⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

Testiranje kontrola privatnosti prema ISO 27701 za GDPR

Igor Petreski

Petkovna revizija privatnosti koja je otkrila stvarni problem

Petak je, 15:40, kada se Maria, CISO brzorastuće SaaS tvrtke, uključuje u videopoziv s vodećim službenikom za nabavu velikog potencijalnog poslovnog klijenta.

Njezin tim mjesecima je radio na sustavu upravljanja osobnim podacima. Politike su odobrene. Evidencija aktivnosti obrade postoji. Društvo ima plan spremnosti za ISO 27701. DPO ima radne tokove za zahtjeve ispitanika. Pravni tim ažurirao je ugovore o obradi podataka. Inženjering tvrdi da je pristup produkcijskom okruženju ograničen.

Službenik za nabavu započinje pristojno, ali izravno.

“Hvala na dokumentaciji, Maria. Certifikat i paket politika dobar su početak. Naš tim za dubinsku analizu dobavljača bit će kod vas sljedeći mjesec. Htjet će vidjeti vaš DSAR postupak u radu, provjeriti kontrole minimizacije podataka na našim testnim računima, pregledati evidenciju pristupa produkcijskom okruženju i provjeriti dokaze da se kontrole privatnosti testiraju, a ne samo dokumentiraju.”

U roku od nekoliko minuta Maria prima još dvije poruke.

DPO pita je li nova analitička funkcionalnost obuhvaćena evidencijom aktivnosti obrade, procjenom pravne osnove, rasporedom zadržavanja i prenesenim obvezama izvršitelja obrade.

Voditelj usklađenosti pita može li pregled spremnosti za ISO 27701:2025 dokazati da su PIMS kontrole operativno djelotvorne.

U tom se trenutku mnogi programi privatnosti počinju ljuljati. Organizacija ima dokumente o privatnosti, ali ne i dokaze o privatnosti. Ima radne tokove, ali ne i dokaze temeljene na uzorcima. Ima ugovore, ali slabe zapise o praćenju. Ima interno povjerenje, ali nema dokaziv revizijski trag.

Ta je praznina razlika između usklađenosti na papiru i dokazivog načela odgovornosti.

GDPR izričito postavlja taj problem. Voditelj obrade odgovoran je za usklađenost s načelima zaštite podataka i mora je moći dokazati. Osobni podaci moraju se obrađivati zakonito, pošteno i transparentno, u određene svrhe, ograničeno na ono što je nužno, točno, zadržano samo onoliko dugo koliko je potrebno te zaštićeno odgovarajućim tehničkim i organizacijskim mjerama.

ISO 27701:2025 organizacijama daje strukturu upravljanja privatnošću. ISO/IEC 27001:2022 daje okosnicu ISMS-a za opseg, obradu rizika, operativnu kontrolu, internu reviziju, preispitivanje uprave i kontinuirano poboljšavanje. GDPR postavlja teret dokazivanja načela odgovornosti. NIS2, DORA, NIST CSF 2.0, osiguranje u stilu COBIT 2019 i sigurnosni pregledi klijenata povećavaju pritisak da se dokaže da kontrole funkcioniraju.

Clarysecov stav je jednostavan: testiranje kontrola privatnosti ne smije biti godišnja potraga za snimkama zaslona. To treba biti sustav PIMS dokaza koji povezuje aktivnosti obrade, primjenjive kontrole, rizike, uzorke, tehničke provjere, nalaze, CAPA-u i preispitivanje uprave u jedan sljediv model.

Tu Clarysecov skup PIMS politika, Zenith Blueprint: An Auditor’s 30-Step Roadmap i Zenith Controls: The Cross-Compliance Guide postaju operativni alati, a ne materijal za policu.

Testiranje kontrola privatnosti most je između politike i načela odgovornosti

Test kontrole privatnosti odgovara na tri praktična pitanja:

  1. Je li kontrola dizajnirana tako da ispuni obvezu privatnosti ili smanji rizik za privatnost?
  2. Je li kontrola implementirana u relevantnom procesu, sustavu, timu, kod dobavljača ili u radnom toku proizvoda?
  3. Je li kontrola operativno djelotvorna tijekom vremena, uz dokaze koji bi zadovoljili revizora, klijenta, regulatora ili odbor uprave?

SaaS tvrtka može tvrditi da podržava zahtjeve za brisanje. Test dizajna provjerava jesu li definirani politika brisanja, postupak provjere identiteta, model vlasništva, koordinacija s izvršiteljima obrade, iznimke zadržavanja i postupanje sa sigurnosnim kopijama. Test operativne djelotvornosti uzorkuje dovršene zahtjeve za brisanje, uspoređuje vremenske oznake, provjerava odobrenja, pregledava dnevničke zapise sustava, provjerava obavijesti nizvodnim izvršiteljima obrade i potvrđuje dokaze o zatvaranju.

PIMS Monitoring, Audit and Improvement Policy pretvara to u revizijski provjerljiv zahtjev:

[Obje uloge] Pregledavatelj interne revizije / usklađenosti MORA tijekom svake PIMS revizije testirati status implementacije primjenjivih PIMS kontrola u odnosu na REG03.

