Zaštita osobnih podataka (PII) spremna za reviziju za GDPR, NIS2 i DORA
Upozorenje je stiglo u Sarahin pretinac u utorak u 22 sata.
Kao direktorica informacijske sigurnosti (CISO) u rastućoj FinTech SaaS tvrtki, bila je naviknuta na kasnonoćna upozorenja. Ovo je bilo drukčije. Mlađi razvojni inženjer izložio je bazu podataka predprodukcijskog okruženja na javno dostupnoj krajnjoj točki dok je testirao novu analitičku funkcionalnost. Baza podataka trebala je sadržavati testne podatke, no nedavna sinkronizacija iz produkcije u predprodukcijsko okruženje napunila ju je stvarnim PII podacima klijenata.
Incident je brzo ograničen. Zatim je uslijedilo drugo otkriće. Migracijska proračunska tablica pod nazivom customer_users_final_v7.xlsx bila je kopirana iz istog skupa podataka. Sadržavala je imena, adrese e-pošte, ovlaštenja uloga, dnevnike uporabe, polja država, bilješke podrške i komentare u slobodnom tekstu koji nikada nisu smjeli ući u tijek testiranja. Kopirana je na dijeljeni disk, preuzeo ju je razvojni inženjer, priložena je zahtjevu i zatim zaboravljena.
Do ponoći Sarah više nije upravljala tehničkom pogrešnom konfiguracijom. Upravljala je revizijskim problemom.
Tvrtka je već bila certificirana prema ISO/IEC 27001:2022. Uprava je tražila potvrdu usklađenosti s GDPR-om prije izlaska na tržište EU-a. Klijenti iz sektora financijskih usluga slali su DORA upitnike za dubinsku analizu dobavljača. Odnosi s pružateljima usluga u oblaku i pružateljima upravljanih usluga otvarali su pitanja opskrbnog lanca prema NIS2. Pravni odjel mogao je objasniti obveze. Inženjering je mogao pokazati šifriranje. Produktni tim imao je namjere povezane s ugrađenom zaštitom privatnosti. Izjava o primjenjivosti spominjala je privatnost i zaštitu PII.
Ali nitko nije mogao u jednom sljedivom lancu pokazati koji PII postoji, zašto se obrađuje, tko mu može pristupiti, gdje je maskiran, koji ga dobavljači obrađuju, koliko se dugo zadržava i kako bi se incident klasificirao prema GDPR-u, NIS2 ili DORA-i.
Upravo je ta praznina razlog zašto su ISO/IEC 27701:2025 i ISO/IEC 29151:2022 važni. To nisu samo oznake privatnosti. Oni pomažu organizacijama pretvoriti obećanja o privatnosti u kontrole zaštite PII spremne za reviziju. ISO/IEC 27701:2025 proširuje sustav upravljanja informacijskom sigurnošću prema ISO/IEC 27001:2022 na upravljanje informacijama o privatnosti. ISO/IEC 29151:2022 dodaje praktične smjernice za zaštitu osobnih podataka koji omogućuju identifikaciju osobe kroz njihov životni ciklus.
Clarysecov pristup jest izgradnja jedinstvenog operativnog modela privatnosti i sigurnosti vođenog dokazima, a ne odvojenih silosa usklađenosti. Taj model objedinjuje Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Zenith Controls: The Cross-Compliance Guide Zenith Controls i Clarysec politike u jedinstveni sljedivi sustav za GDPR, ISO/IEC 27001:2022, ISO/IEC 27701:2025, ISO/IEC 29151:2022, NIS2, DORA, NIST-ovo osiguranje kontrola i upravljačka očekivanja prema COBIT 2019.
Zašto je zaštita PII sada revizijsko pitanje na razini uprave
Zaštita PII nekada se smatrala odgovornošću tima za privatnost. Danas je to pitanje povjerenja, otpornosti i regulatornih zahtjeva na razini uprave.
GDPR ostaje polazna osnova za zaštitu osobnih podataka u Europi i izvan nje. Definira osobne podatke, obradu, voditelja obrade, izvršitelja obrade, primatelja, treću stranu, privolu i povredu osobnih podataka na načine koji utječu na SaaS ugovore, operacije podrške, analitiku, produktnu telemetriju, upravljanje dobavljačima i odgovor na incidente. Njegova načela zahtijevaju zakonitost, poštenost, transparentnost, ograničenje svrhe, smanjenje količine podataka, točnost, ograničenje pohrane, cjelovitost, povjerljivost i odgovornost. U revizijskom smislu, GDPR ne pita samo jesu li podaci šifrirani. Pita može li organizacija dokazati zašto podaci postoje i kako se postiže usklađenost.
