⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

ISO 27701 adatvédelmi kontrollok tesztelése a GDPR-megfelelés igazolásához

Igor Petreski

A pénteki adatvédelmi audit, amely feltárta a valódi problémát

Péntek 15:40 van, amikor Maria, egy gyorsan növekvő SaaS vállalat információbiztonsági vezetője (CISO) videóhíváshoz csatlakozik egy nagyvállalati potenciális ügyfél beszerzési vezetőjével.

Csapata hónapok óta dolgozik az adatvédelmi információkezelési rendszer (Privacy Information Management System, PIMS) kialakításán. A szabályzatokat jóváhagyták. Az adatkezelési tevékenységek nyilvántartása rendelkezésre áll. A vállalatnak van ISO 27701 felkészültségi terve. Az adatvédelmi tisztviselőnek (DPO) vannak munkafolyamatai az érintetti kérelmek kezelésére. A jogi terület frissítette az adatfeldolgozási szerződéseket. A mérnöki csapat szerint az éles rendszerhez való hozzáférés korlátozott.

A beszerzési vezető udvariasan, de közvetlenül kezd.

„Köszönjük a dokumentációt, Maria. A tanúsítvány és a szabályzatcsomag jó kiindulópont. Az átvilágítást végző csapatunk a jövő hónapban a helyszínen lesz. Látni akarják majd a DSAR-folyamat működését, ellenőrizni fogják az adattakarékossági kontrollokat a tesztfiókjainkon, áttekintik az éles környezet hozzáférési naplóit, és megvizsgálják azokat a bizonyítékokat, amelyek igazolják, hogy az adatvédelmi kontrollokat tesztelik, nem csak dokumentálják.”

Néhány percen belül Maria további két üzenetet kap.

A DPO azt kérdezi, hogy az új analitikai funkció szerepel-e az adatkezelési tevékenységek nyilvántartásában, lefedi-e jogalap-értékelés, megőrzési ütemterv, valamint az adatfeldolgozókra továbbadott kötelezettségek rendszere.

A megfelelőségi vezető azt kérdezi, hogy az ISO 27701:2025 felkészültségi felülvizsgálat igazolni tudja-e a PIMS-kontrollok megfelelő működési hatékonyságát.

Ez az a pont, ahol sok adatvédelmi program meginog. A szervezetnek vannak adatvédelmi dokumentumai, de nincs adatvédelmi bizonyítékrendszere. Vannak munkafolyamatai, de nincs mintavételen alapuló bizonyítéka. Vannak szerződései, de gyengék a nyomonkövetési nyilvántartásai. Van belső magabiztossága, de nincs védhető auditnyoma.

Ez a különbség a papíralapú megfelelés és a bizonyítható elszámoltathatóság között.

A GDPR egyértelművé teszi a problémát. Az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, és képesnek kell lennie annak igazolására. A személyes adatokat jogszerűen, tisztességesen és átláthatóan kell kezelni, meghatározott célokból, a szükséges mértékre korlátozva, pontosan, csak a szükséges ideig megőrizve, valamint megfelelő technikai és szervezési intézkedésekkel védve.

Az ISO 27701:2025 adja meg a szervezetek számára az adatvédelmi irányítási struktúrát. Az ISO/IEC 27001:2022 biztosítja az ISMS alapját az alkalmazási területhez, a kockázatkezeléshez, a működésirányításhoz, a belső audithoz, a vezetőségi átvizsgáláshoz és a folyamatos fejlesztéshez. A GDPR a jogi elszámoltathatósági terhet határozza meg. A NIS2, a DORA, a NIST CSF 2.0, a COBIT 2019 jellegű bizonyossági megközelítés és az ügyfélbiztonsági felülvizsgálatok tovább növelik a nyomást annak igazolására, hogy a kontrollok működnek.