Iz odjeljka „Program interne revizije PIMS-a”, točka politike 4.2.5.

Izraz “u odnosu na REG03” ključan je. Testiranje nije slobodno strukturiran razgovor. REG03 služi kao referenca za primjenjivost i implementaciju PIMS kontrola. Pokazuje što se primjenjuje, zašto se primjenjuje i što mora biti potkrijepljeno dokazima.

Ista politika dodaje:

[Obje uloge] Pregledavatelj interne revizije / usklađenosti MORA tijekom svake PIMS revizije zabilježiti odabrani uzorak dokaza o obradi osobnih podataka u REG12.

Iz odjeljka „Program interne revizije PIMS-a”, točka politike 4.2.6.

To je srž testiranja kontrola privatnosti prema ISO 27701:2025. PIMS revizija bez uzorka samo je razgovor. PIMS revizija s odabranim dokazima, mapiranjem kontrola, iznimkama, korektivnom radnjom i sljedivošću prema preispitivanju uprave jest načelo odgovornosti u praksi.

Počnite od opsega, uloge i stvarnosti obrade

Većina slabih revizija privatnosti ne uspijeva prije nego što testiranje uopće počne. Odabiru generičke kontrole bez potvrde koji se osobni podaci obrađuju, gdje se nalaze, koji sustavi i dobavljači s njima dolaze u dodir te djeluje li organizacija kao voditelj obrade, izvršitelj obrade, zajednički voditelj obrade ili podizvršitelj obrade.

Obveze prema GDPR-u snažno ovise o ulozi. Voditelj obrade koji odlučuje zašto i kako se osobni podaci obrađuju ima drukčije obveze od izvršitelja obrade koji postupa prema dokumentiranim uputama klijenta. Važna je i osjetljivost podataka. Podaci o zaposlenicima, podaci o korisničkim računima, telemetrija, financijski podaci, biometrijska provjera, podaci povezani sa zdravljem, provjera sankcija i podaci o kaznenim djelima ne nose isti rizik.

Snažan program testiranja prema ISO 27701:2025 počinje discipliniranim određivanjem opsega.

Pitanje za određivanje opsegaDokazi za pregledZašto je važno
Koje su aktivnosti obrade osobnih podataka obuhvaćene opsegom?Evidencija aktivnosti obrade, mapa toka podataka, popis sustava, registar dobavljačaTestiranje mora uzorkovati stvarnu obradu, a ne apstraktne izjave iz politika
Koja se PIMS uloga primjenjuje?Mapiranje uloga voditelja obrade, izvršitelja obrade, zajedničkog voditelja obrade i podizvršitelja obradeObveze prema GDPR-u i PIMS kontrole razlikuju se ovisno o ulozi
Koje se pravne, ugovorne i regulatorne obveze primjenjuju?Procjena GDPR-a, korisnički DPA-ovi, sektorska pravila, procjene prijenosaDizajn kontrole mora odražavati stvarne obveze
Koji sustavi i dobavljači obrađuju osobne podatke?Popis imovine, popis usluga u oblaku, popis izvršitelja obrade, matrica pristupaOperativni testovi trebaju tehničke dokaze i dokaze trećih strana
Koje promjene utječu na obradu osobnih podataka?Zapisi o promjenama proizvoda, okidači za DPIA, napomene o izdanju, pregledi arhitektureUgrađena zaštita privatnosti mora se testirati prije lansiranja, a ne nakon pritužbi

ISO/IEC 27001:2022 podupire taj integrirani pristup kroz zahtjeve za kontekst organizacije, zahtjeve zainteresiranih strana, pravne i ugovorne obveze, opseg sustava upravljanja, operativno planiranje i obradu rizika. Za privatnost to znači da obrada osobnih podataka ne može ostati u izoliranoj proračunskoj tablici. Mora biti dio operativnog modela ISMS-a i PIMS-a.

Privacy Information Management System Policy izravno povezuje testiranje privatnosti s upravljanjem:

[Svi] Najviše rukovodstvo MORA jednom godišnje u REG12 preispitati učinkovitost PIMS-a, ciljeve privatnosti, otvorene rizike, nesukladnosti, korektivne radnje i odluke o poboljšanju.

Iz odjeljka „Upravljanje PIMS-om”, točka politike 6.1.1.

Ako testiranje utvrdi prazninu u privatnosti, to nije samo revizijska napomena. To je ulazni podatak sustava upravljanja koji treba utjecati na obradu rizika, prioritete, resurse i odluke vodstva.

Djelotvornost dizajna u odnosu na operativnu djelotvornost

Kada klijent pita testiraju li se kontrole privatnosti, obično misli na operativnu djelotvornost. Revizori će, međutim, ispitati i djelotvornost dizajna.

Kontrola s djelotvornim dizajnom sposobna je ispuniti zahtjev ako se provodi kako je predviđeno. Operativno djelotvorna kontrola stvarno se provodi dosljedno i potkrijepljena je dokazima.