NIS2 podiže razinu upravljanja kibernetičkom sigurnošću za bitne i važne subjekte. Article 21 zahtijeva mjere upravljanja rizicima kibernetičke sigurnosti, uključujući analizu rizika, politike sigurnosti informacijskih sustava, postupanje s incidentima, neprekidnost poslovanja, sigurnost opskrbnog lanca, siguran razvoj, postupanje s ranjivostima, procjenu djelotvornosti kontrola, kibernetičku higijenu, kriptografiju, sigurnost ljudskih resursa, kontrolu pristupa, upravljanje imovinom, autentifikaciju i sigurne komunikacije. Article 23 dodaje fazno prijavljivanje incidenata, uključujući rano upozorenje u roku od 24 sata, obavijest u roku od 72 sata i završno izvješće u roku od mjesec dana nakon obavijesti.
DORA mijenja razgovor za financijske subjekte i njihove IKT pružatelje. Primjenjuje se od 17. siječnja 2025. i uspostavlja usklađeni režim digitalne operativne otpornosti koji obuhvaća upravljanje IKT rizicima, prijavljivanje značajnih incidenata povezanih s IKT-om, testiranje otpornosti, rizik trećih strana u području IKT-a, ugovorne zahtjeve i nadzor nad kritičnim IKT pružateljima usluga trećih strana. Za mnoge financijske subjekte DORA djeluje kao sektorski poseban pravni akt Unije ondje gdje se preklapaju obveze ekvivalentne NIS2. Za SaaS i IKT dobavljače koji pružaju usluge financijskim institucijama, pritisak DORA-e često dolazi kroz ugovorne odredbe, revizije klijenata, zahtjeve za planiranje izlaza, obveze podrške pri incidentima i testiranje otpornosti.
ISO/IEC 27001:2022 pruža okosnicu sustava upravljanja. Zahtijeva kontekst, zainteresirane strane, opseg, odgovornost vodstva, politike, uloge, procjenu rizika, obradu rizika, Izjavu o primjenjivosti, internu reviziju, preispitivanje od strane uprave i kontinuirano poboljšanje. Dodatak A uključuje kontrole izravno relevantne za zaštitu PII, uključujući 5.34 Privatnost i zaštita PII, 5.18 Prava pristupa, 8.11 Maskiranje podataka, 5.23 Informacijska sigurnost za korištenje usluga u oblaku, 8.15 Revizijsko bilježenje, 8.33 Testne informacije, 8.24 Korištenje kriptografije i 8.10 Brisanje informacija.
Izazov nije u tome da organizacije nemaju kontrole. Izazov je u tome što su kontrole fragmentirane. Zapisi o privatnosti nalaze se kod pravnog odjela. Pregledi pristupa nalaze se u IT-u. Skripte za maskiranje nalaze se u inženjeringu. Ugovori s dobavljačima nalaze se u nabavi. Dokazi se nalaze u zahtjevima, snimkama zaslona, proračunskim tablicama i e-pošti.
ISO/IEC 27701:2025 i ISO/IEC 29151:2022 pomažu objediniti te dokaze oko upravljanja informacijama o privatnosti i praksi zaštite PII. Clarysec tu strukturu pretvara u operativni model.
Od ISMS-a do PIMS-a: integrirani lanac kontrola privatnosti
ISMS prema ISO/IEC 27001:2022 odgovara na temeljno pitanje: upravlja li se informacijskom sigurnošću, je li ona utemeljena na riziku, implementirana, praćena i poboljšavana?
Sustav upravljanja informacijama o privatnosti, odnosno PIMS, proširuje to pitanje na osobne podatke: upravlja li se odgovornostima za privatnost, aktivnostima obrade PII, rizicima privatnosti, obvezama voditelja obrade i izvršitelja obrade, pravima ispitanika i dokazima o kontrolama privatnosti unutar istog sustava?
ISO/IEC 27701:2025 proširuje ISMS na upravljanje privatnošću. ISO/IEC 29151:2022 nadopunjuje ga praktičnim smjernicama za zaštitu PII, uključujući ograničavanje prikupljanja, upravljanje otkrivanjem podataka, primjenu maskiranja ili pseudonimizacije, zaštitu prijenosa, ograničavanje pristupa i usklađivanje kontrola s rizikom privatnosti.