A Clarysec álláspontja egyszerű: az adatvédelmi kontrolltesztelés nem lehet évente egyszeri kapkodás képernyőképek után. Olyan PIMS-bizonyítékrendszerként kell működnie, amely az adatkezelési tevékenységeket, az alkalmazandó kontrollokat, a kockázatokat, a mintákat, a technikai ellenőrzéseket, a megállapításokat, a CAPA-t és a vezetőségi átvizsgálást egyetlen visszakövethető modellbe kapcsolja össze.

Itt válnak a Clarysec PIMS szabályzatkészlete, a Zenith Blueprint: An Auditor’s 30-Step Roadmap és a Zenith Controls: The Cross-Compliance Guide működési eszközökké, nem pedig polcon tartott dokumentumokká.

Az adatvédelmi kontrolltesztelés a szabályzat és az elszámoltathatóság közötti híd

Egy adatvédelmi kontrollteszt három gyakorlati kérdésre ad választ:

  1. Úgy alakították-e ki a kontrollt, hogy teljesítse az adatvédelmi kötelezettséget vagy csökkentse az adatvédelmi kockázatot?
  2. Bevezették-e a kontrollt az érintett folyamatban, rendszerben, csapatnál, beszállítónál vagy termékfejlesztési munkafolyamatban?
  3. A kontroll az adott időszakban hatékonyan működik-e olyan bizonyítékokkal alátámasztva, amelyek egy auditor, ügyfél, felügyeleti hatóság vagy igazgatósági bizottság számára is elfogadhatók?

Egy SaaS vállalat állíthatja, hogy támogatja a törlési kérelmeket. A kialakítási teszt azt ellenőrzi, hogy a törlési szabályzat, az identitás-ellenőrzési folyamat, a felelősségi modell, az adatfeldolgozói koordináció, a megőrzési kivételek és a biztonsági mentések kezelése meghatározott-e. A működési hatékonysági teszt mintát vesz a lezárt törlési kérelmekből, összeveti az időbélyegeket, ellenőrzi a jóváhagyásokat, áttekinti a rendszernaplókat, ellenőrzi a kapcsolódó adatfeldolgozói értesítéseket, és megerősíti a lezárást igazoló bizonyítékokat.

A PIMS Monitoring, Audit and Improvement Policy ezt auditálható követelménnyé alakítja:

[Mindkét szerep] A belső auditor / megfelelőségi felülvizsgáló KÖTELES minden PIMS-audit során tesztelni az alkalmazandó PIMS-kontrollok bevezetési állapotát a REG03 alapján.

A „PIMS belső auditprogram” szakasz 4.2.5. szabályzati pontja alapján.

A „REG03 alapján” fordulat kulcsfontosságú. A tesztelés nem kötetlen interjú. A REG03 a PIMS-kontrollok alkalmazhatósági és bevezetési hivatkozási alapja. Megmutatja, mi alkalmazandó, miért alkalmazandó, és milyen bizonyítékokkal kell alátámasztani.

Ugyanez a szabályzat hozzáteszi:

[Mindkét szerep] A belső auditor / megfelelőségi felülvizsgáló KÖTELES minden PIMS-audit során rögzíteni a kiválasztott PII-adatkezelési bizonyítékmintát a REG12-ben.

A „PIMS belső auditprogram” szakasz 4.2.6. szabályzati pontja alapján.

Ez az ISO 27701:2025 szerinti adatvédelmi kontrolltesztelés lényege. A minta nélküli PIMS-audit beszélgetés. A kiválasztott bizonyítékokkal, kontroll-megfeleltetéssel, kivételekkel, helyesbítő intézkedésekkel és vezetőségi átvizsgálási visszakövethetőséggel végzett PIMS-audit elszámoltathatóság.

Az alkalmazási területtel, a szereppel és az adatkezelési valósággal kell kezdeni

A gyenge adatvédelmi auditok többsége már a tesztelés megkezdése előtt elbukik. Általános kontrollokat választanak anélkül, hogy megerősítenék, milyen személyes adatokat kezelnek, azok hol találhatók, mely rendszerek és beszállítók érintik őket, és a szervezet adatkezelőként, adatfeldolgozóként, közös adatkezelőként vagy al-adatfeldolgozóként jár-e el.

