Cosaint PII atá réidh don iniúchadh le haghaidh GDPR, NIS2 agus DORA
Tháinig an foláireamh isteach i mbosca isteach Sarah ag 10 PM Dé Máirt.
Mar CISO i gcuideachta SaaS fintech a bhí ag fás go tapa, bhí foláirimh dhéanacha oíche coitianta aici. Bhí an ceann seo difriúil. Bhí bunachar sonraí réamhtháirgthe nochta ag forbróir sóisearach do chríochphointe poiblí agus gné nua anailísíochta á tástáil aige. Bhí sonraí tástála ceaptha a bheith sa bhunachar sonraí, ach bhí fíor-PII custaiméirí curtha ann trí shioncrónú le déanaí ón timpeallacht táirgthe go dtí an timpeallacht réamhtháirgthe.
Cuireadh an teagmhas faoi smacht go tapa. Ansin tháinig an dara fionnachtain. Bhí scarbhileog imirce darbh ainm customer_users_final_v7.xlsx cóipeáilte ón tacar sonraí céanna. Bhí ainmneacha, seoltaí ríomhphoist, ceadanna ról, logaí úsáide, réimsí tíre, nótaí tacaíochta agus tráchtanna saorthéacs inti nár cheart dóibh dul isteach i sreabhadh oibre tástála riamh. Cóipeáladh í chuig tiomántán comhroinnte, d’íoslódáil forbróir í, ceanglaíodh le ticéad í, agus rinneadh dearmad uirthi.
Faoi mheán oíche, ní raibh Sarah ag bainistiú míchumraíocht theicniúil a thuilleadh. Bhí sí ag bainistiú fadhb iniúchta.
Bhí an chuideachta deimhnithe cheana féin de réir ISO/IEC 27001:2022. Bhí an bord ag iarraidh dearbhú GDPR roimh sheoladh i margadh an AE. Bhí custaiméirí seirbhísí airgeadais ag seoladh ceistneoirí díchill chuí DORA. Bhí ceisteanna slabhra soláthair NIS2 á n-ardú ag caidrimh néalríomhaireachta agus seirbhísí bainistithe. D’fhéadfadh an fheidhm dlí na hoibleagáidí a mhíniú. D’fhéadfadh an innealtóireacht tagairt a dhéanamh do chriptiú. Bhí dea-rún príobháideachais trí dhearadh ag an bhfoireann táirgí. Luaigh an Ráiteas Infheidhmeachta príobháideachas agus cosaint PII.
Ach ní raibh aon duine in ann a thaispeáint, in aon slabhra inrianaithe amháin, cén PII a bhí ann, cén fáth a bpróiseáladh é, cé a d’fhéadfadh rochtain a fháil air, cá raibh sé mascaithe, cé na soláthraithe a bhain leis, cá fhad a coinníodh é, agus conas a dhéanfaí teagmhas a aicmiú faoi GDPR, NIS2 nó DORA.
Sin go díreach an bhearna a fhágann go bhfuil ISO/IEC 27701:2025 agus ISO/IEC 29151:2022 tábhachtach. Ní lipéid phríobháideachais amháin iad. Cabhraíonn siad le heagraíochtaí gealltanais phríobháideachais a thiontú ina rialuithe cosanta PII atá réidh don iniúchadh. Leathnaíonn ISO/IEC 27701:2025 Córas Bainistíochta Slándála Faisnéise de réir ISO/IEC 27001:2022 isteach i mbainistíocht faisnéise príobháideachais. Cuireann ISO/IEC 29151:2022 treoir phraiticiúil leis chun faisnéis inaitheanta phearsanta a chosaint ar feadh a saolré.
Is é cur chuige Clarysec samhail oibriúcháin aonair phríobháideachais agus slándála, bunaithe ar fhianaise, a thógáil seachas silos comhlíonta ar leith. Comhcheanglaíonn an tsamhail sin Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Zenith Controls: The Cross-Compliance Guide Zenith Controls, agus beartais Clarysec in aon chóras inrianaithe amháin le haghaidh GDPR, ISO/IEC 27001:2022, ISO/IEC 27701:2025, ISO/IEC 29151:2022, NIS2, DORA, dearbhú de chineál NIST, agus ionchais rialachais COBIT 2019.
Cén fáth ar saincheist iniúchta ar leibhéal an bhoird í cosaint PII anois
Ba ghnách cosaint PII a láimhseáil mar fhreagracht de chuid na foirne príobháideachais. Sa lá atá inniu ann, is saincheist iontaoibhe, athléimneachta agus rialála ar leibhéal an bhoird í.
Is é GDPR an bhunlíne fós do chosaint sonraí pearsanta san Eoraip agus níos faide i gcéin. Sainmhíníonn sé sonraí pearsanta, próiseáil, rialaitheoir, próiseálaí, faighteoir, tríú páirtí, toiliú agus sárú sonraí pearsanta ar bhealaí a théann i bhfeidhm ar chonarthaí SaaS, oibríochtaí tacaíochta, anailísíocht, sonraí teiliméadrachta táirgí, bainistíocht díoltóirí agus freagairt do theagmhais. Éilíonn a phrionsabail dlíthiúlacht, cothroime, trédhearcacht, teorannú cuspóra, íoslaghdú sonraí, cruinneas, teorannú stórála, sláine, rúndacht agus cuntasacht. I dtéarmaí iniúchta, ní fhiafraíonn GDPR amháin an bhfuil sonraí criptithe. Fiafraíonn sé an féidir leis an eagraíocht a léiriú cén fáth a bhfuil na sonraí ann agus conas a bhaintear comhlíonadh amach.