| Sloj | Ključno pitanje | Tipični revizijski dokazi |
|---|---|---|
| ISO/IEC 27001:2022 | Postoji li upravljani ISMS temeljen na riziku s odabranim kontrolama koje se provode? | Opseg, zainteresirane strane, procjena rizika, plan obrade rizika, SoA, politike, interna revizija, preispitivanje od strane uprave |
| ISO/IEC 27701:2025 | Upravlja li se odgovornostima za privatnost, rizicima privatnosti i aktivnostima obrade PII unutar sustava upravljanja? | Uloge za privatnost, registar obrade, postupci voditelja obrade i izvršitelja obrade, procjene rizika privatnosti, DPIA, postupak za zahtjeve ispitanika |
| ISO/IEC 29151:2022 | Jesu li praktične mjere zaštite PII implementirane kroz životni ciklus podataka? | Klasifikacija PII, ograničenja pristupa, maskiranje, pseudonimizacija, kontrole zadržavanja, zaštitne mjere prijenosa, dokazi o incidentima |
| GDPR | Može li organizacija dokazati zakonitu, poštenu, transparentnu, minimiziranu, sigurnu i odgovornu obradu? | Zapisi o pravnoj osnovi, obavijesti o privatnosti, DPIA, postupak za povrede, ugovori s izvršiteljima obrade, postupanje s pravima |
| NIS2 i DORA | Može li organizacija upravljati rizicima kibernetičke sigurnosti i otpornosti, uključujući incidente i dobavljače? | Nadzor uprave, okvir IKT rizika, klasifikacija incidenata, operativne upute za prijavljivanje, registri dobavljača, prava na reviziju, testovi neprekidnosti |
Ovaj slojeviti model sprječava najčešću pogrešku u usklađenosti privatnosti: tretiranje PII kao samo još jedne vrste osjetljivih podataka. PII nosi pravne, etičke, operativne, ugovorne i reputacijske obveze. Potreban mu je lanac kontrola koji počinje sviješću, a završava dokazima.
Počnite sa sviješću o podacima, a ne dijagramima šifriranja
Najčešći neuspjeh privatnosti koji Clarysec vidi jest nedostatak konteksta. Tvrtka ne može zaštititi PII ako ne zna koji PII ima, gdje se nalazi, kojoj svrsi služi, koliko se dugo čuva ili tko mu može pristupiti.
Zenith Blueprint započinje taj rad rano u fazi upravljanja rizicima. U koraku 9, Identifikacija imovine, prijetnji i ranjivosti, upućuje organizacije da popišu informacijsku imovinu i izričito označe osobne podatke:
“Za svaku imovinu zabilježite ključne pojedinosti: naziv/opis, vlasnika, lokaciju i klasifikaciju (osjetljivost). Na primjer, imovina može biti ‘Baza podataka klijenata – vlasnik IT odjel – hostirana na AWS – sadrži osobne i financijske podatke (visoka osjetljivost).’”
Također dodaje: “Osigurajte da je imovina s osobnim podacima označena (zbog relevantnosti za GDPR) i da je kritična uslužna imovina evidentirana (zbog moguće primjenjivosti NIS2 ako poslujete u reguliranom sektoru).”
To je temelj za prihvaćanje ISO/IEC 27701:2025 i ISO/IEC 29151:2022. Praktičan slijed je jednostavan:
- Identificirati sustave, skupove podataka, repozitorije, zapise dnevnika, izvješća, sigurnosne kopije, alate za podršku, razvojna okruženja i dobavljače koji obrađuju PII.
- Dodijeliti vlasnika svakoj PII imovini.
- Klasificirati PII prema osjetljivosti, poslovnoj svrsi, pravnoj osnovi, ulozi u obradi i zahtjevu zadržavanja.
- Povezati svaku PII imovinu s prijetnjama, ranjivostima, scenarijima rizika i regulatornim obvezama.
- Odabrati kontrole, dodijeliti dokaze i pratiti provedbu tijekom vremena.
Clarysec politike čine to provedivim. SME Politika zaštite podataka i privatnosti-sme Politika zaštite podataka i privatnosti - SME navodi:
“Koordinator za privatnost mora održavati registar svih aktivnosti obrade osobnih podataka, uključujući kategorije podataka, svrhu, pravnu osnovu i rokove zadržavanja.”
Iz odjeljka ‘Zahtjevi upravljanja’, točka politike 5.2.1.
Za organizacije na razini poduzeća, Politika zaštite podataka i privatnosti Politika zaštite podataka i privatnosti uspostavlja strogo pravilo minimizacije:
“Smiju se prikupljati i obrađivati samo podaci potrebni za određenu, legitimnu poslovnu svrhu.”
Iz odjeljka ‘Zahtjevi provedbe politike’, točka politike 6.2.1.
Te točke pretvaraju odgovornost prema GDPR-u u svakodnevne operacije. One također podržavaju upravljanje informacijama o privatnosti i zaštitu PII jer prisiljavaju organizaciju da definira koji podaci postoje, zašto postoje i jesu li potrebni.
Tri kontrole koje zaštitu PII čine stvarnom
Tri kontrole iz Dodatka A standarda ISO/IEC 27001:2022 često određuju je li zaštita PII dokaziva u reviziji: 5.34 Privatnost i zaštita PII, 8.11 Maskiranje podataka i 5.18 Prava pristupa.
