⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Tástáil rialuithe príobháideachais ISO 27701 don chuntasacht GDPR

Igor Petreski

An t-iniúchadh príobháideachais Dé hAoine a nocht an fhadhb cheart

Tá sé 15:40 tráthnóna Dé hAoine nuair a théann Maria, CISO cuideachta SaaS atá ag fás go tapa, isteach i bhfísghlao le príomhoifigeach soláthair cliaint mhóir ionchasaigh san fhiontar.

Tá a foireann ag obair le míonna ar a Córas Bainistíochta Faisnéise Príobháideachais. Tá na beartais faofa. Tá an clár próiseála ann. Tá plean ullmhachta ISO 27701 ag an gcuideachta. Tá sreafaí oibre d’iarrataí ó ábhair sonraí ag an Oifigeach Cosanta Sonraí. Tá comhaontuithe próiseála sonraí nuashonraithe ag an bhfoireann dlí. Deir an fhoireann innealtóireachta go bhfuil rochtain táirgthe srianta.

Osclaíonn an t-oifigeach soláthair go béasach, ach go díreach.

“Go raibh maith agat as an doiciméadacht, Maria. Is pointe tosaigh maith iad an deimhniú agus an pacáiste beartas. Beidh ár bhfoireann dícheall cuí ar an láthair an mhí seo chugainn. Beidh siad ag iarraidh do phróiseas DSAR a fheiceáil i bhfeidhm, rialuithe íoslaghdaithe sonraí a fhíorú ar ár gcuntais tástála, logaí rochtana táirgthe a athbhreithniú, agus fianaise a iniúchadh go bhfuil rialuithe príobháideachais á dtástáil, ní hamháin á ndoiciméadú.”

Laistigh de chúpla nóiméad, faigheann Maria dhá theachtaireacht eile.

Fiafraíonn an tOifigeach Cosanta Sonraí an bhfuil an ghné nua anailísíochta clúdaithe ag an gclár próiseála, ag an measúnú bonn dlíthiúil, ag an sceideal coinneála, agus ag oibleagáidí próiseálaithe a chuirtear ar aghaidh.

Fiafraíonn an bainisteoir comhlíonta an féidir leis an athbhreithniú ullmhachta ISO 27701:2025 a chruthú go bhfuil rialuithe PIMS ag feidhmiú go héifeachtach.

Seo an pointe a mbíonn go leor clár príobháideachais ag dul as a riocht. Tá doiciméid phríobháideachais ag an eagraíocht, ach níl cruthúnas príobháideachais aici. Tá sreafaí oibre aici, ach níl fianaise bunaithe ar shamplaí aici. Tá conarthaí aici, ach tá taifid faireacháin lag aici. Tá muinín inmheánach aici, ach níl rian iniúchta inchosanta aici.

Is í an bhearna sin an difríocht idir comhlíonadh ar pháipéar agus cuntasacht inléirithe.

Déanann GDPR an fhadhb soiléir. Tá an rialaitheoir freagrach as comhlíonadh phrionsabail na cosanta sonraí, agus ní mór dó a bheith in ann an comhlíonadh sin a léiriú. Ní mór sonraí pearsanta a phróiseáil go dleathach, go cothrom agus go trédhearcach, chun críocha sonraithe, a theorannú don mhéid is gá, a choinneáil cruinn, a choinneáil ar feadh na tréimhse is gá amháin, agus a chosaint trí bhearta teicniúla agus eagraíochtúla iomchuí.

Tugann ISO 27701:2025 an struchtúr bainistíochta príobháideachais d’eagraíochtaí. Tugann ISO/IEC 27001:2022 cnámh droma an ISMS maidir le raon feidhme, cóireáil riosca, rialú oibríochtúil, iniúchadh inmheánach, athbhreithniú bainistíochta agus feabhsú leanúnach. Cuireann GDPR an t-ualach dlíthiúil cuntasachta ar fáil. Méadaíonn NIS2, DORA, NIST CSF 2.0, dearbhú amhail COBIT 2019, agus athbhreithnithe slándála custaiméirí an brú rialuithe a chruthú go n-oibríonn siad.

Tá dearcadh Clarysec simplí: níor cheart gur rás bliantúil chun seatanna scáileáin a bhailiú a bheadh i dtástáil rialuithe príobháideachais. Ba cheart gur córas fianaise PIMS a bheadh inti a nascann gníomhaíochtaí próiseála, rialuithe infheidhme, rioscaí, samplaí, seiceálacha teicniúla, fionnachtana, CAPA agus athbhreithniú bainistíochta in aon mhúnla inrianaithe amháin.

Sin é an áit a n-éiríonn tacar beartas PIMS Clarysec, Zenith Blueprint: treochlár 30 céim d’iniúchóir, agus Zenith Controls: an treoir tras-chomhlíonta ina n-uirlisí oibríochtúla, seachas ina n-ábhar seilfe.

Is í tástáil rialuithe príobháideachais an droichead idir beartas agus cuntasacht

Freagraíonn tástáil rialuithe príobháideachais trí cheist phraiticiúla:

  1. An bhfuil an rialú deartha chun an oibleagáid phríobháideachais a chomhlíonadh nó chun an riosca príobháideachais a laghdú?
  2. An bhfuil an rialú curtha chun feidhme sa phróiseas, sa chóras, san fhoireann, sa soláthraí nó sa sreabhadh oibre táirge ábhartha?
  3. An bhfuil an rialú ag feidhmiú go héifeachtach thar thréimhse ama, le fianaise a shásódh iniúchóir, custaiméir, údarás rialála nó coiste riosca an Bhoird?

Féadfaidh cuideachta SaaS a rá go dtacaíonn sí le hiarrataí scriosta. Seiceálann tástáil dearaidh an bhfuil an beartas scriosta, an próiseas fíoraithe aitheantais, an tsamhail úinéireachta, comhordú próiseálaithe, eisceachtaí coinneála agus láimhseáil cúltacaí sainithe. Tógann tástáil éifeachtachta oibriúcháin samplaí d’iarrataí scriosta críochnaithe, cuireann sí stampaí ama i gcomparáid, seiceálann sí formheasanna, athbhreithníonn sí logaí córais, fíoraíonn sí fógraí do phróiseálaithe iartheachtacha, agus dearbhaíonn sí fianaise dhúnta.