Područje kontroleTest djelotvornosti dizajnaTest operativne djelotvornosti
Prikupljanje privoleProvjeriti politiku, tekst privole, pravila pravne osnove, zahtjeve korisničkog sučelja, radni tok povlačenja privoleUzorkovati zapise o privoli i povlačenjima, usporediti vremenske oznake, provjeriti primjenu popisa za izuzimanje nakon povlačenja
Ograničenje svrhePregledati RoPA, obavijest o privatnosti, zahtjeve proizvoda, odvajanje privole, pravila uporabe podatakaUzorkovati korisničke zapise, dnevničke zapise, izvoze i analitičke tokove kako bi se potvrdilo da se osobni podaci ne koriste ponovno u neovlaštene svrhe
Pristup osobnim podacimaPregledati politiku pristupa, model uloga, postupak za nove zaposlenike, premještaje i odlaske, radni tok odobravanjaUzorkovati korisnike s pristupom osobnim podacima, provjeriti odobrenje, poslovnu potrebu, MFA i nedavni pregled pristupa
Uvođenje izvršitelja obradePregledati kriterije dubinske analize dobavljača, DPA klauzule, pravila za podizvršitelje obrade, zaštitne mjere za prijenosUzorkovati izvršitelja obrade, pregledati procjenu, ugovor, sigurnosni pregled i dokaze o praćenju podizvršitelja obrade
Zadržavanje i brisanjePregledati raspored zadržavanja, pravila iznimki, postupak brisanja, sposobnost sustavaUzorkovati izbrisane zapise ili zahtjeve za brisanje, pregledati dnevničke zapise, prijave i potvrde izvršitelja obrade
Postupanje s povredomPregledati klasifikaciju incidenata, eskalaciju u području privatnosti, kriterije za obavješćivanje nadležnih tijelaUzorkovati zapise o incidentima, provjeriti trijažu, obrazloženje odluke, obavijesti i naučene lekcije

Audit and Compliance Monitoring Policy izravno navodi svrhu:

Provjeriti djelotvornost sigurnosnih kontrola i kontrola privatnosti

Iz odjeljka „Svrha”, točka politike 1.1.1.

SME verzija zadržava isto načelo osiguranja u operativnom jeziku. Audit and Compliance Monitoring Policy - SME navodi:

Ova politika utvrđuje pristup organizacije provedbi internih revizija, pregledima sigurnosnih kontrola i praćenju usklađenosti. Osigurava da sve kontrole, politike, sustavi i pružatelji usluga podliježu redovitom i strukturiranom pregledu.

Iz odjeljka „Svrha”, točka politike 1.1.

Spremnost za ISO 27701 ne ovisi o veličini društva. SaaS izvršitelj obrade s 30 zaposlenika možda ne treba iste revizijske alate kao globalna banka, ali i dalje mora dokazati da su pristup, brisanje, eskalacija incidenata, upravljanje podizvršiteljima obrade i zadržavanje dokaza pod kontrolom.

Clarysecov lanac dokaza: REG03, REG12, CAPA i preispitivanje

Clarysec strukturira testiranje kontrola privatnosti oko jednostavnog lanca dokaza.

REG03 definira primjenjive PIMS kontrole i status implementacije. REG12 bilježi uzorke, dokaze, nalaze, praznine u sljedivosti, provjeru korektivnih radnji i ulazne podatke za preispitivanje uprave. CAPA zapisi pretvaraju nalaze u poboljšanja temeljena na analizi temeljnog uzroka. Najviše rukovodstvo preispituje učinkovitost PIMS-a, rizike, nesukladnosti, korektivne radnje i odluke o poboljšanju.

PIMS Documented Information and Evidence Management Policy zahtijeva evidentiranje problema s kvalitetom dokaza:

[Svi] Pregledavatelj interne revizije / usklađenosti MORA tijekom svake planirane revizije ili pregleda usklađenosti u REG12 zabilježiti praznine u potpunosti, točnosti ili sljedivosti dokaza.

Iz odjeljka „Izrada, imenovanje i kvaliteta dokaza”, točka politike 4.3.4.

To je važno jer nije svaki nalaz potpuni neuspjeh kontrole. Ponekad je kontrola funkcionirala, ali su dokazi nepotpuni. Ponekad je prijava brisanja zatvorena, ali nijedan dnevnički zapis sustava ne dokazuje brisanje. Ponekad evidencija aktivnosti obrade navodi CRM, ali propušta izvoz u skladište podataka. Ponekad ugovor s dobavljačem postoji, ali nema kontinuiranog praćenja.

Audit and Compliance Monitoring Policy također zahtijeva strukturirane interne revizije:

Interne revizije provode se prema dokumentiranom postupku koji uključuje:

Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.1.1.

A kada se pojave nalazi:

Svi nalazi moraju rezultirati dokumentiranom CAPA-om koja uključuje:

Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.2.1.

Risk Management Policy - SME dodatno naglašava disciplinu zatvaranja:

Dovršetak i djelotvornost radnji obrade rizika moraju se provjeriti.

Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.3.2.

PIMS Monitoring, Audit and Improvement Policy zatvara krug:

[Svi] Pregledavatelj interne revizije / usklađenosti MORA u REG12 provjeriti djelotvornost korektivne radnje u roku od 30 dana od prijavljenog zatvaranja korektivne radnje.