A GDPR szerinti kötelezettségek erősen függnek a szereptől. Annak az adatkezelőnek, amely eldönti, miért és hogyan történik a személyes adatok kezelése, más kötelezettségei vannak, mint annak az adatfeldolgozónak, amely dokumentált ügyfélutasítások alapján jár el. Az adatok érzékenysége szintén lényeges. A munkavállalói adatok, az ügyfélfiók-adatok, a telemetriai adatok, a pénzügyi adatok, a biometrikus azonosítás, az egészségügyi vonatkozású adatok, a szankciós átvilágítás és a bűncselekményekkel kapcsolatos adatok nem azonos kockázatot hordoznak.

Egy erős ISO 27701:2025 szerinti tesztelési program fegyelmezett hatókör-meghatározással kezdődik.

Hatókör-meghatározási kérdésVizsgálandó bizonyítékMiért fontos
Mely PII-adatkezelési tevékenységek tartoznak a hatókörbe?Adatkezelési tevékenységek nyilvántartása, adatáramlási térkép, rendszerleltár, beszállítói nyilvántartásA tesztelésnek valós adatkezelésből kell mintát vennie, nem absztrakt szabályzati állításokból
Mely PIMS-szerep alkalmazandó?Adatkezelői, adatfeldolgozói, közös adatkezelői, al-adatfeldolgozói megfeleltetésA GDPR-kötelezettségek és a PIMS-kontrollok szerepenként eltérnek
Milyen jogi, szerződéses és szabályozási kötelezettségek alkalmazandók?GDPR-értékelés, ügyfél-DPA-k, ágazati szabályok, adattovábbítási értékelésekA kontroll kialakításának a tényleges kötelezettségeket kell tükröznie
Mely rendszerek és beszállítók kezelnek PII-t?Eszköznyilvántartás, felhőleltár, adatfeldolgozói lista, hozzáférési mátrixA működési tesztekhez technikai és harmadik féltől származó bizonyítékok szükségesek
Mely változások érintik a PII-adatkezelést?Termékváltozási bejegyzések, DPIA-kiváltó események, kiadási megjegyzések, architektúra-felülvizsgálatokA beépített adatvédelmet az éles indulás előtt kell tesztelni, nem a panaszok után

Az ISO/IEC 27001:2022 ezt az integrált megközelítést a szervezeti környezetre, az érdekelt felek követelményeire, a jogi és szerződéses kötelezettségekre, az irányítási rendszer alkalmazási területére, a működéstervezésre és -szabályozásra, valamint a kockázatkezelésre vonatkozó követelményein keresztül támogatja. Adatvédelmi szempontból ez azt jelenti, hogy a PII-adatkezelés nem lehet elszigetelt táblázat. Az ISMS és a PIMS működési modelljének részévé kell válnia.

A Privacy Information Management System Policy az adatvédelmi tesztelést közvetlenül az irányításhoz kapcsolja:

[Minden szervezet] A felső vezetés KÖTELES évente felülvizsgálni a REG12-ben a PIMS teljesítményét, az adatvédelmi célkitűzéseket, a nyitott kockázatokat, a meg nem feleléseket, a helyesbítő intézkedéseket és a fejlesztési döntéseket.

A „PIMS-irányítás” szakasz 6.1.1. szabályzati pontja alapján.

Ha a tesztelés adatvédelmi hiányosságot azonosít, az nem pusztán auditmegjegyzés. Olyan irányítási rendszerbemenet, amelynek hatással kell lennie a kockázatkezelésre, a prioritásokra, az erőforrásokra és a vezetői döntésekre.

Kialakítási hatékonyság és működési hatékonyság

Amikor egy ügyfél azt kérdezi, tesztelik-e az adatvédelmi kontrollokat, rendszerint a működési hatékonyságra gondol. Az auditorok ugyanakkor a kialakítási hatékonyságot is vizsgálni fogják.

A kialakítás szempontjából hatékony kontroll alkalmas a követelmény teljesítésére, ha rendeltetésszerűen működtetik. A működés szempontjából hatékony kontrollt ténylegesen és következetesen végrehajtják, és bizonyítékok támasztják alá.