Déanann an Beartas faireacháin, iniúchta agus feabhsaithe PIMS ceanglas in-iniúchta de seo:

[An dá cheann] NÍ MÓR don Athbhreithneoir Iniúchta Inmheánaigh / Comhlíonta stádas cur chun feidhme rialuithe PIMS infheidhme a thástáil i gcoinne REG03 le linn gach iniúchadh PIMS.

Ón rannán ‘Clár iniúchta inmheánaigh PIMS’, clásal beartais 4.2.5.

Tá an frása sin, “i gcoinne REG03,” lárnach. Ní hagallamh saorfhoirme í an tástáil. Feidhmíonn REG03 mar thagairt infheidhmeachta agus cur chun feidhme do rialuithe PIMS. Léiríonn sé cad atá infheidhme, cén fáth a bhfuil sé infheidhme, agus cén fhianaise ba cheart a bheith ann.

Cuireann an beartas céanna leis:

[An dá cheann] NÍ MÓR don Athbhreithneoir Iniúchta Inmheánaigh / Comhlíonta an sampla fianaise roghnaithe maidir le próiseáil PII a thaifeadadh in REG12 le linn gach iniúchadh PIMS.

Ón rannán ‘Clár iniúchta inmheánaigh PIMS’, clásal beartais 4.2.6.

Is é seo croílár thástáil rialuithe príobháideachais ISO 27701:2025. Comhrá is ea iniúchadh PIMS gan sampla. Is cuntasacht é iniúchadh PIMS ina bhfuil fianaise roghnaithe, mapáil rialuithe, eisceachtaí, gníomh ceartaitheach agus inrianaitheacht athbhreithnithe bainistíochta.

Tosaigh le raon feidhme, ról agus fíorstaid na próiseála

Teipeann ar fhormhór na n-iniúchtaí príobháideachais laga sula dtosaíonn an tástáil. Roghnaíonn siad rialuithe cineálacha gan a dhearbhú cé na sonraí pearsanta a phróiseáiltear, cá bhfuil siad, cé na córais agus soláthraithe a mbíonn baint acu leo, agus an ngníomhaíonn an eagraíocht mar rialaitheoir, próiseálaí, comhrialaitheoir nó fophróiseálaí.

Braitheann oibleagáidí GDPR go mór ar an ról. Tá oibleagáidí eile ar rialaitheoir a chinneann cén fáth agus conas a phróiseáiltear sonraí pearsanta ná mar atá ar phróiseálaí a ghníomhaíonn de réir treoracha doiciméadaithe ón gcustaiméir. Tá tábhacht le híogaireacht na sonraí freisin. Ní bhíonn an riosca céanna ag baint le sonraí fostaithe, sonraí cuntas custaiméirí, teiliméadracht, sonraí airgeadais, fíorú bithmhéadrach, sonraí a bhaineann leis an tsláinte, scagadh smachtbhannaí agus sonraí faoi chionta coiriúla.

Tosaíonn clár láidir tástála ISO 27701:2025 le disciplín raon feidhme.

Ceist raoin feidhmeFianaise le hiniúchadhCén fáth a bhfuil tábhacht léi
Cé na gníomhaíochtaí próiseála PII atá sa raon feidhme?Clár próiseála, léarscáil sreafa sonraí, fardal córas, clár soláthraitheNí mór don tástáil samplaí de phróiseáil fhíor a úsáid, ní ráitis bheartais theibí
Cén ról PIMS atá infheidhme?Mapáil rialaitheora, próiseálaí, comhrialaitheora agus fophróiseálaíTá oibleagáidí GDPR agus rialuithe PIMS difriúil de réir róil
Cé na hoibleagáidí dlíthiúla, conarthacha agus rialála atá infheidhme?Measúnú GDPR, DPAanna custaiméirí, rialacha earnála, measúnuithe aistritheNí mór do dhearadh rialuithe na hoibleagáidí iarbhír a léiriú
Cé na córais agus soláthraithe a phróiseálann PII?Fardal sócmhainní, fardal scamall, liosta próiseálaithe, maitrís rochtanaTeastaíonn fianaise theicniúil agus fianaise tríú páirtí ó thástálacha oibriúcháin
Cé na hathruithe a théann i bhfeidhm ar phróiseáil PII?Taifid athruithe táirgí, truiceoirí DPIA, nótaí eisiúna, athbhreithnithe ailtireachtaNí mór príobháideachas trí dhearadh a thástáil roimh sheoladh, ní i ndiaidh gearáin

Tacaíonn ISO/IEC 27001:2022 leis an gcur chuige comhtháite seo trína cheanglais maidir le comhthéacs eagraíochtúil, ceanglais páirtithe leasmhara, oibleagáidí dlíthiúla agus conarthacha, raon feidhme an chórais bainistíochta, pleanáil oibríochtúil agus cóireáil riosca. Maidir le príobháideachas, ciallaíonn sé seo nach féidir le próiseáil PII a bheith ina scarbhileog scoite. Ní mór di a bheith mar chuid de mhúnla oibriúcháin an ISMS agus an PIMS.

Nascann an Beartas Córas Bainistíochta Faisnéise Príobháideachais tástáil phríobháideachais go díreach le rialachas:

[Uile] NÍ MÓR don Ardbhainistíocht feidhmíocht PIMS, cuspóirí príobháideachais, rioscaí oscailte, neamhchomhréireachtaí, gníomhartha ceartaitheacha agus cinntí feabhsúcháin a athbhreithniú in REG12 go bliantúil.

Ón rannán ‘Rialachas PIMS’, clásal beartais 6.1.1.

Má shainaithníonn tástáil bearna phríobháideachais, ní nóta iniúchta amháin í. Is ionchur córais bhainistíochta í ar cheart di dul i bhfeidhm ar chóireáil riosca, tosaíochtaí, acmhainní agus cinntí ceannaireachta.

Éifeachtacht dearaidh i gcomparáid le héifeachtacht oibriúcháin

Nuair a fhiafraíonn custaiméir an ndéantar rialuithe príobháideachais a thástáil, is gnách gurb í éifeachtacht oibriúcháin atá i gceist aige. Scrúdóidh iniúchóirí éifeachtacht dearaidh freisin, áfach.