5.34 Privatnost i zaštita PII
Kontrola 5.34 središnje je upravljačko mjesto. U Zenith Controls, 5.34 tretira se kao preventivna kontrola koja podržava povjerljivost, cjelovitost i dostupnost, s konceptima kibernetičke sigurnosti Identify i Protect te operativnim sposobnostima u zaštiti informacija i usklađenosti s pravnim zahtjevima.
Zenith Controls jasno prikazuje ovisnost:
“Popis informacijske imovine (5.9) treba uključivati skupove podataka PII (baze podataka klijenata, HR datoteke). Time se podupire 5.34 jer se osigurava da organizacija zna koji PII ima i gdje se nalazi, što je prvi korak u njegovoj zaštiti.”
Kontrola 5.34 ovisi o 5.9 Popis informacija i druge povezane imovine jer se PII ne može zaštititi ako ga se ne može pronaći. Također se povezuje s 5.23 Informacijska sigurnost za korištenje usluga u oblaku jer se većina PII danas nalazi na platformama u oblaku, SaaS alatima, analitičkim okruženjima i upravljanim uslugama.
Za obradu visokog rizika, korporativna Politika zaštite podataka i privatnosti zahtijeva:
“Modeliranje prijetnji i procjene učinka na zaštitu podataka (DPIA) obvezni su za sustave obrade visokog rizika.”
Iz odjeljka ‘Zahtjevi provedbe politike’, točka politike 6.3.4.
Ta je točka ključna. Ona privatnost pretvara u aktivnost dizajna i upravljanja rizicima, a ne u pravni pregled u zadnji čas.
8.11 Maskiranje podataka
Kontrola 8.11 izravan je odgovor na Sarahino izlaganje baze podataka predprodukcijskog okruženja. Zenith Controls opisuje 8.11 kao preventivnu kontrolu povjerljivosti u okviru zaštite informacija. Povezuje 8.11 s 5.12 Klasifikacija informacija jer odluke o maskiranju ovise o osjetljivosti, s 5.34 jer maskiranje podupire zaštitu privatnosti i s 8.33 Testne informacije jer testna okruženja ne smiju izlagati stvarni PII.
Politika maskiranja podataka i pseudonimizacije Politika maskiranja podataka i pseudonimizacije jasno propisuje pravilo:
“Stvarni osobni podaci ne smiju se koristiti u razvojnim, testnim ili predprodukcijskim okruženjima. Umjesto toga moraju se koristiti maskirani ili pseudonimizirani podaci i moraju se generirati iz prethodno odobrenih predložaka transformacije.”
Iz odjeljka ‘Zahtjevi provedbe politike’, točka politike 6.3.
Za mala i srednja poduzeća, Politika maskiranja podataka i pseudonimizacije-sme Politika maskiranja podataka i pseudonimizacije - SME dodaje ključni sigurnosni zahtjev i zahtjev za dokazima:
“Pristup ključevima mora biti šifriran, kontroliran pristupom i evidentiran u dnevniku.”
Iz odjeljka ‘Zahtjevi provedbe politike’, točka politike 6.2.1.3.
To je važno jer pseudonimizacija smanjuje rizik samo kada su logika transformacije, ključevi i putovi ponovne identifikacije pod kontrolom.
5.18 Prava pristupa
Kontrola 5.18 operativno je središte načela najmanjih ovlasti. Zenith Controls tretira je kao preventivnu kontrolu povezanu s povjerljivošću, cjelovitošću i dostupnošću te smještenu u upravljanje identitetom i pristupom. Povezuje 5.18 s 5.15 kontrola pristupa, 5.16 upravljanje identitetom i 8.2 prava privilegiranog pristupa.
SME Politika klasifikacije podataka i označavanja-sme Politika klasifikacije podataka i označavanja - SME navodi:
“Pristup mora biti ograničen na posebno ovlaštene korisnike prema načelu nužnog poznavanja.”
Iz odjeljka ‘Zahtjevi upravljanja’, točka politike 5.2.1.
Korporativna Politika klasifikacije podataka i označavanja Politika klasifikacije podataka i označavanja dodaje klasifikacijsku osnovu:
“Sva informacijska imovina mora imati jasno dodijeljenu klasifikaciju u trenutku nastanka ili uvođenja. Ako ne postoji izričita klasifikacija, imovina se mora zadano klasificirati kao ‘Povjerljivo’ dok se formalno ne pregleda.”
Iz odjeljka ‘Zahtjevi upravljanja’, točka politike 5.4.
Zajedno, te kontrole čine praktični lanac zaštite PII: znati koji PII postoji, klasificirati ga, ograničiti pristup, maskirati ga ondje gdje potpuni identitet nije potreban, zaštititi ključeve, evidentirati pristup i zadržati dokaze.