Ardaíonn NIS2 an caighdeán maidir le rialachas cibearshlándála d’eintitis riachtanacha agus thábhachtacha. Éilíonn Article 21 bearta bainistíochta riosca cibearshlándála, lena n-áirítear anailís riosca, beartais slándála córas faisnéise, láimhseáil teagmhas, leanúnachas gnó, slándáil slabhra soláthair, forbairt shlán, láimhseáil leochaileachtaí, measúnú ar éifeachtacht rialuithe, sláinteachas cibear, cripteagrafaíocht, slándáil acmhainní daonna, rialú rochtana, bainistíocht sócmhainní, fíordheimhniú agus cumarsáid shlán. Cuireann Article 23 tuairisciú teagmhas céimnithe leis, lena n-áirítear luathrabhadh laistigh de 24 uair an chloig, fógra laistigh de 72 uair an chloig, agus tuarascáil deiridh laistigh de mhí amháin tar éis an fhógra.
Athraíonn DORA an comhrá d’eintitis airgeadais agus dá soláthraithe TFC. Tá feidhm aige ón 17 Eanáir 2025 agus cruthaíonn sé réimeas comhchuibhithe athléimneachta oibríochtúla digití a chumhdaíonn bainistíocht riosca TFC, tuairisciú mórtheagmhas a bhaineann le TFC, tástáil athléimneachta, riosca tríú páirtí TFC, ceanglais chonarthacha agus maoirseacht ar sholáthraithe seirbhíse TFC tríú páirtí criticiúla. I gcás go leor eintiteas airgeadais, feidhmíonn DORA mar ghníomh dlíthiúil earnáilsonrach an Aontais nuair a fhorluíonn oibleagáidí atá coibhéiseach le NIS2. I gcás soláthraithe SaaS agus TFC a fhreastalaíonn ar institiúidí airgeadais, is minic a thagann brú DORA trí chlásail chonartha, iniúchtaí custaiméirí, ceanglais pleanála imeachta, oibleagáidí tacaíochta teagmhas agus tástáil athléimneachta.
Soláthraíonn ISO/IEC 27001:2022 cnámh droma an chórais bhainistíochta. Éilíonn sé comhthéacs, páirtithe leasmhara, raon feidhme, cuntasacht ceannaireachta, beartais, róil, measúnú riosca, cóireáil riosca, Ráiteas Infheidhmeachta, iniúchadh inmheánach, athbhreithniú bainistíochta agus feabhsú leanúnach. Áirítear in Iarscríbhinn A rialuithe a bhaineann go díreach le cosaint PII, lena n-áirítear 5.34 Príobháideachas agus cosaint PII, 5.18 Cearta rochtana, 8.11 Mascadh sonraí, 5.23 Slándáil faisnéise maidir le húsáid seirbhísí néalríomhaireachta, 8.15 Logáil, 8.33 Faisnéis tástála, 8.24 Úsáid cripteagrafaíochta, agus 8.10 Scriosadh faisnéise.
Ní hé an dúshlán nach bhfuil rialuithe ag eagraíochtaí. Is é an dúshlán go bhfuil na rialuithe ilroinnte. Tá taifid phríobháideachais leis an bhfeidhm dlí. Tá athbhreithnithe rochtana le TF. Tá scripteanna mascaithe leis an innealtóireacht. Tá conarthaí díoltóirí leis an soláthar. Tá fianaise i dticéid, seatanna scáileáin, scarbhileoga agus ríomhphost.
Cabhraíonn ISO/IEC 27701:2025 agus ISO/IEC 29151:2022 leis an bhfianaise sin a aontú timpeall ar bhainistíocht faisnéise príobháideachais agus ar chleachtais chosanta PII. Tiontaíonn Clarysec an struchtúr sin ina shamhail oibriúcháin.
Ó ISMS go PIMS: slabhra comhtháite rialuithe príobháideachais
Freagraíonn ISMS de réir ISO/IEC 27001:2022 ceist lárnach: an bhfuil slándáil faisnéise rialaithe, bunaithe ar riosca, curtha chun feidhme, faoi fhaireachán agus á feabhsú?
Leathnaíonn Córas Bainistíochta Faisnéise Príobháideachais, nó PIMS, an cheist sin i leith sonraí pearsanta: an bhfuil freagrachtaí príobháideachais, gníomhaíochtaí próiseála PII, rioscaí príobháideachais, oibleagáidí rialaitheora agus próiseálaí, cearta ábhar sonraí, agus fianaise rialuithe príobháideachais á mbainistiú laistigh den chóras céanna?
Leathnaíonn ISO/IEC 27701:2025 an ISMS isteach i rialachas príobháideachais. Comhlánaíonn ISO/IEC 29151:2022 é le treoir phraiticiúil cosanta PII, lena n-áirítear bailiú a theorannú, nochtadh a bhainistiú, mascadh nó bréagainmniú a chur i bhfeidhm, aistrithe a chosaint, rochtain a shrianadh, agus rialuithe a ailíniú le riosca príobháideachais.