Tá rialú atá éifeachtach ó thaobh dearaidh de in ann an ceanglas a chomhlíonadh má dhéantar é mar atá beartaithe. Déantar rialú atá éifeachtach ó thaobh oibriúcháin de go comhsheasmhach i ndáiríre agus tacaítear leis le fianaise.

Réimse rialaitheTástáil éifeachtachta dearaidhTástáil éifeachtachta oibriúcháin
Gabháil toilitheFíoraigh an beartas, téacs toilithe, rialacha bonn dlíthiúil, ceanglais an chomhéadain úsáideora, sreabhadh oibre aistarraingtheTóg samplaí de thaifid toilithe agus d’aistarraingtí, cuir stampaí ama i gcomparáid, fíoraigh cosc tar éis aistarraingthe
Teorannú de réir cuspóraAthbhreithnigh RoPA, fógra príobháideachais, ceanglais táirge, scaradh toilithe, rialacha úsáide sonraíTóg samplaí de thaifid úsáideoirí, logaí, easpórtálacha agus sreafaí anailísíochta chun a dhearbhú nach n-athúsáidtear PII chun críocha neamhúdaraithe
Rochtain ar PIIAthbhreithnigh beartas rochtana, samhail róil, nós imeachta iontrálaithe-aistrithe-fágálaithe, sreabhadh oibre formheasaTóg samplaí d’úsáideoirí a bhfuil rochtain acu ar PII, fíoraigh formheas, riachtanas gnó, MFA agus athbhreithniú rochtana le déanaí
Ionduchtú próiseálaitheAthbhreithnigh critéir díchill chuí, clásail DPA, rialacha fophróiseálaithe, coimircí aistritheTóg sampla de phróiseálaí, iniúch an measúnú, an conradh, an t-athbhreithniú slándála agus fianaise faireacháin fophróiseálaithe
Coinneáil agus scriosadhAthbhreithnigh sceideal coinneála, rialacha eisceachta, nós imeachta scriosta, cumas córaisTóg samplaí de thaifid scriosta nó d’iarrataí scriosta, iniúch logaí, ticéid agus dearbhuithe próiseálaithe
Láimhseáil sáruitheAthbhreithnigh aicmiú teagmhas, uaschéimniú príobháideachais, critéir fógra don údarásTóg samplaí de thaifid teagmhas, fíoraigh triáis, bonn cirt an chinnidh, fógraí agus ceachtanna foghlamtha

Luaitear cuspóir an Bheartais Faireacháin Iniúchta agus Comhlíonta go díreach:

Éifeachtacht rialuithe slándála agus príobháideachais a bhailíochtú

Ón rannán ‘Cuspóir’, clásal beartais 1.1.1.

Coinníonn an leagan FGBM an prionsabal dearbhaithe céanna i dteanga oibríochtúil. Deir an Beartas Faireacháin Iniúchta agus Comhlíonta - FGBM:

Bunaíonn an beartas seo cur chuige na heagraíochta maidir le hiniúchtaí inmheánacha, athbhreithnithe rialuithe slándála agus faireachán comhlíonta a dhéanamh. Cinntíonn sé go mbíonn gach rialú, beartas, córas agus soláthraí seirbhíse faoi réir athbhreithnithe rialta agus struchtúrtha.

Ón rannán ‘Cuspóir’, clásal beartais 1.1.

Ní bhaineann ullmhacht ISO 27701 le méid na cuideachta amháin. B’fhéidir nach mbeidh na huirlisí iniúchta céanna de dhíth ar phróiseálaí SaaS 30 duine agus a bhíonn ar bhanc domhanda, ach ní mór dó fós a chruthú go bhfuil rochtain, scriosadh, uaschéimniú teagmhas, rialachas fophróiseálaithe agus coinneáil fianaise faoi rialú.

Slabhra fianaise Clarysec: REG03, REG12, CAPA agus athbhreithniú

Struchtúraíonn Clarysec tástáil rialuithe príobháideachais timpeall ar shlabhra fianaise simplí.

Sainíonn REG03 rialuithe PIMS infheidhme agus stádas cur chun feidhme. Taifeadann REG12 samplaí, fianaise, fionnachtana, bearnaí inrianaitheachta, fíorú gníomhartha ceartaitheacha agus ionchuir athbhreithnithe bainistíochta. Tiontaíonn taifid CAPA fionnachtana ina bhfeabhsuithe bunaithe ar anailís bunchúise. Déanann an Ardbhainistíocht feidhmíocht PIMS, rioscaí, neamhchomhréireachtaí, gníomhartha ceartaitheacha agus cinntí feabhsúcháin a athbhreithniú.

Éilíonn an Beartas PIMS maidir le Faisnéis Dhoiciméadaithe agus Bainistíocht Fianaise go ngabhfar saincheisteanna cáilíochta fianaise:

[Uile] NÍ MÓR don Athbhreithneoir Iniúchta Inmheánaigh / Comhlíonta bearnaí i gcomhláine, cruinneas nó inrianaitheacht fianaise a thaifeadadh in REG12 le linn gach iniúchadh sceidealta nó athbhreithniú comhlíonta.

Ón rannán ‘Cruthú, ainmniú agus cáilíocht fianaise’, clásal beartais 4.3.4.

Tá tábhacht leis seo toisc nach teip iomlán rialaithe atá i ngach fionnachtain. Uaireanta d’oibrigh an rialú, ach tá an fhianaise neamhiomlán. Uaireanta tá ticéad scriosta dúnta, ach níl aon loga córais ann a chruthaíonn an scriosadh. Uaireanta ainmníonn an clár próiseála an CRM, ach fágtar easpórtáil an stórais sonraí ar lár. Uaireanta tá conradh soláthraí ann, ach níl faireachán leanúnach ann.

Éilíonn an Beartas Faireacháin Iniúchta agus Comhlíonta iniúchtaí inmheánacha struchtúrtha freisin:

Leanfaidh iniúchtaí inmheánacha nós imeachta doiciméadaithe lena n-áirítear:

Ón rannán ‘Ceanglais chun an beartas a chur chun feidhme’, clásal beartais 6.1.1.

