljumisstrateegiaid. Finantssektori üksusi teenindavad IKT-teenuseosutajad peaksid arvestama, et klientide kindluse andmise protsesside kaudu esitatakse DORA-st tulenevaid tõendusmaterjali nõudeid.

NIST CSF 2.0 annab kasuliku tõlkekihi. Selle GOVERN-funktsioon eeldab, et organisatsioonid mõistavad sidusrühmade ootusi, sõltuvusi ning õiguslikke, regulatiivseid, lepingulisi, privaatsuse ja põhiõigustega seotud kohustusi. Selle profiilide lähenemine aitab võrrelda praeguseid tulemusi sihttulemustega, tuvastada lünki ja seada tegevusplaane prioriteetsesse järjekorda.

Nõudest tulenev surveMida privaatsuse kontrollimeetmete testimine peaks andmaClarysec’i ankur
GDPR-i vastutuskohustusTõendusmaterjal selle kohta, et põhimõtted, õiguslik alus, õigused, turvalisus, säilitamine ja volitatud töötleja kohustused on tõendatavalt täidetudPIMS-i poliitikad, REG03, REG12, CAPA
ISO 27701:2025 valmisolekTestitud PIMS-i kontrollimeetmed, rollipõhine kohaldatavus, tõendusmaterjali kvaliteet, siseaudit, juhtkonnapoolne ülevaatusPIMS-i seire, auditi ja parendamise poliitika
ISO/IEC 27001:2022 kindluse andmineRiskikäsitluse jälgitavus, SoA põhjendus, operatiivne ohje, audit, ülevaatus, parendamineZenith Blueprint, Zenith Controls cross-compliance guide
NIS2 juhtimineTõhususe hindamine, valmisolek intsidentideks, tarnijate kontrollimeetmed, juhtkonna järelevalveISO/IEC 27001:2022 lisa A kontrollimeetmete 5.35 ja 5.36 vastendus
DORA kindluse andmineIKT-kontrollide testimine, toimepidevuse testimine, kolmandate osapoolte tõendusmaterjal, intsidendi elutsükli kirjedRaamistikeüleselt vastendatud auditi tõendusmaterjali mudel
NIST CSF 2.0Praegune profiil, sihtprofiil, lünkaanalüüs, prioriseeritud parendamineZenith Blueprint sammud 24, 26, 29

Zenith Blueprint tugevdab jälgitavust 24. sammus:

Sinu SoA peaks olema kooskõlas sinu riskiregistri ja riski käsitlemise plaaniga. Kontrolli üle, et iga kontrollimeede, mille valisid riskikäsitluseks, oleks SoA-s märgitud „kohaldatavaks“. Vastupidi, kui kontrollimeede on SoA-s märgitud „kohaldatavaks“, peab sul olema selle kohta põhjendus – tavaliselt vastendatud risk, õiguslik/regulatiivne nõue või ärivajadus.

Auditi, ülevaatuse ja parendamise etapist, 24. samm: audit, ülevaatus ja parendamine.

Privaatsuse kontrollimeetmete testimise puhul kehtib sama põhimõte PIMS-i kohaldatavusele. Iga kohaldatav privaatsuse kontrollimeede peaks olema jälgitav töötlemisriski, õigusliku kohustuse, kliendinõude või ärivajaduseni. Iga test peaks olema tagasi jälgitav selle kontrollimeetmeni.

Kuidas erinevad audiitorid sama kontrollimeedet hindavad

Tugev privaatsuse testimisprogramm arvestab audiitori vaatenurgaga. Sama kustutamiskontrolli, juurdepääsukontrolli või volitatud töötleja kaasamise kontrolli tõlgendatakse ülevaatuse kontekstist sõltuvalt erinevalt.