Izgradite sljedivost kroz Izjavu o primjenjivosti
Sustav upravljanja privatnošću postaje spreman za reviziju kada može dokazati sljedivost. Zenith Blueprint, faza upravljanja rizicima, korak 13, Planiranje obrade rizika i Izjava o primjenjivosti, opisuje Izjavu o primjenjivosti kao povezni dokument:
“SoA je u praksi povezni dokument: povezuje vašu procjenu/obradu rizika sa stvarnim kontrolama koje imate. Njegovim dovršavanjem ujedno provjeravate jeste li propustili koju kontrolu.”
Taj je koncept središnji za spremnost prema ISO/IEC 27701:2025, ISO/IEC 29151:2022, GDPR-u, NIS2 i DORA-i. Svaka kontrola za PII trebala bi biti sljediva od zahtjeva do rizika, od rizika do kontrole, od kontrole do vlasnika, od vlasnika do dokaza i od dokaza do pregleda.
| Element sljedivosti | Primjer za PII u korisničkoj podršci | Očekivani dokazi |
|---|---|---|
| PII imovina | Platforma za zahtjeve podrške s imenima klijenata, adresama e-pošte, zapisima dnevnika i privicima | Stavka u registru imovine, vlasnik, lokacija u oblaku, klasifikacija |
| Svrha obrade | Korisnička podrška i dijagnostika usluge | Registar obrade, pravna osnova, rok zadržavanja |
| Scenarij rizika | Agent podrške ili razvojni inženjer pristupa prekomjernoj količini podataka o klijentima | Stavka u registru rizika, vjerojatnost, utjecaj, vlasnik |
| Odabir kontrola | 5.34 zaštita PII, 5.18 prava pristupa, 8.11 maskiranje, 8.15 zapisivanje događaja, 5.23 upravljanje uslugama u oblaku | SoA, politika pristupa, standard maskiranja, konfiguracija zapisivanja događaja |
| Operativni dokazi | Pristup temeljen na ulogama, maskirani izvozi, tromjesečni pregled pristupa, upozoravanje na masovna preuzimanja | Zapisi pregleda pristupa, DLP upozorenja, zapisi dnevnika, dokazi iz zahtjeva |
| Regulatorno mapiranje | Odgovornost i sigurnost prema GDPR-u, upravljanje rizicima prema NIS2, IKT rizik i zahtjevi dobavljača prema DORA-i | Matrica usklađenosti, operativne upute za incidente, registar ugovora s dobavljačima |
| Dokazi pregleda | Zatvoren nalaz interne revizije, prihvaćena radnja iz preispitivanja uprave | Revizijsko izvješće, korektivna radnja, zapisnik preispitivanja od strane uprave |
ISO/IEC 27005:2022 podržava ovaj pristup temeljen na riziku naglašavanjem zahtjeva zainteresiranih strana, zajedničkih kriterija rizika, odgovornih vlasnika rizika, ponovljive procjene rizika, obrade rizika, odabira kontrola, usklađivanja s Izjavom o primjenjivosti, odobrenja preostalog rizika, praćenja i kontinuiranog poboljšanja. Zaštita PII treba biti živi ciklus rizika, a ne jednokratna vježba izrade GDPR dokumentacije.
Ispravite rizičnu proračunsku tablicu i bazu podataka predprodukcijskog okruženja
Sarahin incident može se pretvoriti u ponovljiv paket kontrola ako se otklanjanje nedostataka provede sustavno.
| Korak | Radnja | Ishod Clarysec dokaza |
|---|---|---|
| 1 | Registrirati bazu podataka predprodukcijskog okruženja i proračunsku tablicu kao PII imovinu | Stavke popisa imovine s vlasnikom, lokacijom, klasifikacijom, kategorijama PII, svrhom i zadržavanjem |
| 2 | Ažurirati aktivnost obrade | Stavka registra koja prikazuje kategorije podataka, pravnu osnovu, svrhu i rok zadržavanja |
| 3 | Klasificirati datoteke i skupove podataka | Povjerljivo ili viša klasifikacija primijenjena zadano dok se formalno ne pregleda |
| 4 | Ukloniti stvarni PII iz neprodukcijskog okruženja | Maskirani ili pseudonimizirani skup podataka generiran iz odobrenih predložaka transformacije |
| 5 | Ograničiti i pregledati pristup | Ovlaštenja prema načelu nužnog poznavanja, ukinut prekomjerni pristup, zapis pregleda pristupa |
| 6 | Zaštititi logiku transformacije i ključeve | Šifriran, pristupom kontroliran i evidentiran pristup ključevima |
| 7 | Centralno prikupiti dokaze | Zapis o imovini, stavka rizika, pregled pristupa, dokaz brisanja, odobrenje maskiranja i zatvaranje zahtjeva |
| 8 | Ažurirati SoA i plan obrade rizika | Scenarij rizika povezan s 5.34, 5.18, 8.11, 8.15, 8.10, 5.23 i kontrolama dobavljača |
| 9 | Odlučiti je li potrebna DPIA | DPIA ili dokumentirano obrazloženje za odluke o obradi visokog rizika |
| 10 | Zabilježiti naučene lekcije | Ažurirana obuka, pravila sigurnog razvoja, kontrole izvoza, DLP praćenje i smjernice za testne podatke |
Politika praćenja revizije i usklađenosti-sme Politika praćenja revizije i usklađenosti - SME navodi:
“Svi dokazi moraju biti pohranjeni u centraliziranoj mapi za reviziju.”