Agus nuair a tharlaíonn fionnachtana:

Beidh CAPA doiciméadaithe mar thoradh ar gach fionnachtain agus áireofar ann:

Ón rannán ‘Ceanglais chun an beartas a chur chun feidhme’, clásal beartais 6.2.1.

Treisíonn an Beartas Bainistíochta Riosca - FGBM disciplín dúnta:

Ní mór críochnú agus éifeachtacht gníomhartha cóireála a fhíorú.

Ón rannán ‘Ceanglais chun an beartas a chur chun feidhme’, clásal beartais 6.3.2.

Dúnann an Beartas faireacháin, iniúchta agus feabhsaithe PIMS an lúb:

[Uile] NÍ MÓR don Athbhreithneoir Iniúchta Inmheánaigh / Comhlíonta éifeachtacht gníomhartha ceartaitheacha a fhíorú in REG12 laistigh de 30 lá ó thuairisciú dhúnadh an ghnímh cheartaitheigh.

Ón rannán ‘Neamhchomhréireacht agus gníomh ceartaitheach’, clásal beartais 4.4.7.

Is é seo an difríocht idir ticéad a dheisiú agus córas bainistíochta a fheabhsú.

Tástáil phraiticiúil 1: iarrataí scriosta agus cuntasacht GDPR

Tá iarrataí scriosta ar cheann de na bealaí is soiléire chun a thástáil an n-oibríonn cuntasacht phríobháideachais i ndáiríre.

Glac leis go ngníomhaíonn cuideachta SaaS sa mheánmhargadh mar rialaitheoir agus mar phróiseálaí araon. Rialaíonn sí sonraí fostaithe, margaíochta agus billeála. Próiseálann sí sonraí úsáideoirí deiridh custaiméirí thar ceann custaiméirí fiontair. Tá an eagraíocht ag iarraidh a thástáil an bhfuil rialuithe scriosta réidh d’iniúchadh ISO 27701:2025 agus do dhearbhú custaiméara GDPR.

Céim 1: Roghnaigh an ghníomhaíocht phróiseála ó REG03

Roghnaigh gníomhaíocht phróiseála a bhfuil riosca príobháideachais iarbhír ag baint léi, amhail “sonraí próifíle úsáideoirí deiridh custaiméara a phróiseáiltear san ardán SaaS.” Deimhnigh an ngníomhaíonn an eagraíocht mar rialaitheoir, mar phróiseálaí, nó mar an dá cheann. Sainaithin rialuithe nasctha do láimhseáil cearta, bailíochtú treoracha próiseálaí, coinneáil, scriosadh, rialú rochtana, logáil, láimhseáil cúltacaí agus comhordú soláthraithe.

Céim 2: Sainigh cuspóir tástála beacht

Bíonn cuspóir tástála úsáideach sonrach agus faoi stiúir fianaise:

“Fíoraigh go bhfaightear iarrataí scriosta maidir le sonraí próifíle úsáideoirí deiridh custaiméara, go bhfíordheimhnítear iad nó go mbailíochtaítear iad mar threoir, go ngníomhaítear orthu laistigh den sreabhadh oibre sainithe, go logáiltear iad, go gcríochnaítear go teicniúil iad i gcórais táirgthe, go gcuirtear ar aghaidh iad chuig fophróiseálaithe ábhartha nuair is gá, agus go ndúntar iad le fianaise.”

Céim 3: Tarraing sampla ionadaíoch

Roghnaigh cúig iarratas scriosta ón ráithe dheireanach. Cuir san áireamh iarratas gnáthaimh amháin, iarratas amháin ina bhfuil riarthóir custaiméara, iarratas amháin bunaithe ar threoir próiseálaí, iarratas amháin le heisceacht choinneála, agus iarratas amháin a bhaineann le láimhseáil cúltacaí.

Cuireann Zenith Blueprint, sa chéim Iniúchadh, Athbhreithniú agus Feabhsú, Céim 26: Cur i gcrích iniúchta, béim ar shampláil agus ar bhailiú fianaise:

✓ Cuir agallamh ar phearsanra ábhartha: Iarr ar dhaoine atá freagrach as próisis míniú a thabhairt ar conas a chomhlíonann siad na ceanglais. Mar shampla, fiafraigh den úinéir riosca faoin measúnú riosca deireanach, nó fiafraigh de AD conas a chuirtear oiliúint slándála ar fhostaithe nua (chun rialú 6.3 ar fheasacht a chlúdach).
✓ Athbhreithnigh doiciméadacht: Seiceáil go bhfuil doiciméid agus taifid ann agus go bhfuil siad cothrom le dáta.
✓ Breathnaigh ar chleachtais: Más féidir, déan breathnóireacht dhíreach.
✓ Tóg sampla agus déan spotseiceáil: Ní féidir gach rud a sheiceáil, mar sin úsáid sampláil.

Ón gcéim Iniúchadh, Athbhreithniú agus Feabhsú, Céim 26: Cur i gcrích iniúchta (iniúchadh inmheánach a dhéanamh).

Céim 4: Iniúch fianaise do gach sampla

I gcás gach iarratais shampláilte, bailigh an ticéad iontógála, aicmiú róil, fíorú aitheantais nó údarú custaiméara, loga scriosta córais, cinneadh eisceachta coinneála, míniú ar láimhseáil cúltacaí, fógra fophróiseálaí, cumarsáid dúnta, stampaí ama agus formheas an athbhreithneora.

Céim 5: Taifead na torthaí in REG12

Taifead an sampla, foinse na fianaise, toradh an rialaithe, eisceacht agus bearna inrianaitheachta in REG12. Má tharla an scriosadh ach nach bhfuil aon loga táirgthe ann, d’fhéadfadh an rialú a bheith oibrithe ach bíonn an fhianaise lag. Má cuireadh moill ar an iarratas toisc nach raibh freagracht an tsoláthraí soiléir, d’fhéadfadh baint a bheith ag an bhfionnachtain le rialachas tríú páirtí agus oibleagáidí conarthacha a chuirtear ar aghaidh.

Céim 6: Cruthaigh CAPA agus fíoraigh éifeachtacht

Má tá an bhunchúis ina húinéireacht dhoiléir idir tacaíocht, dlí agus innealtóireacht, d’fhéadfadh sreabhadh oibre athbhreithnithe, RACI nuashonraithe, réimsí fianaise éigeantacha agus seiceálacha míosúla ar shamplaí scriosta a bheith san áireamh sa CAPA.