Audiitori vaatenurkTõenäoline auditi küsimusOodatav tõendusmaterjal
ISO 27701:2025 audiitorKas rollipõhised PIMS-i kontrollimeetmed on rakendatud, hinnatud ja täiustatud?REG03 kohaldatavus, REG12 valimid, töötlemistoimingute register, poliitikavastendus, auditi tulemused
ISO/IEC 27001:2022 audiitorKas privaatsusega seotud kontrollimeede on integreeritud riskikäsitlusse, SoA-sse, operatiivsesse ohjesse, siseauditisse ja juhtkonnapoolsesse ülevaatusse?Riskiregister, SoA põhjendus, riski käsitlemise plaan, kontrollimeetme tõendusmaterjal, juhtkonnapoolse ülevaatuse protokollid
GDPR-i ülevaatajaKas vastutav töötleja suudab tõendada vastavust GDPR-i põhimõtetele ja kohustustele?Õiguslik alus, teated, DSR-logid, DPIA-d, lepingud, rikkumiste kirjed, säilitamise tõendusmaterjal
NIST CSF-i hindajaKas organisatsioon tunneb kohustusi, määratleb sihttulemused, mõõdab lünki ja parendab?Praegune ja sihtprofiil, lünkade plaan, riskide prioriseerimine, juhtimiskirjed
DORA-keskne klient või järelevalveasutusKas IKT-kontrolle testitakse, intsidente klassifitseeritakse, tarnijaid seiratakse ja kriitilised teenused on toimepidevad?Testimisprogramm, intsidendikirjed, tarnijaregister, lepingud, väljumisplaanid
ISACA või COBIT 2019-laadne audiitorKas eesmärgid, vastutus, mõõdikud, probleemide sulgemine ja juhtimisjärelevalve on tõhusad?RACI, KPI-d, probleemilogid, CAPA verifitseerimine, juhtkonna aruandlus

Seetõttu on REG12 nii väärtuslik. See muudab privaatsuse nõuetelevastavuse auditeeritavaks juhtimise tõendusmaterjaliks.

Levinud leiud PIMS-i kontrollimeetmete testimisel

Clarysec näeb ISO 27701:2025 sertifitseerimiseks, GDPR-i kliendikindluse tagamiseks või ettevõtte hoolsuskontrolliks valmistuvates organisatsioonides korduvalt samu privaatsusauditi leide.

Töötlemistoimingute register ei vasta süsteemide tegelikkusele

Töötlemistoimingute register loetleb CRM-i ja tugiplatvormid, kuid arendajad on lisanud analüütikaekspordid, jälgitavuslogid, AI-tööriistad ja andmelao tabelid.

Testivastus: võta süsteemidest valim varade registri ja pilveteenuste registri alusel ning võrdle see töötlemistoimingute registriga. Kasuta auditi põhjendusena ISO/IEC 27001:2022 lisa A kontrollimeetmete 5.9 ja 5.34 vahelist seost.

Juurdepääs isikut tuvastavale teabele on kinnitatud, kuid seda ei vaadata perioodiliselt üle

Esialgsed kinnitused on olemas, kuid privilegeeritud juurdepääsuõiguste ülevaatused ei hõlma toe kehastamistööriistu, tootmiskeskkonna andmebaase, BI-juhtpaneele ega erakorralisi kontosid.

Testivastus: võta valim aktiivsetest kasutajatest, kellel on juurdepääs isikut tuvastavale teabele, ning võrdle rolli, ärivajadust, kinnitust, MFA staatust, viimast sisselogimist ja ülevaatuse tõendusmaterjali.

Volitatud töötlejate lepingud on olemas, kuid seire on nõrk

DPA on allkirjastatud, kuid tarnija küsimustik on aegunud. Keegi ei ole üle vaadanud alltöötlejate muudatusi, andmete asukohti, turbeolekut ega intsidendist teatamise kohustusi.

Testivastus: võta valim kriitilistest volitatud töötlejatest ning kontrolli hoolsuskontrolli, lepingutingimusi, alltöötlejate muudatusi, edastamise kaitsemeetmeid ja seirekirjeid. See toetab GDPR-i, NIS2 tarneahela ootusi ja DORA kolmandate osapoolte riskiootusi.

Intsidendihaldus on olemas, kuid privaatsuse klassifitseerimine on ebajärjekindel

Turbeintsidendid logitakse, kuid privaatsusmõju ei hinnata alati. GDPR-i rikkumiskriteeriumid ei ole järjepidevalt dokumenteeritud. Klientide teavitamiskohustusi käsitletakse mitteametlikult.

Testivastus: võta valim andmete avalikustumisega seotud intsidentidest ning kontrolli klassifitseerimist, privaatsuse eskaleerimist, õiguslikku ülevaatust, teavitamisotsuseid, tõendusmaterjali säilitamist, algpõhjust ja õppetunde.

CAPA suletakse ilma tõhususe verifitseerimiseta

Protseduuri ajakohastatakse ja leid suletakse. Keegi ei testi, kas järgmine valim paranes.