| Ciseal | Príomhcheist | Fianaise iniúchta tipiciúil |
|---|---|---|
| ISO/IEC 27001:2022 | An bhfuil ISMS rialaithe, bunaithe ar riosca ann ina bhfuil rialuithe roghnaithe agus ag feidhmiú? | Raon feidhme, páirtithe leasmhara, measúnú riosca, plean cóireála riosca, SoA, beartais, iniúchadh inmheánach, athbhreithniú bainistíochta |
| ISO/IEC 27701:2025 | An bhfuil freagrachtaí príobháideachais, rioscaí príobháideachais agus gníomhaíochtaí próiseála PII á rialú laistigh den chóras bainistíochta? | Róil phríobháideachais, clár próiseála, nósanna imeachta rialaitheora agus próiseálaí, measúnuithe riosca príobháideachais, DPIAanna, próiseas iarrataí ó ábhair sonraí |
| ISO/IEC 29151:2022 | An bhfuil bearta praiticiúla cosanta PII curtha chun feidhme ar fud shaolré na sonraí? | Aicmiú PII, srianta rochtana, mascadh, bréagainmniú, rialuithe coinneála, coimircí aistrithe, fianaise teagmhas |
| GDPR | An féidir leis an eagraíocht próiseáil dhlíthiúil, chothrom, thrédhearcach, íoslaghdaithe, shlán agus chuntasach a léiriú? | Taifid bhonn dlíthiúil, fógraí príobháideachais, DPIAanna, próiseas sáraithe, Comhaontuithe Próiseála Sonraí, láimhseáil cearta |
| NIS2 agus DORA | An féidir leis an eagraíocht rioscaí cibearshlándála agus athléimneachta a rialú, lena n-áirítear teagmhais agus soláthraithe? | Maoirseacht bainistíochta, creat riosca TFC, aicmiú teagmhas, treoirleabhair tuairiscithe, cláir soláthraithe, cearta iniúchta, tástálacha leanúnachais |
Cuireann an tsamhail shraitheach seo cosc ar an mbotún is coitianta i gcomhlíonadh príobháideachais: PII a láimhseáil amhail is nach raibh ann ach cineál eile sonraí íogaire. Tá oibleagáidí dlíthiúla, eiticiúla, oibríochtúla, conarthacha agus clú ag baint le PII. Teastaíonn slabhra rialuithe uaidh a thosaíonn le feasacht agus a chríochnaíonn le fianaise.
Tosaigh le feasacht sonraí, ní le léaráidí criptithe
Is é an teip phríobháideachais is coitianta a fheiceann Clarysec ná comhthéacs atá in easnamh. Ní féidir le cuideachta PII a chosaint mura bhfuil a fhios aici cén PII atá aici, cá bhfuil sé, cén cuspóir atá leis, cá fhad a choinnítear é, nó cé atá in ann teacht air.
Tosaíonn Zenith Blueprint an obair seo go luath sa chéim bainistíochta riosca. I gCéim 9, Sócmhainní, Bagairtí agus Leochaileachtaí a Shainaithint, tugann sé treoir d’eagraíochtaí sócmhainní faisnéise a chur i bhfardal agus sonraí pearsanta a bhratú go sainráite:
“I gcás gach sócmhainne, taifead na príomhshonraí: Ainm/Tuairisc, Úinéir, Suíomh agus Aicmiú (íogaireacht). Mar shampla, d’fhéadfadh sócmhainn a bheith mar ‘Bunachar Sonraí Custaiméirí – faoi úinéireacht Roinn TF – óstáilte ar AWS – ina bhfuil sonraí pearsanta agus airgeadais (íogaireacht ard).’”
Cuireann sé leis freisin: “Cinntigh go mbrataítear sócmhainní sonraí pearsanta (le haghaidh ábharthacht GDPR) agus go dtugtar sócmhainní seirbhíse criticiúla faoi deara (le haghaidh infheidhmeacht fhéideartha NIS2 má tá tú in earnáil rialáilte).”
Is é seo an bonn do ghlacadh ISO/IEC 27701:2025 agus ISO/IEC 29151:2022. Tá an seicheamh praiticiúil simplí:
- Sainaithin córais, tacair sonraí, stórtha, logaí, tuarascálacha, cúltacaí, uirlisí tacaíochta, timpeallachtaí forbartha agus soláthraithe a phróiseálann PII.
- Sann úinéir do gach sócmhainn PII.
- Aicmigh PII de réir íogaireachta, cuspóir gnó, bonn dlíthiúil, ról próiseála agus ceanglas coinneála.
- Ceangail gach sócmhainn PII le bagairtí, leochaileachtaí, cásanna riosca agus oibleagáidí rialála.
- Roghnaigh rialuithe, sann fianaise agus déan faireachán ar oibriú le himeacht ama.
Déanann beartais Clarysec é seo infheidhmithe. Deir SME Data Protection and Privacy Policy SME Data Protection and Privacy Policy:
“Ní mór don Chomhordaitheoir Príobháideachais clár a chothabháil de gach gníomhaíocht próiseála sonraí pearsanta, lena n-áirítear catagóirí sonraí, cuspóir, bonn dlíthiúil agus tréimhsí coinneála”
Ón roinn ‘Ceanglais rialachais’, clásal beartais 5.2.1.
I gcás eagraíochtaí fiontair, bunaíonn an Data Protection and Privacy Policy Data Protection and Privacy Policy riail dhian íoslaghdaithe:
“Ní fhéadfar ach sonraí atá riachtanach do chuspóir gnó sonrach, dlisteanach a bhailiú agus a phróiseáil.”
Ón roinn ‘Ceanglais chun an beartas a chur chun feidhme’, clásal beartais 6.2.1.
Tiontaíonn na clásail seo cuntasacht GDPR ina hoibríochtaí laethúla. Tacaíonn siad freisin le bainistíocht faisnéise príobháideachais agus cosaint PII toisc go gcuireann siad iallach ar an eagraíocht a shainiú cén sonraí atá ann, cén fáth a bhfuil siad ann, agus an bhfuil siad riachtanach.
Na trí rialú a dhéanann cosaint PII fíor
Is minic a chinneann trí rialú de chuid Iarscríbhinn A ISO/IEC 27001:2022 an bhfuil cosaint PII inchosanta faoi iniúchadh: 5.34 Príobháideachas agus cosaint PII, 8.11 Mascadh sonraí, agus 5.18 Cearta rochtana.