Míníonn Zenith Blueprint, sa chéim Iniúchadh, Athbhreithniú agus Feabhsú, Céim 29, an t-ionchas dúnta:

Pleanáil conas a dhéanfaidh tú éifeachtacht gach gnímh cheartaitheigh a fhíorú. D’fhéadfadh iniúchadh nó seiceáil leantach a sceidealú a bheith i gceist leis seo. Mar shampla, más é do ghníomh ceartaitheach oiliúint a chur ar fhoireann TF maidir le rialú rochtana, d’fhéadfá pleanáil chun cuntais nua a athbhreithniú i gceann míosa féachaint an bhfuil formheasanna cuí acu uile (fíorú).

Ón gcéim Iniúchadh, Athbhreithniú agus Feabhsú, Céim 29: Feabhsú leanúnach (gníomhartha ceartaitheacha agus ceachtanna foghlamtha).

Maidir le scriosadh, d’fhéadfadh sampláil na gcúig iarratas scriosta eile tar éis don sreabhadh oibre athbhreithnithe dul beo a bheith i gceist le fíorú. Níor cheart an CAPA a dhúnadh ach ansin.

Tástáil phraiticiúil 2: teorannú de réir cuspóra agus íoslaghdú sonraí

Tástáil ardluacha eile is ea teorannú de réir cuspóra. Tá sí úsáideach go háirithe roimh dhícheall cuí custaiméara, seoltaí anailísíochta, saibhriú intleachta saorga, leathnú stórais sonraí nó athruithe ar uathoibriú margaíochta.

Bailíonn ardán SaaS Maria sonraí úsáideoirí custaiméara chun seirbhís a sholáthar. Is é cuspóir an rialaithe a chinntiú nach n-úsáidtear PII ach amháin chun críocha sonraithe agus dlisteanacha, agus nach n-athúsáidtear é le haghaidh anailísíocht mhargaíochta mura bhfuil toiliú sainráite ar leith tugtha ag an úsáideoir nuair is gá.

Cineál fianaiseDéantáin shonracha
DoiciméadachtBeartas um Chosaint Sonraí agus Príobháideachas, RoPA, DPA custaiméara, fógraí príobháideachais, taifid bhainistíochta toilithe
Cumraíocht theicniúilRialacha láimhseála sonraí feidhmchláir, scéimeanna bunachair shonraí, cumraíochtaí API, socruithe jabanna ETL
Logaí agus taifidLogaí rochtana feidhmchláir, logaí fiosraithe bunachair shonraí, stair athraithe toilithe, taifid easpórtála feachtais
Fianaise phearsanraAgallaimh le húinéir táirge, príomhfhorbróir, riarthóir bunachair shonraí, úinéir príobháideachais

Ní stopann tástáil láidir oibriúcháin ag an mbeartas. Tógann sí samplaí d’úsáideoirí a ghlac le margaíocht agus d’úsáideoirí nár ghlac léi. Rianaíonn sí an léirítear stádas toilithe i gceart ar fud phríomhbhunachair shonraí an fheidhmchláir, táblaí an stórais sonraí, uirlisí feachtais, painéil agus easpórtálacha. Má bhíonn úsáideoirí nár thoiligh i lucht féachana margaíochta, tá neamhchomhréireacht nithiúil ag an eagraíocht.

Tugann Beartas Faireacháin Iniúchta agus Comhlíonta FGBM an meon ceart trí shampla tástála teicniúla:

Fíorú rialuithe teicniúla (m.sh., stádas cúltaca, cumraíocht rialaithe rochtana, taifid phaistí)

Ón rannán ‘Ceanglais chun an beartas a chur chun feidhme’, clásal beartais 6.1.1.2.

Maidir le príobháideachas, áirítear le fíorú rialuithe teicniúla seiceálacha sioncrónaithe toilithe, easpórtálacha rialaithe rochtana, logaí scriosta, socruithe criptithe, tástálacha mascála sonraí, foláirimh DLP, srianta cúltaca, imeachtaí faireacháin agus fianaise soláthraithe.

Mapáil tástála príobháideachais chuig ISO/IEC 27001:2022 agus tras-chomhlíonadh Clarysec

Ní fheidhmíonn rialuithe príobháideachais ina n-aonar. Braitheann cosaint PII ar fhardal sócmhainní, aicmiú, rialú rochtana, rialachas scamall, mascáil sonraí, aistriú faisnéise, logáil, faireachán, scriosadh, cosaint taifead, maoirseacht soláthraithe agus athbhreithniú neamhspleách.

In Zenith Controls: an treoir tras-chomhlíonta, déantar rialú 5.34 d’Iarscríbhinn A ISO/IEC 27001:2022, Príobháideachas agus cosaint PII, a mhapáil mar rialú coisctheach atá ailínithe le rúndacht, sláine agus infhaighteacht, le coincheapa cibearshlándála Sainaithin agus Cosain, agus le cumais oibríochtúla i gCosaint Faisnéise móide Dlí agus Comhlíonadh.

Tá a ghaol le fardal díreach:

Ba cheart sealúchais sonraí PII (bunachair shonraí custaiméirí, comhaid AD) a áireamh i bhfardal sócmhainní faisnéise (5.9). Tacaíonn sé seo le 5.34 trína chinntiú go bhfuil a fhios ag an eagraíocht cén PII atá aici agus cá bhfuil sé, arb é sin an chéad chéim chun é a chosaint.

Ó Zenith Controls, Príobháideachas agus Cosaint PII, rialú 5.34.

Maidir le tástáil iniúchta, ciallaíonn sé seo nár cheart don iniúchóir príobháideachais tosú leis an bhfógra príobháideachais amháin. Ba cheart dó tosú leis an bhfardal PII, an clár próiseála, sreafaí sonraí, an fardal sócmhainní agus an fardal soláthraithe. Má tá an fardal neamhiomlán, ní féidir le rialuithe príobháideachais iartheachtacha a bheith lán-iontaofa.