KontrollterületKialakítási hatékonyság tesztjeMűködési hatékonyság tesztje
Hozzájárulás rögzítéseSzabályzat, hozzájárulási szöveg, jogalapszabályok, felhasználói felületi követelmények és visszavonási munkafolyamat ellenőrzéseHozzájárulási bejegyzések és visszavonások mintavétele, időbélyegek összevetése, a visszavonás utáni marketingtiltólista-kezelés ellenőrzése
Célhoz kötöttségRoPA, adatvédelmi tájékoztató, termékkövetelmények, hozzájárulások elkülönítése és adathasználati szabályok felülvizsgálataFelhasználói bejegyzések, naplók, exportok és analitikai adatfolyamok mintavétele annak megerősítésére, hogy a PII-t nem használják újra jogosulatlan célokra
PII-hez való hozzáférésHozzáférési szabályzat, szerepmodell, belépés–áthelyezés–kilépés eljárás és jóváhagyási munkafolyamat felülvizsgálataPII-hozzáféréssel rendelkező felhasználók mintavétele, jóváhagyás, üzleti szükséglet, MFA és legutóbbi hozzáférés-felülvizsgálat ellenőrzése
Adatfeldolgozói beléptetésÁtvilágítási szempontok, DPA-kikötések, al-adatfeldolgozói szabályok és adattovábbítási garanciák felülvizsgálataAdatfeldolgozó mintavétele, értékelés, szerződés, biztonsági felülvizsgálat és al-adatfeldolgozói felügyeleti bizonyítékok vizsgálata
Megőrzés és törlésMegőrzési ütemterv, kivételi szabályok, törlési eljárás és rendszerképesség felülvizsgálataTörölt rekordok vagy törlési kérelmek mintavétele, naplók, jegyek és adatfeldolgozói megerősítések vizsgálata
Személyes adatok megsértésének kezeléseIncidensbesorolás, adatvédelmi eszkaláció és hatósági értesítési kritériumok felülvizsgálataIncidensnyilvántartások mintavétele, triage, döntési indokolás, értesítések és tanulságok ellenőrzése

Az Audit and Compliance Monitoring Policy közvetlenül megfogalmazza a célt:

A biztonsági és adatvédelmi kontrollok hatékonyságának ellenőrzése

A „Cél” szakasz 1.1.1. szabályzati pontja alapján.

A KKV-változat ugyanazt a bizonyossági elvet működési nyelven tartja fenn. Az Audit and Compliance Monitoring Policy - SME így fogalmaz:

Ez a szabályzat meghatározza a szervezet megközelítését a belső auditok, a biztonsági kontrollfelülvizsgálatok és a megfelelőség nyomon követése tekintetében. Biztosítja, hogy valamennyi kontroll, szabályzat, rendszer és szolgáltató rendszeres és strukturált felülvizsgálat alá kerüljön.

A „Cél” szakasz 1.1. szabályzati pontja alapján.

Az ISO 27701 felkészültség nem vállalatméret kérdése. Egy 30 fős SaaS adatfeldolgozónak nem feltétlenül van szüksége ugyanarra az auditeszközkészletre, mint egy globális banknak, de továbbra is igazolnia kell, hogy a hozzáférés, a törlés, az incidenseszkaláció, az al-adatfeldolgozói irányítás és a bizonyítékok megőrzése szabályozott.

A Clarysec bizonyítéklánca: REG03, REG12, CAPA és átvizsgálás

A Clarysec az adatvédelmi kontrolltesztelést egyszerű bizonyítéklánc köré szervezi.

A REG03 meghatározza az alkalmazandó PIMS-kontrollokat és azok bevezetési állapotát. A REG12 rögzíti a mintákat, a bizonyítékokat, a megállapításokat, a visszakövethetőségi hiányosságokat, a helyesbítő intézkedések ellenőrzését és a vezetőségi átvizsgálás bemeneteit. A CAPA-bejegyzések a megállapításokat gyökérok-alapú fejlesztésekké alakítják. A felső vezetés átvizsgálja a PIMS teljesítményét, a kockázatokat, a meg nem feleléseket, a helyesbítő intézkedéseket és a fejlesztési döntéseket.