5.34 Príobháideachas agus cosaint PII
Is é rialú 5.34 mol an rialachais. In Zenith Controls, láimhseáiltear 5.34 mar rialú coisctheach a thacaíonn le rúndacht, sláine, infhaighteacht, le coincheapa cibearshlándála Identify agus Protect agus le cumais oibríochtúla i gcosaint faisnéise agus i gcomhlíonadh dlíthiúil.
Déanann Zenith Controls an spleáchas soiléir:
“Ba cheart go n-áireofaí i bhfardal sócmhainní faisnéise (5.9) sealúchais sonraí PII (bunachair sonraí custaiméirí, comhaid AD). Tacaíonn sé seo le 5.34 trína chinntiú go bhfuil a fhios ag an eagraíocht cén PII atá aici agus cá bhfuil sé, arb é sin an chéad chéim chun é a chosaint.”
Braitheann rialú 5.34 ar 5.9 Fardal faisnéise agus sócmhainní gaolmhara eile toisc nach féidir PII a chosaint mura féidir é a aimsiú. Ceanglaíonn sé freisin le 5.23 Slándáil faisnéise maidir le húsáid seirbhísí néalríomhaireachta toisc go bhfuil formhór PII anois in ardáin néalríomhaireachta, uirlisí SaaS, timpeallachtaí anailísíochta agus seirbhísí bainistithe.
I gcás próiseála ardriosca, éilíonn Data Protection and Privacy Policy na bhfiontar:
“Tá Samhaltú bagairtí agus Measúnuithe Tionchair ar Chosaint Sonraí (DPIAnna) éigeantach do chórais phróiseála ardriosca.”
Ón roinn ‘Ceanglais chun an beartas a chur chun feidhme’, clásal beartais 6.3.4.
Tá an clásal sin ríthábhachtach. Tiontaíonn sé príobháideachas ina ghníomhaíocht deartha agus bainistíochta riosca, ní ina athbhreithniú dlí ag an nóiméad deireanach.
8.11 Mascadh sonraí
Is é rialú 8.11 an freagra díreach ar nochtadh bhunachar sonraí réamhtháirgthe Sarah. Déanann Zenith Controls cur síos ar 8.11 mar rialú rúndachta coisctheach faoi chosaint faisnéise. Nascann sé 8.11 le 5.12 Aicmiú faisnéise toisc go mbraitheann cinntí mascaithe ar íogaireacht, le 5.34 toisc go dtacaíonn mascadh le cosaint príobháideachais, agus le 8.33 Faisnéis tástála toisc nár cheart do thimpeallachtaí tástála fíor-PII a nochtadh.
Déanann an Data Masking and Pseudonymization Policy Data Masking and Pseudonymization Policy an riail soiléir:
“Ní mór gan fíorshonraí pearsanta a úsáid i dtimpeallachtaí forbartha, tástála ná réamhtháirgthe. Ní mór sonraí mascaithe nó sonraí bréagainmnithe a úsáid ina n-ionad agus ní mór iad a ghiniúint ó theimpléid chlaochlaithe réamhcheadaithe.”
Ón roinn ‘Ceanglais chun an beartas a chur chun feidhme’, clásal beartais 6.3.
I gcás FGBManna, cuireann SME Data Masking and Pseudonymization Policy SME Data Masking and Pseudonymization Policy príomhcheanglas slándála agus fianaise leis:
“Ní mór rochtain ar eochracha a bheith criptithe, faoi rialú rochtana agus logáilte.”
Ón roinn ‘Ceanglais chun an beartas a chur chun feidhme’, clásal beartais 6.2.1.3.
Tá sé seo tábhachtach toisc nach laghdaíonn bréagainmniú riosca ach amháin nuair a rialaítear loighic chlaochlaithe, eochracha agus conairí ath-shainaitheantais.
5.18 Cearta rochtana
Is é rialú 5.18 croílár oibríochtúil an phribhléid is lú. Láimhseálann Zenith Controls é mar rialú coisctheach, atá nasctha le rúndacht, sláine, infhaighteacht, agus suite faoi bhainistíocht aitheantais agus rochtana. Ceanglaíonn sé 5.18 le 5.15 Rialú rochtana, 5.16 Bainistíocht aitheantais, agus 8.2 Cearta rochtana pribhléideacha.
Deir SME Data Classification and Labeling Policy SME Data Classification and Labeling Policy:
“Ní mór rochtain a theorannú d’úsáideoirí atá údaraithe go sonrach agus a bhfuil riachtanas eolais acu.”
Ón roinn ‘Ceanglais rialachais’, clásal beartais 5.2.1.
Cuireann an Data Classification and Labeling Policy Data Classification and Labeling Policy an bhonnlíne aicmithe leis:
“Ní mór aicmiú atá sannta go soiléir a bheith ag gach sócmhainn faisnéise tráth cruthaithe nó ionduchtaithe. In éagmais aicmithe shainráite, ní mór sócmhainní a réamhshocrú mar ‘Rúnda’ go dtí go ndéantar athbhreithniú foirmiúil orthu.”
Ón roinn ‘Ceanglais rialachais’, clásal beartais 5.4.
Le chéile, cruthaíonn na rialuithe seo slabhra praiticiúil cosanta PII: bíodh a fhios agat cén PII atá ann, aicmigh é, teorannaigh rochtain air, maiscigh é nuair nach bhfuil féiniúlacht iomlán riachtanach, cosain eochracha, logáil rochtain, agus coinnigh fianaise.