Iz odjeljka „Nesukladnost i korektivna radnja”, točka politike 4.4.7.

To je razlika između zatvaranja prijave i poboljšanja sustava upravljanja.

Praktični test 1: zahtjevi za brisanje i načelo odgovornosti prema GDPR-u

Zahtjevi za brisanje jedan su od najjasnijih načina testiranja funkcionira li načelo odgovornosti u području privatnosti u praksi.

Pretpostavimo da SaaS tvrtka srednje veličine djeluje i kao voditelj obrade i kao izvršitelj obrade. Ona kontrolira podatke o zaposlenicima, marketingu i naplati. U ime poslovnih klijenata obrađuje podatke krajnjih korisnika klijenata. Organizacija želi testirati jesu li kontrole brisanja spremne za reviziju prema ISO 27701:2025 i dokazivanje sigurnosti privatnosti prema zahtjevima klijenata u okviru GDPR-a.

Korak 1: Odaberite aktivnost obrade iz REG03

Odaberite aktivnost obrade sa stvarnim rizikom za privatnost, primjerice “podaci profila krajnjih korisnika klijenta obrađeni u SaaS platformi”. Potvrdite djeluje li organizacija kao voditelj obrade, izvršitelj obrade ili oboje. Identificirajte povezane kontrole za postupanje s pravima, provjeru uputa izvršitelju obrade, zadržavanje, brisanje, kontrolu pristupa, evidentiranje događaja, postupanje sa sigurnosnim kopijama i koordinaciju s dobavljačima.

Korak 2: Definirajte precizan cilj testa

Koristan cilj testa specifičan je i usmjeren na dokaze:

“Provjeriti da se zahtjevi za brisanje podataka profila krajnjih korisnika klijenta zaprimaju, autentificiraju ili validiraju prema uputi, izvršavaju unutar definiranog radnog toka, evidentiraju, tehnički dovršavaju u produkcijskim sustavima, prosljeđuju relevantnim podizvršiteljima obrade kada je potrebno te zatvaraju uz dokaze.”

Korak 3: Izvucite reprezentativni uzorak

Odaberite pet zahtjeva za brisanje iz posljednjeg tromjesečja. Uključite jedan rutinski zahtjev, jedan zahtjev koji uključuje administratora klijenta, jedan zahtjev na temelju upute izvršitelju obrade, jedan zahtjev s iznimkom zadržavanja i jedan zahtjev koji se odnosi na postupanje sa sigurnosnim kopijama.

Zenith Blueprint, u fazi Revizija, preispitivanje i poboljšavanje, korak 26: Provedba revizije, naglašava uzorkovanje i prikupljanje dokaza:

✓ Razgovarajte s relevantnim osobljem: zatražite od osoba odgovornih za procese da objasne kako ispunjavaju zahtjeve. Primjerice, pitajte vlasnika rizika o posljednjoj procjeni rizika ili pitajte HR kako se novi zaposlenici osposobljavaju za sigurnost (radi obuhvata kontrole 6.3 o podizanju svijesti).
✓ Pregledajte dokumentaciju: provjerite postoje li dokumenti i zapisi te jesu li ažurni.
✓ Promatrajte praksu: ako je moguće, provedite izravno opažanje.
✓ Uzorkujte i provedite nasumične provjere: ne možete provjeriti sve, stoga koristite uzorkovanje.

Iz faze Revizija, preispitivanje i poboljšavanje, korak 26: Provedba revizije (provođenje interne revizije).

Korak 4: Pregledajte dokaze za svaki uzorak

Za svaki uzorkovani zahtjev prikupite ulaznu prijavu, klasifikaciju uloge, provjeru identiteta ili autorizaciju klijenta, dnevnički zapis brisanja u sustavu, odluku o iznimci zadržavanja, objašnjenje postupanja sa sigurnosnim kopijama, obavijest podizvršitelju obrade, komunikaciju o zatvaranju, vremenske oznake i odobrenje pregledavatelja.

Korak 5: Zabilježite rezultate u REG12

U REG12 zabilježite uzorak, izvor dokaza, rezultat kontrole, iznimku i prazninu u sljedivosti. Ako je brisanje provedeno, ali ne postoji produkcijski dnevnički zapis, kontrola je možda djelovala, ali dokaz je slab. Ako je zahtjev kasnio jer odgovornost dobavljača nije bila jasna, nalaz se može odnositi na upravljanje trećim stranama i ugovorne prenesene obveze.

Korak 6: Izradite CAPA-u i provjerite djelotvornost

Ako je temeljni uzrok nejasno vlasništvo između podrške, pravnog tima i inženjeringa, CAPA može uključivati revidirani radni tok, ažurirani RACI, obvezna dokazna polja i mjesečne provjere uzorka brisanja.

Zenith Blueprint, u fazi Revizija, preispitivanje i poboljšavanje, korak 29, objašnjava očekivanje za zatvaranje:

Planirajte kako ćete provjeriti djelotvornost svake korektivne radnje. To može značiti zakazivanje naknadne revizije ili provjere. Primjerice, ako je vaša korektivna radnja bila osposobiti IT osoblje za kontrolu pristupa, možete planirati pregled novih računa za mjesec dana kako biste provjerili imaju li svi odgovarajuća odobrenja (provjera).