Iz odjeljka ‘Zahtjevi provedbe politike’, točka politike 6.2.1.
Politika informacijske sigurnosti Politika informacijske sigurnosti jasno utvrđuje šire revizijsko očekivanje:
“Sve implementirane kontrole moraju biti provjerljive u reviziji, poduprte dokumentiranim postupcima i zadržanim dokazima o provedbi.”
Iz odjeljka ‘Zahtjevi provedbe politike’, točka politike 6.6.1.
Te dvije točke čine razliku između postojanja kontrole i mogućnosti da se ona dokaže.
Mapiranje višestruke usklađenosti za jedan skup kontrola za PII
Zaštitu PII lakše je obrazložiti kada je mapirana kroz okvire prije nego što revizor postavi pitanje.
| Tema zaštite PII | Relevantnost za GDPR | Relevantnost za ISO/IEC 27001:2022, ISO/IEC 27701:2025 i ISO/IEC 29151:2022 | Relevantnost za NIS2 | Relevantnost za DORA | Revizijska perspektiva NIST i COBIT 2019 |
|---|---|---|---|---|---|
| Popis PII i registar obrade | Odgovornost, pravna osnova, ograničenje svrhe, ograničenje pohrane | Kontekst ISMS-a, 5.9 popis imovine, upravljanje informacijama o privatnosti, zaštita PII | Upravljanje imovinom i analiza rizika | Svijest o IKT imovini i ovisnostima usluga | Dokazi funkcije Identify i upravljanje informacijskom imovinom |
| Prava pristupa i načelo najmanjih ovlasti | Cjelovitost i povjerljivost, pristup ograničen prema ulozi | 5.15 kontrola pristupa, 5.16 upravljanje identitetom, 5.18 prava pristupa, 8.2 prava privilegiranog pristupa | Kontrola pristupa, sigurnost ljudskih resursa, autentifikacija | Kontrole IKT rizika i nadzor privilegiranog pristupa | Provedba pristupa, vlasništvo, odgovornost i praćenje |
| Maskiranje i pseudonimizacija | Smanjenje količine podataka, ugrađena zaštita podataka, sigurnost obrade | 5.12 klasifikacija, 5.34 zaštita PII, 8.11 maskiranje podataka, 8.33 testne informacije | Kibernetička higijena i siguran razvoj | Sigurno testiranje, smanjenje gubitka podataka, operativna otpornost | Testiranje tehničkih zaštitnih mjera i pouzdana provedba kontrola |
| Klasifikacija i prijavljivanje incidenata | Procjena i prijava povrede osobnih podataka | Planiranje incidenata, procjena događaja, odgovor, prikupljanje dokaza | Rano upozorenje u roku od 24 sata, obavijest u roku od 72 sata, završno izvješće | Klasifikacija i prijavljivanje značajnih incidenata povezanih s IKT-om | Kriteriji eskalacije, zapisi odluka, temeljni uzrok, otklanjanje posljedica |
| Obrada kod dobavljača i u oblaku | Obveze izvršitelja obrade, prijenosi, ugovori | 5.21 IKT opskrbni lanac, 5.23 usluge u oblaku, 5.31 pravni i ugovorni zahtjevi | Sigurnost opskrbnog lanca | Rizik trećih strana u području IKT-a, prava na reviziju, izlaz i prijelaz | Upravljanje trećim stranama, potvrde i odgovornost uprave |
Ovdje je Zenith Controls posebno koristan. Za 5.34 mapira zaštitu PII na popis imovine, maskiranje podataka i upravljanje oblakom. Za 8.11 mapira maskiranje na klasifikaciju, zaštitu privatnosti i testne informacije. Za 5.18 mapira prava pristupa na kontrolu pristupa, upravljanje identitetom i privilegirani pristup. Ti odnosi omogućuju timu da objasni ne samo da kontrola postoji, nego i zašto postoji te koje povezane kontrole moraju djelovati zajedno s njom.