Tóg inrianaitheacht tríd an Ráiteas Infheidhmeachta
Éiríonn córas bainistíochta príobháideachais réidh don iniúchadh nuair is féidir leis inrianaitheacht a chruthú. Déanann Zenith Blueprint, sa chéim bainistíochta riosca, Céim 13, Pleanáil Cóireála Riosca agus Ráiteas Infheidhmeachta, cur síos ar an Ráiteas Infheidhmeachta mar dhoiciméad idirlinne:
“Is doiciméad idirlinne é an SoA i ndáiríre: nascann sé do mheasúnú/cóireáil riosca leis na rialuithe iarbhír atá agat. Trína chomhlánú, seiceálann tú faoi dhó freisin an raibh aon rialuithe caillte agat.”
Tá an coincheap sin lárnach d’ullmhacht ISO/IEC 27701:2025, ISO/IEC 29151:2022, GDPR, NIS2 agus DORA. Ba cheart gach rialú PII a bheith inrianaithe ó cheanglas go riosca, ó riosca go rialú, ó rialú go húinéir, ó úinéir go fianaise, agus ó fhianaise go hathbhreithniú.
| Mír inrianaitheachta | Sampla le haghaidh PII tacaíochta custaiméirí | Fianaise a bhfuiltear ag súil léi |
|---|---|---|
| Sócmhainn PII | Ardán ticéadaithe tacaíochta ina bhfuil ainmneacha custaiméirí, ríomhphoist, logaí agus ceangaltáin | Iontráil sa chlár sócmhainní, úinéir, suíomh néalríomhaireachta, aicmiú |
| Cuspóir próiseála | Tacaíocht custaiméirí agus diagnóisic seirbhíse | Clár próiseála, bonn dlíthiúil, tréimhse coinneála |
| Cás riosca | Faigheann gníomhaire tacaíochta nó forbróir rochtain ar shonraí custaiméirí iomarcacha | Iontráil sa chlár rioscaí, dóchúlacht, tionchar, úinéir |
| Roghnú rialuithe | 5.34 cosaint PII, 5.18 cearta rochtana, 8.11 mascadh, 8.15 logáil, 5.23 rialachas néalríomhaireachta | SoA, beartas rochtana, caighdeán mascaithe, cumraíocht logála |
| Fianaise oibríochtúil | Rochtain rólbhunaithe, easpórtálacha mascaithe, athbhreithniú ráithiúil rochtana, foláirimh ar íoslódálacha mórchóipe | Taifid athbhreithnithe rochtana, foláirimh DLP, logaí, fianaise ticéid |
| Mapáil rialála | Cuntasacht agus slándáil GDPR, bainistíocht riosca NIS2, riosca TFC DORA agus ceanglais soláthraithe | Maitrís chomhlíonta, treoirleabhar teagmhas, clár conarthaí soláthraithe |
| Fianaise athbhreithnithe | Fionnachtain iniúchta inmheánaigh dúnta, gníomh athbhreithnithe bainistíochta glactha | Tuarascáil iniúchta, gníomh ceartaitheach, miontuairiscí athbhreithnithe bainistíochta |
Tacaíonn ISO/IEC 27005:2022 leis an gcur chuige bunaithe ar riosca seo trí bhéim a leagan ar cheanglais páirtithe leasmhara, critéir riosca choiteanna, úinéirí riosca cuntasacha, measúnú riosca in-athdhéanta, cóireáil riosca, roghnú rialuithe, ailíniú an Ráitis Infheidhmeachta, faomhadh riosca iarmharaigh, faireachán agus feabhsú leanúnach. Ba cheart gur timthriall beo riosca í cosaint PII, ní cleachtadh aonuaire doiciméadaithe GDPR.
Deisigh an scarbhileog agus an bunachar sonraí réamhtháirgthe rioscúil
Is féidir teagmhas Sarah a thiontú ina phacáiste rialuithe in-athdhéanta má láimhseáiltear an leigheas go córasach.
| Céim | Gníomh | Toradh fianaise Clarysec |
|---|---|---|
| 1 | Cláraigh an bunachar sonraí réamhtháirgthe agus an scarbhileog mar shócmhainní PII | Iontrálacha fardail sócmhainní le húinéir, suíomh, aicmiú, catagóirí PII, cuspóir agus coinneáil |
| 2 | Nuashonraigh an ghníomhaíocht phróiseála | Iontráil sa chlár ina léirítear catagóirí sonraí, bonn dlíthiúil, cuspóir agus tréimhse coinneála |
| 3 | Aicmigh na comhaid agus na tacair sonraí | Aicmiú Rúnda nó níos airde curtha i bhfeidhm de réir réamhshocraithe go dtí go ndéantar athbhreithniú foirmiúil |
| 4 | Bain fíor-PII ón timpeallacht neamhtháirgthe | Tacar sonraí mascaithe nó bréagainmnithe ginte ó theimpléid chlaochlaithe cheadaithe |
| 5 | Srianaigh agus athbhreithnigh rochtain | Ceadanna bunaithe ar riachtanas eolais, rochtain iomarcach aisghairthe, taifead athbhreithnithe rochtana |
| 6 | Cosain loighic chlaochlaithe agus eochracha | Rochtain ar eochracha criptithe, faoi rialú rochtana agus logáilte |
| 7 | Gabh fianaise go lárnach | Taifead sócmhainne, iontráil riosca, athbhreithniú rochtana, cruthúnas scriosta, formheas mascaithe agus dúnadh ticéid |
| 8 | Nuashonraigh an SoA agus an Plean Cóireála Riosca | Cás riosca nasctha le 5.34, 5.18, 8.11, 8.15, 8.10, 5.23 agus rialuithe soláthraithe |
| 9 | Cinn an bhfuil DPIA riachtanach | DPIA nó réasúnaíocht dhoiciméadaithe le haghaidh cinntí próiseála ardriosca |
| 10 | Taifead ceachtanna foghlamtha | Oiliúint nuashonraithe, rialacha forbartha sláine, rialuithe easpórtála, faireachán DLP agus treoir maidir le sonraí tástála |
Deir SME Audit and Compliance Monitoring Policy SME Audit and Compliance Monitoring Policy:
“Ní mór an fhianaise uile a stóráil i bhfillteán iniúchta lárnaithe.”