Iz faze Revizija, preispitivanje i poboljšavanje, korak 29: Kontinuirano poboljšavanje (korektivne radnje i naučene lekcije).

Za brisanje, provjera može značiti uzorkovanje sljedećih pet zahtjeva za brisanje nakon što revidirani radni tok krene u primjenu. Tek tada CAPA treba biti zatvorena.

Praktični test 2: ograničenje svrhe i minimizacija podataka

Drugi test visoke vrijednosti odnosi se na ograničenje svrhe. Posebno je koristan prije dubinske analize dobavljača od strane klijenta, pokretanja analitike, obogaćivanja umjetnom inteligencijom, proširenja skladišta podataka ili promjena u marketinškoj automatizaciji.

Marijina SaaS platforma prikuplja korisničke podatke klijenata radi pružanja usluge. Cilj kontrole jest osigurati da se osobni podaci koriste samo u određene i legitimne svrhe te da se ponovno ne koriste za marketinšku analitiku osim ako je korisnik dao izričitu, odvojenu privolu kada je to potrebno.

Vrsta dokazaKonkretni artefakti
DokumentacijaPolitika zaštite podataka i privatnosti, RoPA, korisnički DPA, obavijesti o privatnosti, zapisi o upravljanju privolama
Tehnička konfiguracijaPravila postupanja s podacima u aplikaciji, sheme baza podataka, konfiguracije API-ja, postavke ETL poslova
Dnevnički zapisi i evidencijeDnevnički zapisi pristupa aplikaciji, dnevnički zapisi upita u bazu podataka, povijest promjena privole, zapisi o izvozu kampanja
Dokazi od osobljaRazgovori s vlasnikom proizvoda, glavnim razvojnim inženjerom, administratorom baze podataka i vlasnikom privatnosti

Snažan operativni test ne zaustavlja se na politici. Uzorkuje korisnike koji su pristali na marketing i korisnike koji nisu. Prati odražava li se status privole ispravno kroz temeljne aplikacijske baze podataka, tablice skladišta podataka, alate za kampanje, nadzorne ploče i izvoze. Ako se korisnici bez privole pojavljuju u marketinškoj publici, organizacija ima konkretnu nesukladnost.

SME Audit and Compliance Monitoring Policy daje ispravan pristup kroz primjer tehničkog testiranja:

Provjera tehničke kontrole (npr. status sigurnosnog kopiranja, konfiguracija kontrole pristupa, zapisi o zakrpama)

Iz odjeljka „Zahtjevi za provedbu politike”, točka politike 6.1.1.2.

Za privatnost, provjera tehničkih kontrola uključuje provjere sinkronizacije privole, izvoze kontrole pristupa, dnevničke zapise brisanja, postavke šifriranja, testove maskiranja podataka, DLP upozorenja, ograničenja sigurnosnih kopija, događaje praćenja i dokaze dobavljača.

Mapiranje testiranja privatnosti na ISO/IEC 27001:2022 i Clarysecovu međuframeworksku usklađenost

Kontrole privatnosti ne djeluju izolirano. Zaštita osobnih podataka ovisi o popisu imovine, klasifikaciji, kontroli pristupa, upravljanju oblakom, maskiranju podataka, prijenosu informacija, evidentiranju događaja, praćenju, brisanju, zaštiti zapisa, nadzoru nad dobavljačima i neovisnom pregledu.

U Zenith Controls: The Cross-Compliance Guide, kontrola 5.34 iz Dodatka A norme ISO/IEC 27001:2022, Privacy and protection of PII, mapirana je kao preventivna kontrola usklađena s povjerljivošću, cjelovitošću i dostupnošću, s konceptima kibernetičke sigurnosti Identify i Protect te operativnim sposobnostima u području Information Protection i Legal and Compliance.

Njezin odnos prema popisu imovine izravan je:

Popis informacijske imovine (5.9) trebao bi uključivati zbirke osobnih podataka (baze podataka klijenata, HR datoteke). To podupire 5.34 jer osigurava da organizacija zna koje osobne podatke ima i gdje se nalaze, što je prvi korak u njihovoj zaštiti.

Iz Zenith Controls, Privatnost i zaštita podataka koji omogućuju osobnu identifikaciju, kontrola 5.34.

Za revizijsko testiranje to znači da revizor privatnosti ne bi trebao početi samo od obavijesti o privatnosti. Treba početi od popisa osobnih podataka, evidencije aktivnosti obrade, tokova podataka, popisa imovine i popisa dobavljača. Ako je popis nepotpun, nizvodne kontrole privatnosti ne mogu biti potpuno pouzdane.

Vodič također mapira kontrolu 5.34 iz Dodatka A norme ISO/IEC 27001:2022 na povezane kontrole kao što su 5.9 Inventory of information and other associated assets, 5.12 Classification of information, 5.14 Information transfer, 5.15 Access control, 5.16 Identity management, 5.23 Information security for use of cloud services, 5.33 Protection of records, 8.11 Data masking, 8.12 Data leakage prevention i 8.10 Information deletion.