Mapálann an treoir rialú 5.34 d’Iarscríbhinn A ISO/IEC 27001:2022 chuig rialuithe gaolmhara freisin, amhail 5.9 Fardal faisnéise agus sócmhainní gaolmhara eile, 5.12 Aicmiú faisnéise, 5.14 Aistriú faisnéise, 5.15 Rialú rochtana, 5.16 Bainistíocht aitheantais, 5.23 Slándáil faisnéise maidir le húsáid seirbhísí scamall, 5.33 Cosaint taifead, 8.11 Mascáil sonraí, 8.12 Cosc ar sceitheadh sonraí, agus 8.10 Scriosadh faisnéise.

Tá dhá rialú breise d’Iarscríbhinn A ISO/IEC 27001:2022 thar a bheith ábhartha:

Rialú ISO/IEC 27001:2022Ábharthacht don tástáil phríobháideachaisSampla fianaise
5.34 Príobháideachas agus cosaint PIIDeimhníonn sé go bhfuil ceanglais phríobháideachais agus chosanta PII curtha chun feidhme bunaithe ar dhlíthe, rialacháin agus conarthaíClár próiseála, DPIAanna, taifid bonn dlíthiúil, fianaise DSR, logaí coinneála
5.35 Athbhreithniú neamhspleách ar shlándáil faisnéiseSoláthraíonn sé bailíochtú oibiachtúil go ndéantar athbhreithniú neamhspleách ar shocruithe slándála, lena n-áirítear rialuithe atá ábhartha don phríobháideachasTuarascálacha iniúchta inmheánaigh, torthaí athbhreithnithe sheachtraigh, samplaí REG12, taifid CAPA
5.36 Comhlíonadh beartas, rialacha agus caighdeán maidir le slándáil faisnéiseDeimhníonn sé comhlíonadh leanúnach rialacha agus caighdeán inmheánachAthbhreithnithe ar chomhlíonadh beartais, seiceálacha rochtana, torthaí faireacháin, logaí eisceachtaí

Éilíonn an Beartas um Chosaint Sonraí agus Príobháideachas:

Déanfar iniúchadh inmheánach ar chomhlíonadh príobháideachais go bliantúil nó nuair a tharlaíonn mórathruithe eagraíochtúla nó rialála. Áireofar i raon feidhme an iniúchta:

Ón rannán ‘Ceanglais rialachais’, clásal beartais 5.4.

Áirítear leis freisin:

Éifeachtacht beart teicniúil agus eagraíochtúil

Ón rannán ‘Ceanglais rialachais’, clásal beartais 5.4.1.

Coinníonn an Beartas um Chosaint Sonraí agus Príobháideachas - FGBM an t-ionchas praiticiúil céanna:

Ní mór iniúchtaí príobháideachais rialta nó seiceálacha rialaithe a dhéanamh agus a logáil

Ón rannán ‘Ceanglais rialachais’, clásal beartais 5.3.3.

Cén fáth gur saincheist rialachais cibearshlándála í cuntasacht GDPR anois

Ní hiad iniúchóirí príobháideachais amháin a iarrann fianaise phríobháideachais a thuilleadh. Féadfaidh iniúchóir ISO 27701:2025, iniúchóir ISO/IEC 27001:2022, athbhreithneoir GDPR, údarás inniúil NIS2, custaiméir rialáilte faoi DORA, measúnóir NIST CSF nó coiste riosca an Bhoird an cruthúnas céanna a iarraidh.

Éilíonn NIS2 Article 21 ar eintitis riachtanacha agus thábhachtacha bearta teicniúla, oibríochtúla agus eagraíochtúla iomchuí agus comhréireacha a chur chun feidhme le haghaidh bainistiú riosca cibearshlándála. Áirítear go sainráite in Article 21(2)(f) beartais agus nósanna imeachta chun éifeachtacht beart bainistíochta riosca cibearshlándála a mheasúnú. Cuireann NIS2 freagracht ar chomhlachtaí bainistíochta freisin bearta bainistíochta riosca cibearshlándála a fhormheas agus a mhaoirsiú.

Tá DORA infheidhme ón 17 Eanáir 2025 i leith d’eintitis airgeadais agus leagann sé amach leabhar rialacha mionsonraithe maidir le hathléimneacht oibríochtúil dhigiteach. Éilíonn sé bainistíocht riosca TFC, maoirseacht an chomhlachta bainistíochta, iniúchadh inmheánach, leigheas fionnachtana criticiúla, aicmiú agus tuairisciú teagmhas, tástáil athléimneachta, bainistíocht riosca tríú páirtithe TFC, rialuithe conarthacha, cláir socruithe seirbhíse TFC agus straitéisí scoir. Ba cheart do sholáthraithe TFC a fhreastalaíonn ar eintitis airgeadais a bheith ag súil le hiarrataí fianaise faoi thionchar DORA trí dhearbhú custaiméara.

Soláthraíonn NIST CSF 2.0 ciseal úsáideach aistriúcháin. Éilíonn a fheidhm GOVERN ar eagraíochtaí ionchais páirtithe leasmhara, spleáchais agus oibleagáidí dlíthiúla, rialála, conarthacha, príobháideachais agus saoirsí sibhialta a thuiscint. Cabhraíonn a chur chuige Próifílí le torthaí reatha a chur i gcomparáid le spriocthorthaí, bearnaí a shainaithint agus pleananna gníomhaíochta a thosaíochtú.

Brú ceanglaisCad ba cheart do thástáil rialuithe príobháideachais a tháirgeadhAncair Clarysec
Cuntasacht GDPRFianaise go gcomhlíontar prionsabail, bonn dlíthiúil, cearta, slándáil, coinneáil agus oibleagáidí próiseálaithe ar bhealach inléiritheBeartais PIMS, REG03, REG12, CAPA
Ullmhacht ISO 27701:2025Rialuithe PIMS tástáilte, infheidhmeacht rólbhunaithe, cáilíocht fianaise, iniúchadh inmheánach, athbhreithniú bainistíochtaBeartas faireacháin, iniúchta agus feabhsaithe PIMS
Dearbhú ISO/IEC 27001:2022Inrianaitheacht cóireála riosca, bonn cirt SoA, rialú oibríochtúil, iniúchadh, athbhreithniú, feabhsúZenith Blueprint, treoir tras-chomhlíonta Zenith Controls
Rialachas NIS2Measúnú éifeachtachta, ullmhacht teagmhas, rialuithe soláthraithe, maoirseacht bainistíochtaMapáil rialuithe 5.35 agus 5.36 d’Iarscríbhinn A ISO/IEC 27001:2022
Dearbhú DORATástáil rialuithe TFC, tástáil athléimneachta, fianaise tríú páirtí, taifid shaolré teagmhaisMúnla fianaise iniúchta tras-mhapáilte
NIST CSF 2.0Próifíl reatha, spriocphróifíl, anailís bearnaí, feabhsú tosaíochtaitheCéimeanna 24, 26, 29 de Zenith Blueprint