Ón roinn ‘Ceanglais chun an beartas a chur chun feidhme’, clásal beartais 6.2.1.
Déanann an Information Security Policy Information Security Policy an t-ionchas iniúchta níos leithne soiléir:
“Ní mór na rialuithe uile a cuireadh chun feidhme a bheith iniúchta, tacaithe le nósanna imeachta doiciméadaithe agus le fianaise choinnithe ar a n-oibriú.”
Ón roinn ‘Ceanglais chun an beartas a chur chun feidhme’, clásal beartais 6.6.1.
Is iad an dá chlásal sin an difríocht idir rialú a bheith agat agus é a bheith inléirithe agat.
Mapáil traschomhlíonta le haghaidh tacar rialuithe PII amháin
Éiríonn cosaint PII níos éasca a chosaint nuair a mhapáiltear í trasna creataí sula bhfiafraíonn an t-iniúchóir.
| Téama cosanta PII | Ábharthacht GDPR | Ábharthacht ISO/IEC 27001:2022, ISO/IEC 27701:2025 agus ISO/IEC 29151:2022 | Ábharthacht NIS2 | Ábharthacht DORA | Lionsa iniúchta NIST agus COBIT 2019 |
|---|---|---|---|---|---|
| Fardal PII agus clár próiseála | Cuntasacht, bonn dlíthiúil, teorannú cuspóra, teorannú stórála | Comhthéacs ISMS, fardal sócmhainní 5.9, bainistíocht faisnéise príobháideachais, cosaint PII | Bainistíocht sócmhainní agus anailís riosca | Feasacht ar shócmhainní TFC agus spleáchais seirbhíse | Fianaise ar fheidhm Identify agus rialachas ar shócmhainní faisnéise |
| Cearta rochtana agus an phribhléid is lú | Sláine agus rúndacht, rochtain teoranta de réir róil | 5.15 Rialú rochtana, 5.16 Bainistíocht aitheantais, 5.18 Cearta rochtana, 8.2 cearta rochtana pribhléideacha | Rialú rochtana, slándáil AD, fíordheimhniú | Rialuithe riosca TFC agus maoirseacht ar rochtain phribhléideach | Cur chun feidhme rochtana, úinéireacht, freagracht agus faireachán |
| Mascadh agus bréagainmniú | Íoslaghdú sonraí, cosaint sonraí trí dhearadh, slándáil na próiseála | 5.12 aicmiú, 5.34 cosaint PII, 8.11 mascadh sonraí, 8.33 faisnéis tástála | Sláinteachas cibear agus forbairt shlán | Tástáil shlán, laghdú caillteanas sonraí, athléimneacht oibríochtúil | Tástáil coimircí teicniúla agus oibriú iontaofa rialuithe |
| Aicmiú agus tuairisciú teagmhas | Measúnú agus fógra maidir le sárú sonraí pearsanta | Pleanáil teagmhas, measúnú imeachta, freagairt, bailiú fianaise | Luathrabhadh 24 uair an chloig, fógra 72 uair an chloig, tuarascáil deiridh | Aicmiú agus tuairisciú mórtheagmhas a bhaineann le TFC | Critéir ardaithe, logaí cinnteoireachta, anailís bunchúise, leigheas |
| Próiseáil soláthraithe agus néalríomhaireachta | Oibleagáidí próiseálaí, aistrithe, conarthaí | 5.21 slabhra soláthair TFC, 5.23 seirbhísí néalríomhaireachta, 5.31 ceanglais dhlíthiúla agus chonarthacha | Slándáil slabhra soláthair | Riosca tríú páirtí TFC, cearta iniúchta, imeacht agus aistriú | Rialachas tríú páirtí, dearbhú agus cuntasacht bainistíochta |
Seo an áit a bhfuil Zenith Controls thar a bheith úsáideach. I gcás 5.34, mapálann sé cosaint PII chuig fardal sócmhainní, mascadh sonraí agus rialachas néalríomhaireachta. I gcás 8.11, mapálann sé mascadh chuig aicmiú, cosaint príobháideachais agus faisnéis tástála. I gcás 5.18, mapálann sé cearta rochtana chuig rialú rochtana, bainistíocht aitheantais agus rochtain phribhléideach. Ligeann na caidrimh seo d’fhoireann a mhíniú ní hamháin go bhfuil rialú ann, ach cén fáth a bhfuil sé ann agus cé na rialuithe cóngaracha nach mór dóibh feidhmiú leis.