A PIMS Documented Information and Evidence Management Policy előírja a bizonyítékminőségi problémák rögzítését:

[Minden szervezet] A belső auditor / megfelelőségi felülvizsgáló KÖTELES minden ütemezett audit vagy megfelelőségi felülvizsgálat során rögzíteni a bizonyítékok teljességével, pontosságával vagy visszakövethetőségével kapcsolatos hiányosságokat a REG12-ben.

A „Bizonyítékok létrehozása, elnevezése és minősége” szakasz 4.3.4. szabályzati pontja alapján.

Ez azért fontos, mert nem minden megállapítás jelent teljes kontrollhibát. Előfordul, hogy a kontroll működött, de a bizonyíték hiányos. Előfordul, hogy egy törlési jegyet lezártak, de nincs rendszernapló, amely igazolja a törlést. Előfordul, hogy az adatkezelési tevékenységek nyilvántartása megnevezi a CRM-et, de hiányzik belőle az adattárházi export. Előfordul, hogy a beszállítói szerződés megvan, de a folyamatos nyomon követés hiányzik.

Az Audit and Compliance Monitoring Policy strukturált belső auditokat is előír:

A belső auditokat dokumentált eljárás szerint kell végrehajtani, amely tartalmazza:

A „Szabályzat végrehajtási követelményei” szakasz 6.1.1. szabályzati pontja alapján.

Megállapítások esetén pedig:

Minden megállapításnak dokumentált CAPA-t kell eredményeznie, amely tartalmazza:

A „Szabályzat végrehajtási követelményei” szakasz 6.2.1. szabályzati pontja alapján.

A Risk Management Policy - SME megerősíti a lezárási fegyelmet:

A kockázatkezelési intézkedések teljesítését és hatékonyságát ellenőrizni kell.

A „Szabályzat végrehajtási követelményei” szakasz 6.3.2. szabályzati pontja alapján.

A PIMS Monitoring, Audit and Improvement Policy zárja a kört:

[Minden szervezet] A belső auditor / megfelelőségi felülvizsgáló KÖTELES a bejelentett helyesbítő intézkedés lezárásától számított 30 napon belül ellenőrizni a helyesbítő intézkedés hatékonyságát a REG12-ben.

A „Meg nem felelés és helyesbítő intézkedés” szakasz 4.4.7. szabályzati pontja alapján.

Ez a különbség egy jegy kijavítása és egy irányítási rendszer fejlesztése között.

1. gyakorlati teszt: törlési kérelmek és GDPR szerinti elszámoltathatóság

A törlési kérelmek az egyik legegyértelműbb módját adják annak tesztelésére, hogy az adatvédelmi elszámoltathatóság a gyakorlatban működik-e.

Tegyük fel, hogy egy középvállalati SaaS cég adatkezelőként és adatfeldolgozóként is eljár. Munkavállalói, marketing- és számlázási adatokat kezel. Vállalati ügyfelek nevében ügyfélvégi felhasználói adatokat dolgoz fel. A szervezet tesztelni kívánja, hogy a törlési kontrollok készen állnak-e az ISO 27701:2025 auditra és a GDPR szerinti ügyfélbizonyosságra.

1. lépés: Az adatkezelési tevékenység kiválasztása a REG03-ból

Válasszon olyan adatkezelési tevékenységet, amely valós adatvédelmi kockázattal jár, például: „SaaS platformon kezelt ügyfélvégi felhasználói profiladatok”. Erősítse meg, hogy a szervezet adatkezelőként, adatfeldolgozóként vagy mindkét szerepben jár-e el. Azonosítsa a kapcsolódó kontrollokat a joggyakorlási kérelmek kezelése, az adatfeldolgozói utasítások ellenőrzése, a megőrzés, a törlés, a hozzáférés-szabályozás, a naplózás, a biztonsági mentések kezelése és a beszállítói koordináció területén.