Treisíonn Zenith Blueprint inrianaitheacht i gCéim 24:

Ba cheart do SoA a bheith comhsheasmhach le do Chlár rioscaí agus le do Phlean Cóireála Riosca. Déan athsheiceáil go bhfuil gach rialú a roghnaigh tú mar chóireáil riosca marcáilte “Infheidhme” sa SoA. Os a choinne sin, má tá rialú marcáilte “Infheidhme” sa SoA, ba cheart bonn cirt a bheith agat leis – riosca mapáilte, ceanglas dlíthiúil/rialála, nó riachtanas gnó de ghnáth.

Ón gcéim Iniúchadh, Athbhreithniú agus Feabhsú, Céim 24: Iniúchadh, Athbhreithniú agus Feabhsú.

Maidir le tástáil rialuithe príobháideachais, tá an prionsabal céanna infheidhme maidir le hinfheidhmeacht PIMS. Ba cheart gach rialú príobháideachais infheidhme a rianú chuig riosca próiseála, oibleagáid dhlíthiúil, ceanglas custaiméara nó riachtanas gnó. Ba cheart gach tástáil a rianú ar ais chuig an rialú sin.

Conas a mheasfaidh iniúchóirí éagsúla an rialú céanna

Réamh-mheasann clár láidir tástála príobháideachais lionsa an iniúchóra. Léireofar an rialú scriosta, rialú rochtana nó rialú ionduchtaithe próiseálaithe céanna ar bhealach difriúil ag brath ar chomhthéacs an athbhreithnithe.

Lionsa an iniúchóraCeist iniúchta is dóchaAn fhianaise a mbeidh siad ag súil léi
Iniúchóir ISO 27701:2025An bhfuil rialuithe PIMS rólbhunaithe curtha chun feidhme, measúnaithe agus feabhsaithe?Infheidhmeacht REG03, samplaí REG12, clár próiseála, mapáil beartais, torthaí iniúchta
Iniúchóir ISO/IEC 27001:2022An bhfuil an rialú a bhaineann leis an bpríobháideachas comhtháite i gcóireáil riosca, SoA, rialú oibríochtúil, iniúchadh inmheánach agus athbhreithniú bainistíochta?Clár rioscaí, bonn cirt SoA, plean cóireála, fianaise rialaithe, miontuairiscí athbhreithnithe bainistíochta
Athbhreithneoir GDPRAn féidir leis an rialaitheoir comhlíonadh phrionsabail agus oibleagáidí GDPR a léiriú?Bonn dlíthiúil, fógraí, logaí DSR, DPIAanna, conarthaí, taifid sáraithe, fianaise choinneála
Measúnóir NIST CSFAn bhfuil oibleagáidí ar eolas ag an eagraíocht, an sainíonn sí spriocthorthaí, an dtomhaiseann sí bearnaí, agus an bhfeabhsaíonn sí?Próifíl reatha agus spriocphróifíl, plean bearnaí, tosaíochtú riosca, taifid rialachais
Custaiméir nó údarás rialála dírithe ar DORAAn bhfuil rialuithe TFC tástáilte, teagmhais aicmithe, soláthraithe faoi fhaireachán agus seirbhísí criticiúla athléimneach?Clár tástála, taifid teagmhas, clár soláthraithe, conarthaí, pleananna scoir
Iniúchóir de stíl ISACA nó COBIT 2019An bhfuil cuspóirí, úinéireacht, méadrachtaí, dúnadh saincheisteanna agus maoirseacht rialachais éifeachtach?RACI, KPIanna, logaí saincheisteanna, fíorú CAPA, tuairisciú bainistíochta

Sin é an fáth a bhfuil REG12 chomh luachmhar. Tiontaíonn sé comhlíonadh príobháideachais ina fhianaise rialachais in-iniúchta.

Fionnachtana coitianta i dtástáil rialuithe PIMS

Feiceann Clarysec na fionnachtana iniúchta príobháideachais céanna arís agus arís eile in eagraíochtaí atá ag ullmhú do dheimhniú ISO 27701:2025, do dhearbhú custaiméara GDPR nó do dhícheall cuí fiontair.

Ní mheaitseálann an clár próiseála fíorstaid na gcóras

Liostaíonn an clár próiseála ardáin CRM agus tacaíochta, ach tá easpórtálacha anailísíochta, logaí inbhreathnaitheachta, uirlisí intleachta saorga agus táblaí stórais sonraí curtha leis ag innealtóirí.

Freagairt tástála: tóg samplaí de chórais ón bhfardal sócmhainní agus ón bhfardal scamall, ansin réitigh iad leis an gclár próiseála. Úsáid an gaol idir rialuithe 5.9 agus 5.34 d’Iarscríbhinn A ISO/IEC 27001:2022 mar bhonn cirt iniúchta.

Tá rochtain PII faofa, ach ní dhéantar athbhreithniú tréimhsiúil uirthi

Tá formheasanna tosaigh ann, ach ní chuimsíonn athbhreithnithe rochtana pribhléideacha uirlisí pearsanaithe tacaíochta, bunachair shonraí táirgthe, painéil BI ná cuntais éigeandála.

Freagairt tástála: tóg samplaí d’úsáideoirí gníomhacha a bhfuil rochtain acu ar PII agus cuir ról, riachtanas gnó, formheas, stádas MFA, an logáil isteach dheireanach agus fianaise athbhreithnithe i gcomparáid.

Tá conarthaí próiseálaithe ann, ach tá an faireachán lag

Tá an DPA sínithe, ach tá an ceistneoir díoltóra sean. Níor athbhreithnigh aon duine athruithe fophróiseálaithe, láithreacha sonraí, staid slándála ná oibleagáidí fógra teagmhais.