Conas a thástálann iniúchóirí éagsúla an rialú PII céanna
Scrúdófar rialú aonair, amhail 8.11 Mascadh sonraí, ar bhealach difriúil ag brath ar an lionsa iniúchta.
| Cineál iniúchóra | Príomhfhócas | An fhianaise a mbeidh siad ag súil léi |
|---|---|---|
| Iniúchóir ISO/IEC 27001:2022 agus ISO/IEC 27701:2025 | Comhtháthú ISMS agus PIMS, cóireáil riosca, cruinneas SoA | Measúnú riosca, iontráil SoA, beartas mascaithe, taifid athruithe, torthaí iniúchta inmheánaigh |
| Athbhreithneoir GDPR nó údaráis cosanta sonraí | Cosaint sonraí trí dhearadh, íoslaghdú, cuntasacht | Clár próiseála, bonn dlíthiúil, DPIA, fianaise bhréagainmnithe, loighic coinneála |
| Measúnóir NIS2 | Forbairt shlán, cosc teagmhas, rialachas | Nós imeachta forbartha sláine, oiliúint forbróirí, fianaise leigheas teagmhais, athbhreithniú ar éifeachtacht rialuithe |
| Custaiméir nó iniúchóir DORA | Athléimneacht oibríochtúil TFC agus riosca tríú páirtí | Fianaise tástála feidhmchláir chriticiúil, clásail chonartha soláthraithe, oibleagáidí tacaíochta teagmhas, pleanáil athshlánaithe agus imeachta |
| Athbhreithneoir de chineál NIST nó COBIT 2019 | Dearadh rialuithe, oibriú, úinéireacht, faireachán | Úinéir rialaithe, méadrachtaí, stór fianaise, tuairisciú bainistíochta, gníomhartha ceartaitheacha |
Tosaíonn iniúchóir ISO/IEC 27001:2022 le loighic an chórais bhainistíochta. An bhfuil PII laistigh den raon feidhme? An bhfuil ceanglais páirtithe leasmhara sainaitheanta? An ndéantar rioscaí príobháideachais a mheasúnú ag úsáid critéir shainithe? An roghnaítear rialuithe trí chóireáil riosca? An bhfuil an SoA cruinn? An gclúdaíonn iniúchtaí inmheánacha agus athbhreithnithe bainistíochta rialuithe a bhaineann le PII?
Tosaíonn athbhreithneoir príobháideachais le cuntasacht. Cad iad na sonraí pearsanta a phróiseáiltear? Cad é an bonn dlíthiúil? An gcuirtear ábhair sonraí ar an eolas? An bhfuil próiseáil teoranta do chuspóir sonrach? An ndéantar gníomhaíochtaí ardriosca a mheasúnú? An bhfuil próiseálaithe rialaithe?
Tosaíonn measúnóir atá dírithe ar NIS2 le rialachas agus bainistíocht riosca cibearshlándála. An bhformheasann an bhainistíocht bearta agus an ndéanann sí maoirseacht orthu? An bhfuil láimhseáil teagmhas, leanúnachas, slándáil soláthraithe, rialú rochtana, bainistíocht sócmhainní, forbairt shlán agus measúnú ar éifeachtacht rialuithe comhtháite?
Fiafraíonn custaiméir nó iniúchóir DORA an bhfuil bainistíocht riosca TFC doiciméadaithe, rialaithe ag an mbord, comhréireach agus tacaithe ag conarthaí. Má phróiseáiltear PII i seirbhísí a thacaíonn le heintitis airgeadais, bí ag súil le ceisteanna faoi chúnamh teagmhas, láithreacha próiseála sonraí, athshlánú, cearta iniúchta, leibhéil seirbhíse, foirceannadh agus imeacht.
Tástálann athbhreithneoir de chineál COBIT 2019 nó ISACA ailíniú rialachais. Cé leis úinéireacht riosca PII? Cén comhlacht rialachais a fhaigheann tuairisciú? An bhfuil freagrachtaí sannta? An ndéantar faireachán ar sholáthraithe? An rianaítear imeachtaí? An n-úsáidtear méadrachtaí le haghaidh cinnteoireachta? An nglactar go foirmiúil le riosca iarmharach?
Is féidir le samhail fianaise amháin na lionsaí seo go léir a shásamh, ach amháin má dheartar an córas rialuithe le haghaidh inrianaitheachta ón tús.
Fionnachtana iniúchta coitianta i gcláir chosanta PII
Is minic a fheiceann eagraíochtaí a théann i dtreo ullmhacht ISO/IEC 27701:2025 nó ISO/IEC 29151:2022 gan foireann uirlisí chomhtháite na fionnachtana céanna.
| Fionnachtain | Cén fáth a bhfuil sí tábhachtach | Leigheas Clarysec |
|---|---|---|
| Fágann fardal PII logaí, cúltacaí, easpórtálacha anailísíochta nó ceangaltáin tacaíochta ar lár | Ní féidir PII i bhfolach a chosaint ná a scriosadh go hiontaofa | Leathnaigh fardal sócmhainní agus clár próiseála Chéim 9 chun gach suíomh PII a áireamh |
| Úsáideann timpeallachtaí tástála sonraí táirgthe | Nochtaítear fíor-PII nuair nach bhfuil sé riachtanach | Cuir beartas mascaithe agus teimpléid chlaochlaithe cheadaithe i bhfeidhm |
| Tá athbhreithnithe rochtana cineálach agus ní dhíríonn siad ar stórtha PII | Fanann rochtain iomarcach gan bhrath | Mapáil 5.18 cearta rochtana chuig úinéirí sócmhainní PII agus fianaise athbhreithnithe thréimhsiúil |
| Tá bonn dlíthiúil doiciméadaithe ach níl sé nasctha le córais ná coinneáil | Ní féidir cuntasacht GDPR a léiriú | Cuir réimsí bonn dlíthiúil agus coinneála leis an gclár próiseála agus leis an bhfardal sócmhainní |
| Tá easpa suíomh sonraí, cúnaimh teagmhas, cearta iniúchta nó forálacha imeachta i gconarthaí soláthraithe | Fanann bearnaí dearbhaithe soláthraithe DORA, NIS2 agus GDPR | Ailínigh dícheall cuí soláthraithe agus conarthaí le rialachas tríú páirtí TFC agus néalríomhaireachta |
| Ní dhéanann treoirleabhair teagmhas idirdhealú idir teagmhais slándála agus sáruithe sonraí pearsanta | D’fhéadfaí spriocdhátaí tuairiscithe a chailleadh | Tóg crainn aicmithe do thruiceanna tuairiscithe GDPR, NIS2 agus DORA |
| Tá fianaise scaipthe ar fud ticéad, tiomántán, seatanna scáileáin agus ríomhphoist | Teipeann ar ullmhacht iniúchta fiú nuair a oibríonn rialuithe | Úsáid fillteáin iniúchta lárnaithe agus caighdeáin ainmniúcháin fianaise |
Ní saincheisteanna páipéarachais iad na fionnachtana seo. Is saincheisteanna samhla oibriúcháin iad. Ní shocróidh ISO/IEC 27701:2025 ná ISO/IEC 29151:2022 iad mura leabaítear rialachas príobháideachais, rialuithe slándála agus bainistíocht fianaise i ngnáthshreafaí oibre.