Kako različiti revizori testiraju istu kontrolu za PII
Jedna kontrola, primjerice 8.11 Maskiranje podataka, pregledavat će se različito ovisno o revizijskoj perspektivi.
| Vrsta revizora | Primarni fokus | Dokazi koje će očekivati |
|---|---|---|
| Revizor za ISO/IEC 27001:2022 i ISO/IEC 27701:2025 | Integracija ISMS-a i PIMS-a, obrada rizika, točnost SoA | Procjena rizika, stavka SoA, politika maskiranja, zapisi promjena, rezultati interne revizije |
| Pregledavatelj za GDPR ili tijelo za zaštitu podataka | Ugrađena zaštita podataka, minimizacija, odgovornost | Registar obrade, pravna osnova, DPIA, dokazi pseudonimizacije, logika zadržavanja |
| Procjenitelj usmjeren na NIS2 | Siguran razvoj, sprječavanje incidenata, upravljanje | Postupak sigurnog razvoja, obuka razvojnih inženjera, dokazi korektivnih radnji nakon incidenta, pregled djelotvornosti kontrola |
| DORA klijent ili revizor | Digitalna operativna otpornost IKT-a i rizik trećih strana | Dokazi testiranja kritičnih aplikacija, ugovorne odredbe s dobavljačima, obveze podrške pri incidentima, planiranje oporavka i izlaza |
| Pregledavatelj prema NIST pristupu ili COBIT 2019 | Dizajn kontrole, provedba, vlasništvo, praćenje | Vlasnik kontrole, metrike, repozitorij dokaza, izvješćivanje upravi, korektivne radnje |
Revizor ISO/IEC 27001:2022 počinje logikom sustava upravljanja. Je li PII unutar opsega? Jesu li zahtjevi zainteresiranih strana identificirani? Procjenjuju li se rizici privatnosti prema definiranim kriterijima? Odabiru li se kontrole kroz obradu rizika? Je li SoA točna? Obuhvaćaju li interne revizije i preispitivanja od strane uprave kontrole povezane s PII?
Pregledavatelj privatnosti počinje s odgovornošću. Koji se osobni podaci obrađuju? Koja je pravna osnova? Jesu li ispitanici informirani? Je li obrada ograničena na određenu svrhu? Jesu li aktivnosti visokog rizika procijenjene? Upravlja li se izvršiteljima obrade?
Procjenitelj usmjeren na NIS2 počinje s upravljanjem i upravljanjem rizicima kibernetičke sigurnosti. Odobrava li uprava mjere i nadzire li ih? Jesu li postupanje s incidentima, neprekidnost, sigurnost dobavljača, kontrola pristupa, upravljanje imovinom, siguran razvoj i procjena djelotvornosti kontrola integrirani?
DORA klijent ili revizor pita je li upravljanje IKT rizicima dokumentirano, pod nadzorom uprave, razmjerno i poduprto ugovorima. Ako se PII obrađuje u uslugama koje podržavaju financijske subjekte, očekujte pitanja o pomoći pri incidentima, lokacijama obrade podataka, oporavku, pravima na reviziju, razinama usluge, raskidu i izlazu.
Pregledavatelj prema COBIT 2019 ili ISACA pristupu testira usklađenost upravljanja. Tko je vlasnik rizika PII? Koje upravljačko tijelo prima izvješća? Jesu li odgovornosti dodijeljene? Prate li se dobavljači? Prate li se odstupanja? Koriste li se metrike za odlučivanje? Je li preostali rizik formalno prihvaćen?
Jedan model dokaza može zadovoljiti sve te perspektive, ali samo ako je sustav kontrola od početka projektiran za sljedivost.
Česti nalazi revizije u programima zaštite PII
Organizacije koje pristupaju spremnosti za ISO/IEC 27701:2025 ili ISO/IEC 29151:2022 bez integriranog alata često nailaze na iste nalaze.
| Nalaz | Zašto je važan | Clarysec korektivna mjera |
|---|---|---|
| Popis PII ne uključuje zapise dnevnika, sigurnosne kopije, analitičke izvoze ili privitke podrške | Skriveni PII ne može se pouzdano zaštititi ni izbrisati | Proširiti popis imovine iz koraka 9 i registar obrade na sve lokacije PII |
| Testna okruženja koriste produkcijske podatke | Stvarni PII izložen je ondje gdje nije potreban | Provesti politiku maskiranja i odobrene predloške transformacije |
| Pregledi pristupa su generički i nisu usmjereni na PII repozitorije | Prekomjerni pristup ostaje neotkriven | Mapirati 5.18 prava pristupa na vlasnike PII imovine i dokaze periodičnih pregleda |
| Pravna osnova je dokumentirana, ali nije povezana sa sustavima ili zadržavanjem | Odgovornost prema GDPR-u ne može se dokazati | Dodati polja pravne osnove i zadržavanja u registar obrade i popis imovine |
| Ugovorima s dobavljačima nedostaju lokacija podataka, pomoć pri incidentima, prava na reviziju ili odredbe o izlazu | Ostaju praznine u potvrđivanju sigurnosti dobavljača prema DORA-i, NIS2 i GDPR-u | Uskladiti dubinsku analizu dobavljača i ugovore s upravljanjem trećim stranama u području IKT-a i uslugama u oblaku |
| Operativne upute za incidente ne razlikuju sigurnosne incidente od povreda osobnih podataka | Rokovi za prijavljivanje mogu biti propušteni | Izgraditi stabla klasifikacije za okidače prijavljivanja prema GDPR-u, NIS2 i DORA-i |
| Dokazi su raspršeni po zahtjevima, diskovima, snimkama zaslona i e-pošti | Spremnost za reviziju ne uspijeva čak i kada se kontrole provode | Koristiti centralizirane mape za reviziju i standarde imenovanja dokaza |
Ti nalazi nisu administrativni problemi. To su problemi operativnog modela. ISO/IEC 27701:2025 i ISO/IEC 29151:2022 neće ih riješiti ako upravljanje privatnošću, sigurnosne kontrole i upravljanje dokazima nisu ugrađeni u uobičajene tijekove rada.