Dvije dodatne kontrole iz Dodatka A norme ISO/IEC 27001:2022 posebno su relevantne:

Kontrola ISO/IEC 27001:2022Relevantnost za testiranje privatnostiPrimjer dokaza
5.34 Privacy and protection of PIIPotvrđuje da su zahtjevi privatnosti i zaštite osobnih podataka implementirani na temelju zakona, propisa i ugovoraEvidencija aktivnosti obrade, DPIA-e, zapisi o pravnoj osnovi, dokazi o DSR-u, dnevnički zapisi zadržavanja
5.35 Independent review of information securityOmogućuje objektivnu provjeru da se sigurnosna uređenja, uključujući kontrole relevantne za privatnost, neovisno pregledavajuIzvješća interne revizije, rezultati vanjskog pregleda, uzorci u REG12, CAPA zapisi
5.36 Compliance with policies, rules and standards for information securityPotvrđuje kontinuiranu usklađenost s internim pravilima i standardimaPregledi usklađenosti s politikama, provjere pristupa, rezultati praćenja, registri iznimaka

Data Protection and Privacy Policy zahtijeva:

Interna revizija usklađenosti u području privatnosti provodi se jednom godišnje ili nakon značajnih organizacijskih ili regulatornih promjena. Opseg revizije uključuje:

Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.4.

Dodatno uključuje:

Djelotvornost tehničkih i organizacijskih mjera

Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.4.1.

Data Protection and Privacy Policy - SME zadržava isto očekivanje u praktičnom obliku:

Redovite revizije privatnosti ili provjere kontrola moraju se provoditi i evidentirati

Iz odjeljka „Zahtjevi upravljanja”, točka politike 5.3.3.

Zašto je načelo odgovornosti prema GDPR-u danas pitanje kibernetičkog upravljanja

Dokaze o privatnosti više ne traže samo revizori privatnosti. Isti dokaz može zatražiti revizor prema ISO 27701:2025, revizor prema ISO/IEC 27001:2022, pregledavatelj GDPR-a, nadležno tijelo prema NIS2, klijent reguliran DORA-om, procjenitelj prema NIST CSF ili odbor za rizike pri upravi.

NIS2 Article 21 zahtijeva da ključni i važni subjekti implementiraju odgovarajuće i razmjerne tehničke, operativne i organizacijske mjere za upravljanje rizicima kibernetičke sigurnosti. Article 21(2)(f) izričito uključuje politike i postupke za procjenu djelotvornosti mjera upravljanja rizicima kibernetičke sigurnosti. NIS2 također čini upravljačka tijela odgovornima za odobravanje i nadzor mjera upravljanja rizicima kibernetičke sigurnosti.

DORA se primjenjuje od 17. siječnja 2025. na financijske subjekte i postavlja detaljan pravilnik za digitalnu operativnu otpornost. Zahtijeva upravljanje IKT rizicima, nadzor upravljačkog tijela, internu reviziju, otklanjanje kritičnih nalaza, klasifikaciju i prijavljivanje incidenata, testiranje otpornosti, upravljanje IKT rizicima trećih strana, ugovorne kontrole, registre aranžmana IKT usluga i izlazne strategije. Pružatelji IKT usluga koji opslužuju financijske subjekte trebaju očekivati zahtjeve za dokazima potaknute DORA-om kroz dokazivanje sigurnosti prema zahtjevima klijenata.

NIST CSF 2.0 pruža koristan sloj prevođenja. Njegova funkcija GOVERN očekuje da organizacije razumiju očekivanja dionika, ovisnosti te pravne, regulatorne, ugovorne, privatnosne i građanskopravne obveze. Pristup Profiles pomaže usporediti trenutačne ishode s ciljnim ishodima, identificirati praznine i prioritizirati akcijske planove.

Pritisak zahtjevaŠto testiranje kontrola privatnosti treba proizvestiClarysec uporište
Načelo odgovornosti prema GDPR-uDokaze da su načela, pravna osnova, prava, sigurnost, zadržavanje i obveze izvršitelja obrade dokazivo ispunjeniPIMS politike, REG03, REG12, CAPA
Spremnost za ISO 27701:2025Testirane PIMS kontrole, primjenjivost temeljena na ulogama, kvaliteta dokaza, interna revizija, preispitivanje upravePIMS Monitoring, Audit and Improvement Policy
Osiguranje prema ISO/IEC 27001:2022Sljedivost obrade rizika, obrazloženje SoA-e, operativna kontrola, revizija, pregled, poboljšanjeZenith Blueprint, Zenith Controls cross-compliance guide
Upravljanje prema NIS2Procjena djelotvornosti, spremnost za incidente, kontrole dobavljača, nadzor upraveMapiranje kontrola 5.35 i 5.36 iz Dodatka A norme ISO/IEC 27001:2022
Osiguranje prema DORA-iTestiranje IKT kontrola, testiranje otpornosti, dokazi trećih strana, zapisi životnog ciklusa incidentaMeđuframeworkski mapiran model revizijskih dokaza
NIST CSF 2.0Trenutačni profil, ciljni profil, analiza praznina, prioritizirano poboljšanjeZenith Blueprint koraci 24, 26, 29

Zenith Blueprint dodatno naglašava sljedivost u koraku 24:

Vaša SoA treba biti usklađena s registrom rizika i planom obrade rizika. Još jednom provjerite da je svaka kontrola koju ste odabrali kao obradu rizika označena kao “Applicable” u SoA-i. Obrnuto, ako je kontrola označena kao “Applicable” u SoA-i, trebate imati obrazloženje za to – obično mapirani rizik, pravni/regulatorni zahtjev ili poslovnu potrebu.