Cad ba cheart don bhainistíocht a fhiafraí roimh an gcéad iniúchadh eile
Sula ndéantar ullmhacht ISO/IEC 27701:2025, cur chun feidhme ISO/IEC 29151:2022, nó measúnú custaiméara GDPR, NIS2 nó DORA a shaothrú, ba cheart don bhainistíocht deich gceist dhíreacha a chur:
- An bhfuil clár iomlán againn de ghníomhaíochtaí próiseála PII, lena n-áirítear catagóirí sonraí, cuspóir, bonn dlíthiúil agus coinneáil?
- An bhfuil sócmhainní PII bratáilte san fhardal sócmhainní, lena n-áirítear logaí, cúltacaí, easpórtálacha, uirlisí anailísíochta agus ceangaltáin tacaíochta?
- An sanntar aicmithe sonraí tráth cruthaithe nó ionduchtaithe, agus sócmhainní nár athbhreithníodh ag réamhshocrú go Rúnda?
- An féidir linn a chruthú go bhfuil rochtain ar PII teoranta d’úsáideoirí údaraithe a bhfuil riachtanas eolais acu?
- An n-úsáideann timpeallachtaí forbartha, tástála agus réamhtháirgthe sonraí mascaithe nó bréagainmnithe in ionad fíorshonraí pearsanta?
- An bhfuil teimpléid mascaithe formheasta, eochracha cosanta, agus rochtain faoi rialú rochtana agus logáilte?
- An nascann an SoA rioscaí PII le rialuithe agus oibleagáidí rialála?
- An ndéantar athbhreithniú ar chonarthaí néalríomhaireachta agus soláthraithe maidir le suíomh sonraí, slándáil, tacaíocht teagmhas, cearta iniúchta, athshlánú agus imeacht?
- An féidir lenár bpróiseas teagmhas sáruithe sonraí pearsanta GDPR, teagmhais shuntasacha NIS2 agus mórtheagmhais TFC a bhaineann le DORA a aicmiú?
- An bhfuil fianaise stóráilte go lárnach agus coinnithe ar bhealach ar féidir le hiniúchóir a leanúint?
Má tá freagra aon cheann de na ceisteanna seo doiléir, níl an eagraíocht réidh don iniúchadh fós.
Déan cosaint PII inléirithe
D’fhéadfadh teagmhas déanach oíche Sarah a bheith ina scaoll comhlíonta ilroinnte. Ina ionad sin, is féidir leis a bheith ina phointe tosaigh do shamhail oibriúcháin níos láidre: ISMS de réir ISO/IEC 27001:2022 leathnaithe isteach i bpríobháideachas trí ISO/IEC 27701:2025, treisithe ag cleachtais ISO/IEC 29151:2022, agus mapáilte chuig GDPR, NIS2, DORA, dearbhú de chineál NIST agus ionchais rialachais COBIT 2019.
Sin é fíorluach chosaint PII atá réidh don iniúchadh. Ní bhraitheann sé ar an scarbhileog cheart a aimsiú sula dtagann an t-iniúchóir. Braitheann sé ar chóras a bhfuil a fhios aige cheana féin cá bhfuil PII, cén fáth a bhfuil sé ann, conas a chosnaítear é, cé atá cuntasach, cé na soláthraithe atá páirteach, agus cá bhfuil an fhianaise.
Tosaigh le Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint chun do chur chun feidhme a struchtúrú. Úsáid Zenith Controls: The Cross-Compliance Guide Zenith Controls chun cosaint PII a mhapáil ar fud ISO/IEC 27001:2022, GDPR, NIS2, DORA, dearbhú de chineál NIST agus ionchais rialachais COBIT 2019. Cuir an obair i bhfeidhm le beartais Clarysec, lena n-áirítear Data Protection and Privacy Policy Data Protection and Privacy Policy, Data Masking and Pseudonymization Policy Data Masking and Pseudonymization Policy, Data Classification and Labeling Policy Data Classification and Labeling Policy, SME Audit and Compliance Monitoring Policy SME Audit and Compliance Monitoring Policy, agus Information Security Policy Information Security Policy.
Má tá do chéad iniúchadh custaiméara eile, athbhreithniú GDPR, tionscadal ullmhachta NIS2 nó measúnú soláthraithe DORA ag druidim, ná fan go nochtfaidh sárú na bearnaí. Íoslódáil foirne uirlisí Clarysec, iarr taispeántas, nó sceidealaigh measúnú cosanta PII agus tóg clár príobháideachais atá ní hamháin comhlíontach, ach inchosanta.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