Što uprava treba pitati prije sljedeće revizije
Prije pokretanja spremnosti za ISO/IEC 27701:2025, implementacije ISO/IEC 29151:2022 ili procjene klijenta prema GDPR-u, NIS2 ili DORA-i, uprava treba postaviti deset izravnih pitanja:
- Imamo li potpun registar aktivnosti obrade PII, uključujući kategorije podataka, svrhu, pravnu osnovu i zadržavanje?
- Je li PII imovina označena u popisu imovine, uključujući zapise dnevnika, sigurnosne kopije, izvoze, analitičke alate i privitke podrške?
- Dodjeljuju li se klasifikacije podataka pri nastanku ili uvođenju, pri čemu se nepregledana imovina zadano klasificira kao Povjerljivo?
- Možemo li dokazati da je pristup PII ograničen na ovlaštene korisnike prema načelu nužnog poznavanja?
- Koriste li razvojna, testna i predprodukcijska okruženja maskirane ili pseudonimizirane podatke umjesto stvarnih osobnih podataka?
- Jesu li predlošci maskiranja odobreni, a ključevi zaštićeni, kontrolirani pristupom i evidentirani u dnevniku?
- Povezuje li SoA rizike PII s kontrolama i regulatornim obvezama?
- Pregledavaju li se ugovori s pružateljima usluga u oblaku i dobavljačima u pogledu lokacije podataka, sigurnosti, podrške pri incidentima, prava na reviziju, oporavka i izlaza?
- Može li naš proces za incidente klasificirati GDPR povrede osobnih podataka, NIS2 značajne incidente i DORA značajne incidente povezane s IKT-om?
- Jesu li dokazi pohranjeni centralno i zadržani na način koji revizor može pratiti?
Ako je odgovor na bilo koje od tih pitanja nejasan, organizacija još nije spremna za reviziju.
Učinite zaštitu PII dokazivom
Sarahin kasnonoćni incident mogao je postati fragmentirana žurba za usklađivanjem. Umjesto toga, može postati polazna točka za snažniji operativni model: ISMS prema ISO/IEC 27001:2022 proširen na privatnost kroz ISO/IEC 27701:2025, ojačan praksama ISO/IEC 29151:2022 i mapiran na GDPR, NIS2, DORA, NIST-ovo osiguranje kontrola i upravljačka očekivanja prema COBIT 2019.
To je stvarna vrijednost zaštite PII spremne za reviziju. Ne ovisi o pronalaženju prave proračunske tablice prije dolaska revizora. Ovisi o sustavu koji već zna gdje se PII nalazi, zašto postoji, kako je zaštićen, tko je odgovoran, koji su dobavljači uključeni i gdje se nalaze dokazi.
Počnite s Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint kako biste strukturirali implementaciju. Upotrijebite Zenith Controls: The Cross-Compliance Guide Zenith Controls za mapiranje zaštite PII kroz ISO/IEC 27001:2022, GDPR, NIS2, DORA, NIST-ovo osiguranje kontrola i upravljačka očekivanja prema COBIT 2019. Provedite rad uz Clarysec politike, uključujući Politiku zaštite podataka i privatnosti Politika zaštite podataka i privatnosti, Politiku maskiranja podataka i pseudonimizacije Politiku maskiranja podataka i pseudonimizacije, Politiku klasifikacije podataka i označavanja Politiku klasifikacije podataka i označavanja, Politiku praćenja revizije i usklađenosti-sme Politiku praćenja revizije i usklađenosti - SME i Politiku informacijske sigurnosti Politiku informacijske sigurnosti.
Ako se približava vaša sljedeća revizija klijenta, GDPR pregled, projekt spremnosti za NIS2 ili DORA procjena dobavljača, nemojte čekati povredu da otkrije praznine. Preuzmite Clarysec alate, zatražite demonstraciju ili zakažite procjenu zaštite PII i izgradite program privatnosti koji nije samo usklađen, nego i dokaziv.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