Iz faze Revizija, preispitivanje i poboljšavanje, korak 24: Revizija, preispitivanje i poboljšavanje.

Za testiranje kontrola privatnosti isto načelo vrijedi za primjenjivost PIMS-a. Svaka primjenjiva kontrola privatnosti treba biti sljediva do rizika obrade, pravne obveze, zahtjeva klijenta ili poslovne potrebe. Svaki test treba biti sljediv natrag do te kontrole.

Kako će različiti revizori ocijeniti istu kontrolu

Snažan program testiranja privatnosti unaprijed uzima u obzir perspektivu revizora. Ista kontrola brisanja, kontrola pristupa ili kontrola uvođenja izvršitelja obrade tumačit će se drukčije ovisno o kontekstu pregleda.

Perspektiva revizoraVjerojatno revizijsko pitanjeDokazi koje će očekivati
Revizor prema ISO 27701:2025Jesu li PIMS kontrole temeljene na ulogama implementirane, vrednovane i poboljšavane?Primjenjivost u REG03, uzorci u REG12, evidencija aktivnosti obrade, mapiranje politike, rezultati revizije
Revizor prema ISO/IEC 27001:2022Je li kontrola povezana s privatnošću integrirana u obradu rizika, SoA, operativnu kontrolu, internu reviziju i preispitivanje uprave?Registar rizika, obrazloženje SoA-e, plan obrade rizika, dokazi kontrole, zapisnici preispitivanja uprave
Pregledavatelj GDPR-aMože li voditelj obrade dokazati usklađenost s načelima i obvezama GDPR-a?Pravna osnova, obavijesti, DSR dnevnici, DPIA-e, ugovori, zapisi o povredama, dokazi o zadržavanju
Procjenitelj prema NIST CSFPoznaje li organizacija obveze, definira ciljne ishode, mjeri praznine i poboljšava se?Trenutačni i ciljni profil, plan za praznine, prioritizacija rizika, zapisi upravljanja
Klijent ili regulator usmjeren na DORA-uJesu li IKT kontrole testirane, incidenti klasificirani, dobavljači praćeni, a kritične usluge otporne?Program testiranja, zapisi o incidentima, registar dobavljača, ugovori, izlazni planovi
Revizor u stilu ISACA-e ili COBIT 2019Jesu li ciljevi, vlasništvo, metrike, zatvaranje problema i upravljački nadzor djelotvorni?RACI, KPI-jevi, dnevnici problema, provjera CAPA-e, izvješćivanje upravi

Zato je REG12 toliko vrijedan. Pretvara usklađenost u području privatnosti u revizijski provjerljive dokaze upravljanja.

Česti nalazi u testiranju PIMS kontrola

Clarysec opetovano vidi iste nalaze revizija privatnosti kod organizacija koje se pripremaju za certifikaciju prema ISO 27701:2025, dokazivanje prema zahtjevima klijenata u okviru GDPR-a ili dubinsku analizu dobavljača na razini velikih poduzeća.

Evidencija aktivnosti obrade ne odgovara stvarnom stanju sustava

Evidencija aktivnosti obrade navodi CRM i platforme za podršku, ali inženjeri su dodali analitičke izvoze, dnevnike opservabilnosti, AI alate i tablice skladišta podataka.

Odgovor na test: uzorkujte sustave iz popisa imovine i popisa usluga u oblaku, zatim ih uskladite s evidencijom aktivnosti obrade. Kao revizijsko obrazloženje koristite odnos između kontrola 5.9 i 5.34 iz Dodatka A norme ISO/IEC 27001:2022.

Pristup osobnim podacima je odobren, ali se ne pregledava periodično

Početna odobrenja postoje, ali pregledi privilegiranog pristupa ne uključuju alate za impersonaciju korisnika u podršci, produkcijske baze podataka, BI nadzorne ploče ili hitne račune.

Odgovor na test: uzorkujte aktivne korisnike s pristupom osobnim podacima i usporedite ulogu, poslovnu potrebu, odobrenje, MFA status, posljednju prijavu i dokaze pregleda.

Ugovori s izvršiteljima obrade postoje, ali je praćenje slabo

DPA je potpisan, ali je upitnik dobavljača zastario. Nitko nije pregledao promjene podizvršitelja obrade, lokacije podataka, sigurnosni profil ili obveze obavješćivanja o incidentima.