Freagairt tástála: tóg samplaí de phróiseálaithe criticiúla agus iniúch dícheall cuí, clásail chonarthacha, athruithe fophróiseálaithe, coimircí aistrithe agus taifid faireacháin. Tacaíonn sé seo le GDPR, ionchais slabhra soláthair NIS2 agus ionchais riosca tríú páirtí DORA.

Tá freagairt do theagmhais ann, ach tá aicmiú príobháideachais neamhchomhsheasmhach

Logáiltear teagmhais slándála, ach ní mheasúnaítear tionchar príobháideachais i gcónaí. Ní dhéantar critéir sáraithe GDPR a dhoiciméadú go comhsheasmhach. Láimhseáiltear dualgais fógra custaiméara go neamhfhoirmiúil.

Freagairt tástála: tóg samplaí de theagmhais ina bhfuil nochtadh sonraí agus iniúch aicmiú, uaschéimniú príobháideachais, athbhreithniú dlíthiúil, cinntí maidir le fógra, caomhnú fianaise, bunchúis agus ceachtanna foghlamtha.

Dúntar CAPA gan fíorú éifeachtachta

Nuashonraítear nós imeachta agus dúntar an fhionnachtain. Ní thástálann aon duine ar fheabhsaigh an chéad sampla eile.

Freagairt tástála: fíoraigh éifeachtacht gníomhartha ceartaitheacha in REG12 laistigh de 30 lá ó thuairisciú an dúnta, mar a éilíonn an Beartas faireacháin, iniúchta agus feabhsaithe PIMS.

Sprint 90 lá do thástáil rialuithe príobháideachais

D’eagraíochtaí atá ag bogadh i dtreo ullmhacht ISO 27701:2025, dícheall cuí custaiméara nó athbhreithniú cuntasachta GDPR, molann Clarysec sprint dírithe 90 lá.

AmlíneFócasAschuir
Laethanta 1 go 15Raon feidhme agus samhail fianaiseRóil PIMS, clár próiseála, infheidhmeacht REG03, rioscaí tosaíochta, oibleagáidí dlíthiúla, spleáchais soláthraithe, rialacha ainmniúcháin fianaise
Laethanta 16 go 35Tástáil dearaidhAthbhreithniú beartais, RACI, fógraí príobháideachais, bonn dlíthiúil, truiceoirí DPIA, sreafaí oibre DSR, aicmiú teagmhas, sceidil choinneála, rialuithe soláthraithe
Laethanta 36 go 65Tástáil oibriúcháinSamplaí le haghaidh rochtana, scriosta, teagmhas, próiseálaithe, aistrithe, coinneála, oiliúna, faireacháin theicniúil, fianaise REG12
Laethanta 66 go 80CAPA agus cóireáil rioscaBunchúis, gníomh ceartaitheach, úinéir, dáta dlite, riosca iarmharach, modh fíorúcháin
Laethanta 81 go 90Ullmhacht athbhreithnithe bainistíochtaPacáiste feidhmíochta PIMS, cuspóirí, rioscaí oscailte, neamhchomhréireachtaí, gníomhartha ceartaitheacha, saincheisteanna soláthraithe, cinntí feabhsúcháin

Faoi dheireadh an sprint, ba cheart don eagraíocht a bheith in ann na ceisteanna a chuireann iniúchóirí i ndáiríre a fhreagairt:

  • Cén PII a phróiseálann sibh?
  • Cén ról atá agaibh?
  • Cé na rialuithe atá infheidhme?
  • Cén fáth a bhfuil siad infheidhme?
  • Cén fhianaise a chruthaíonn go bhfuil siad curtha chun feidhme?
  • Cén sampla a chruthaíonn go bhfeidhmíonn siad?
  • Cé na bearnaí a fuarthas?
  • Cé na gníomhartha ceartaitheacha a rinneadh?
  • Cé a d’fhíoraigh éifeachtacht?
  • Cad a d’athbhreithnigh agus a chinn an Ardbhainistíocht?

Ó phríobháideachas ar pháipéar go cuntasacht inchruthaithe

Tá deimhniú ISO 27701 luachmhar, ach ní hé an ceann scríbe deiridh é. Tá custaiméirí, údaráis rialála, Boird agus iniúchóirí ag súil níos mó agus níos mó le cruthúnas go bhfuil rialuithe príobháideachais deartha, curtha chun feidhme, faoi fhaireachán, ceartaithe agus rialaithe.

Teipeann ar chomhlíonadh príobháideachais nuair a chaitear leis mar thionscadal doiciméadachta. Seasann sé faoi scrúdú nuair a bhíonn sé ina chóras fianaise tástáilte.

Cabhraíonn Clarysec le heagraíochtaí bogadh ó chomhlíonadh a dhearbhú go cuntasacht inléirithe trí bheartais PIMS, infheidhmeacht REG03, samplaí fianaise REG12, fíorú CAPA, athbhreithniú bainistíochta agus mapáil traschreataí a nascadh trí Zenith Blueprint: treochlár 30 céim d’iniúchóir agus Zenith Controls: an treoir tras-chomhlíonta.

Má tá d’eagraíocht ag ullmhú do dheimhniú ISO 27701:2025, athbhreithniú cuntasachta GDPR, dearbhú príobháideachais custaiméara, fianaise rialachais NIS2 nó dícheall cuí soláthraithe faoi thionchar DORA, tosaigh le ceardlann dhírithe ar thástáil rialuithe príobháideachais.

Is féidir le Clarysec cabhrú leat infheidhmeacht REG03 a mhapáil, samplaí iniúchta REG12 a thógáil, rialuithe PIMS tosaíochta a thástáil, fionnachtana a ailíniú le CAPA, agus aschuir athbhreithnithe bainistíochta a ullmhú a sheasann faoi scrúdú.

Níor cheart gurbh éard a bheadh i do chéad iniúchadh príobháideachais eile ná rás chun seatanna scáileáin a bhailiú. Ba cheart gur léiriú muiníneach a bheadh ann go bhfuil príobháideachas ag feidhmiú, go bhfuil fianaise air, go ndéantar athbhreithniú air, agus go bhfeabhsaítear go leanúnach é.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article