2. lépés: Pontos tesztcél meghatározása

A hasznos tesztcél konkrét és bizonyítékalapú:

„Annak ellenőrzése, hogy az ügyfélvégi felhasználói profiladatokra vonatkozó törlési kérelmeket fogadják, hitelesítik vagy az utasítás érvényességét ellenőrzik, a meghatározott munkafolyamat szerint végrehajtják, naplózzák, technikailag lezárják az éles rendszerekben, szükség esetén továbbvezetik az érintett al-adatfeldolgozók felé, és bizonyítékokkal alátámasztva zárják le.”

3. lépés: Reprezentatív minta kiválasztása

Válasszon ki öt törlési kérelmet az előző negyedévből. Legyen köztük egy rutinkérelem, egy ügyféladminisztrátort érintő kérelem, egy adatfeldolgozói utasításon alapuló kérelem, egy megőrzési kivétellel érintett kérelem, valamint egy olyan kérelem, amely a biztonsági mentések kezelését is érinti.

A Zenith Blueprint az Audit, Review & Improvement szakasz 26. lépésében, az audit végrehajtásánál hangsúlyozza a mintavételt és a bizonyítékgyűjtést:

✓ Interjú készítése az érintett munkatársakkal: Kérje meg a folyamatokért felelős személyeket, hogy magyarázzák el, hogyan teljesítik a követelményeket. Például kérdezze meg a kockázattulajdonost a legutóbbi kockázatértékelésről, vagy kérdezze meg a HR-t, hogyan kapnak biztonsági képzést az új belépők (a tudatosságról szóló 6.3 kontroll lefedésére).
✓ Dokumentáció felülvizsgálata: Ellenőrizze, hogy a dokumentumok és nyilvántartások léteznek-e és naprakészek-e.
✓ Gyakorlatok megfigyelése: Ha lehetséges, végezzen közvetlen megfigyelést.
✓ Mintavétel és szúrópróbaszerű ellenőrzés: Nem lehet mindent ellenőrizni, ezért használjon mintavételt.

Az Audit, Review & Improvement szakasz 26. lépése: Audit Execution (belső audit végrehajtása) alapján.

4. lépés: Bizonyítékok vizsgálata minden mintára

Minden mintába vett kérelemhez gyűjtse össze a beérkezési jegyet, a szerepbesorolást, az identitás-ellenőrzést vagy ügyfélengedélyezést, a rendszer törlési naplóját, a megőrzési kivételről szóló döntést, a biztonsági mentések kezelésének magyarázatát, az al-adatfeldolgozói értesítést, a lezáró kommunikációt, az időbélyegeket és a felülvizsgálói jóváhagyást.

5. lépés: Eredmények rögzítése a REG12-ben

Rögzítse a mintát, a bizonyítékforrást, a kontrolleredményt, a kivételt és a visszakövethetőségi hiányosságot a REG12-ben. Ha a törlés megtörtént, de nem létezik éles rendszernapló, a kontroll működhetett, de a bizonyíték gyenge. Ha a kérelem azért késett, mert a beszállítói felelősség nem volt egyértelmű, a megállapítás harmadik féllel kapcsolatos irányítást és szerződésesen továbbadott követelményeket érinthet.

6. lépés: CAPA létrehozása és a hatékonyság ellenőrzése

Ha a gyökérok a támogatás, a jogi terület és a mérnöki csapat közötti felelősségi bizonytalanság, a CAPA tartalmazhat felülvizsgált munkafolyamatot, frissített RACI-t, kötelező bizonyítékmezőket és havi törlési mintavételes ellenőrzéseket.

A Zenith Blueprint az Audit, Review & Improvement szakasz 29. lépésében ismerteti a lezárási elvárást:

Tervezze meg, hogyan fogja ellenőrizni az egyes helyesbítő intézkedések hatékonyságát. Ez jelenthet utóellenőrzési auditot vagy ellenőrzést. Ha például a helyesbítő intézkedés az volt, hogy az IT-munkatársakat hozzáférés-szabályozásra képezték, egy hónap múlva tervezheti az új fiókok felülvizsgálatát annak ellenőrzésére, hogy mindegyik rendelkezik-e megfelelő jóváhagyással.