Odgovor na test: uzorkujte kritične izvršitelje obrade i pregledajte dubinsku analizu dobavljača, ugovorne odredbe, promjene podizvršitelja obrade, zaštitne mjere za prijenos i zapise o praćenju. To podupire GDPR, očekivanja NIS2 u pogledu opskrbnog lanca i očekivanja DORA-e u području rizika trećih strana.

Odgovor na incidente postoji, ali je klasifikacija privatnosti nedosljedna

Sigurnosni incidenti se evidentiraju, ali se utjecaj na privatnost ne procjenjuje uvijek. Kriteriji povrede prema GDPR-u nisu dosljedno dokumentirani. Obveze obavješćivanja klijenata rješavaju se neformalno.

Odgovor na test: uzorkujte incidente koji uključuju izloženost podataka i pregledajte klasifikaciju, eskalaciju u području privatnosti, pravni pregled, odluke o obavješćivanju, očuvanje dokaza, temeljni uzrok i naučene lekcije.

CAPA se zatvara bez provjere djelotvornosti

Postupak je ažuriran i nalaz je zatvoren. Nitko ne testira je li se sljedeći uzorak poboljšao.

Odgovor na test: provjerite djelotvornost korektivne radnje u REG12 u roku od 30 dana od prijavljenog zatvaranja, kako zahtijeva PIMS Monitoring, Audit and Improvement Policy.

Devedesetodnevni sprint testiranja kontrola privatnosti

Za organizacije koje se kreću prema spremnosti za ISO 27701:2025, dubinskoj analizi dobavljača od strane klijenata ili pregledu načela odgovornosti prema GDPR-u, Clarysec preporučuje fokusirani sprint od 90 dana.

Vremenski okvirFokusIzlazni rezultati
Dani 1 do 15Opseg i model dokazaPIMS uloge, evidencija aktivnosti obrade, primjenjivost u REG03, prioritetni rizici, pravne obveze, ovisnosti o dobavljačima, pravila imenovanja dokaza
Dani 16 do 35Testiranje dizajnaPregled politike, RACI, obavijesti o privatnosti, pravna osnova, okidači za DPIA, DSR radni tokovi, klasifikacija incidenata, rasporedi zadržavanja, kontrole dobavljača
Dani 36 do 65Operativno testiranjeUzorci za pristup, brisanje, incidente, izvršitelje obrade, prijenose, zadržavanje, osposobljavanje, tehničko praćenje, dokazi u REG12
Dani 66 do 80CAPA i obrada rizikaTemeljni uzrok, korektivna radnja, vlasnik, rok, preostali rizik, metoda provjere
Dani 81 do 90Spremnost za preispitivanje upravePaket učinkovitosti PIMS-a, ciljevi, otvoreni rizici, nesukladnosti, korektivne radnje, problemi s dobavljačima, odluke o poboljšanju

Do kraja sprinta organizacija bi trebala moći odgovoriti na pitanja koja revizori stvarno postavljaju:

  • Koje osobne podatke obrađujete?
  • U kojoj ulozi?
  • Koje se kontrole primjenjuju?
  • Zašto su primjenjive?
  • Koji dokazi potvrđuju da su implementirane?
  • Koji uzorak dokazuje da djeluju?
  • Koje su praznine utvrđene?
  • Koje su korektivne radnje poduzete?
  • Tko je provjerio djelotvornost?
  • Što je najviše rukovodstvo preispitalo i odlučilo?

Od privatnosti na papiru do dokazivog načela odgovornosti

Certifikat ISO 27701 vrijedan je, ali nije krajnje odredište. Klijenti, regulatori, odbori i revizori sve više očekuju dokaz da su kontrole privatnosti dizajnirane, implementirane, praćene, ispravljane i upravljane.

Usklađenost u području privatnosti ne uspijeva kada se tretira kao dokumentacijski projekt. Izdržava provjeru kada postane testiran sustav dokaza.

Clarysec pomaže organizacijama prijeći s deklarirane usklađenosti na dokazivo načelo odgovornosti povezivanjem PIMS politika, primjenjivosti REG03, uzoraka dokaza REG12, provjere CAPA-e, preispitivanja uprave i mapiranja među okvirima kroz Zenith Blueprint: An Auditor’s 30-Step Roadmap i Zenith Controls: The Cross-Compliance Guide.

Ako se vaša organizacija priprema za certifikaciju prema ISO 27701:2025, pregled načela odgovornosti prema GDPR-u, dokazivanje privatnosti prema zahtjevima klijenata, dokaze upravljanja prema NIS2 ili dubinsku analizu dobavljača potaknutu DORA-om, počnite s fokusiranom radionicom testiranja kontrola privatnosti.

Clarysec vam može pomoći mapirati primjenjivost REG03, izgraditi revizijske uzorke REG12, testirati prioritetne PIMS kontrole, povezati nalaze s CAPA-om i pripremiti izlazne rezultate preispitivanja uprave koji mogu izdržati provjeru.

Vaša sljedeća revizija privatnosti ne bi trebala biti potraga za snimkama zaslona. Trebala bi biti sigurna demonstracija da privatnost djeluje, da je potkrijepljena dokazima, pregledana i kontinuirano poboljšavana.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article