Testivastus: verifitseeri REG12-s parandusmeetme tõhusus 30 päeva jooksul pärast sulgemisest teatamist, nagu nõuab PIMS-i seire, auditi ja parendamise poliitika.

90-päevane privaatsuse kontrollimeetmete testimise sprint

Organisatsioonidele, kes liiguvad ISO 27701:2025 valmisoleku, kliendi hoolsuskontrolli või GDPR-i vastutuskohustuse ülevaatuse suunas, soovitab Clarysec fokusseeritud 90-päevast sprinti.

AjakavaFookusVäljundid
Päevad 1–15Kohaldamisala ja tõendusmaterjali mudelPIMS-i rollid, töötlemistoimingute register, REG03 kohaldatavus, prioriteetsed riskid, õiguslikud kohustused, tarnijasõltuvused, tõendusmaterjali nimetamise reeglid
Päevad 16–35Kavandamise testiminePoliitika ülevaatus, RACI, privaatsusteated, õiguslik alus, DPIA käivitajad, DSR-töövood, intsidendi klassifitseerimine, säilitamisgraafikud, tarnijate kontrollimeetmed
Päevad 36–65Toimimise testimineValimid juurdepääsu, kustutamise, intsidentide, volitatud töötlejate, edastuste, säilitamise, koolituse, tehnilise seire ja REG12 tõendusmaterjali kohta
Päevad 66–80CAPA ja riskikäsitlusAlgpõhjus, parandusmeede, omanik, tähtaeg, jääkrisk, verifitseerimismeetod
Päevad 81–90Juhtkonnapoolse ülevaatuse valmisolekPIMS-i toimivuse pakett, eesmärgid, avatud riskid, mittevastavused, parandusmeetmed, tarnijaprobleemid, parendusotsused

Sprindi lõpuks peaks organisatsioon suutma vastata küsimustele, mida audiitorid tegelikult küsivad:

  • Millist isikut tuvastavat teavet te töötlete?
  • Millises rollis?
  • Millised kontrollimeetmed kohaldavad?
  • Miks need kohaldavad?
  • Milline tõendusmaterjal tõendab, et need on rakendatud?
  • Milline valim tõendab, et need toimivad?
  • Millised lüngad leiti?
  • Milliseid parandusmeetmeid rakendati?
  • Kes verifitseeris tõhususe?
  • Mida tippjuhtkond läbi vaatas ja otsustas?

Paberil privaatsusest tõendatava vastutuskohustuseni

ISO 27701 sertifikaat on väärtuslik, kuid see ei ole lõppsiht. Kliendid, järelevalveasutused, juhatused ja audiitorid ootavad üha enam tõendeid selle kohta, et privaatsuse kontrollimeetmed on kavandatud, rakendatud, seiratud, korrigeeritud ja juhitud.

Privaatsuse nõuetelevastavus ebaõnnestub, kui seda käsitletakse dokumentatsiooniprojektina. See peab kontrollile vastu siis, kui sellest saab testitud tõendusmaterjali süsteem.

Clarysec aitab organisatsioonidel liikuda väidetud vastavuselt tõendatava vastutuskohustuseni, ühendades PIMS-i poliitikad, REG03 kohaldatavuse, REG12 tõendusmaterjali valimid, CAPA verifitseerimise, juhtkonnapoolse ülevaatuse ja raamistikeülese vastendamise Zenith Blueprint: An Auditor’s 30-Step Roadmap ja Zenith Controls: The Cross-Compliance Guide kaudu.

Kui teie organisatsioon valmistub ISO 27701:2025 sertifitseerimiseks, GDPR-i vastutuskohustuse ülevaatuseks, kliendi privaatsuskindluse tagamiseks, NIS2 juhtimise tõendusmaterjaliks või DORA-st tingitud tarnijate hoolsuskontrolliks, alustage fokusseeritud privaatsuse kontrollimeetmete testimise töötoast.

Clarysec saab aidata vastendada REG03 kohaldatavust, koostada REG12 auditi valimeid, testida prioriteetseid PIMS-i kontrollimeetmeid, siduda leiud CAPA-ga ning ette valmistada juhtkonnapoolse ülevaatuse väljundid, mis peavad kontrollile vastu.

Teie järgmine privaatsusaudit ei peaks olema ekraanitõmmiste tagaajamine. See peaks olema kindel demonstratsioon, et privaatsus toimib, on tõendatud, läbi vaadatud ja pidevalt täiustatud.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article