Az Audit, Review & Improvement szakasz 29. lépése: Continual Improvement (helyesbítő intézkedések és tanulságok) alapján.

Törlés esetén az ellenőrzés azt jelentheti, hogy a felülvizsgált munkafolyamat éles indulása után mintát vesznek a következő öt törlési kérelemből. A CAPA csak ezt követően zárható le.

2. gyakorlati teszt: célhoz kötöttség és adattakarékosság

A második nagy értékű teszt a célhoz kötöttség vizsgálata. Ez különösen hasznos ügyfél-átvilágítás, analitikai bevezetés, AI-alapú gazdagítás, adattárház-bővítés vagy marketingautomatizálási változtatás előtt.

Maria SaaS platformja ügyfél-felhasználói adatokat gyűjt a szolgáltatásnyújtás céljából. A kontrollcél annak biztosítása, hogy a PII-t kizárólag meghatározott és jogszerű célokra használják, és ne használják fel újra marketinganalitikára, kivéve, ha a felhasználó – ahol szükséges – kifejezett és külön hozzájárulást adott.

BizonyítéktípusKonkrét artefaktumok
DokumentációData Protection and Privacy Policy, RoPA, ügyfél-DPA, adatvédelmi tájékoztatók, hozzájárulás-kezelési nyilvántartások
Technikai konfigurációAlkalmazási adatkezelési szabályok, adatbázissémák, API-konfigurációk, ETL-feladatbeállítások
Naplók és nyilvántartásokAlkalmazás-hozzáférési naplók, adatbázislekérdezési naplók, hozzájárulási változáselőzmények, kampányexport-bejegyzések
Személyi bizonyítékokInterjúk a terméktulajdonossal, vezető fejlesztővel, adatbázis-adminisztrátorral és adatvédelmi felelőssel

Egy erős működési teszt nem áll meg a szabályzatnál. Mintát vesz a marketinghez hozzájáruló és nem hozzájáruló felhasználókból. Visszaköveti, hogy a hozzájárulási állapot helyesen tükröződik-e a központi alkalmazásadatbázisokban, az adattárházi táblákban, a kampányeszközökben, az irányítópultokon és az exportokban. Ha a marketing célközönségben olyan felhasználók jelennek meg, akik nem járultak hozzá, a szervezetnél konkrét meg nem felelés áll fenn.

A KKV-k számára készült Audit and Compliance Monitoring Policy megfelelő szemléletet ad egy technikai tesztelési példán keresztül:

Technikai kontrollok ellenőrzése (pl. biztonsági mentés állapota, hozzáférés-szabályozási konfiguráció, javítási bejegyzések)

A „Szabályzat végrehajtási követelményei” szakasz 6.1.1.2. szabályzati pontja alapján.

Adatvédelmi területen a technikai kontrollok ellenőrzése magában foglalja a hozzájárulás-szinkronizáció ellenőrzéseit, a hozzáférés-szabályozási exportokat, a törlési naplókat, a titkosítási beállításokat, az adatmaszkolási teszteket, a DLP-riasztásokat, a biztonsági mentési korlátokat, a megfigyelési eseményeket és a beszállítói bizonyítékokat.

Az adatvédelmi tesztelés megfeleltetése az ISO/IEC 27001:2022-nek és a Clarysec több keretrendszert átfogó megfelelési modelljének

Az adatvédelmi kontrollok nem elszigetelten működnek. A PII védelme az eszköznyilvántartástól, az osztályozástól, a hozzáférés-szabályozástól, a felhőirányítástól, az adatmaszkolástól, az információtovábbítástól, a naplózástól, a felügyelettől, a törléstől, a nyilvántartások védelmétől, a beszállítói felügyelettől és a független felülvizsgálattól függ.

A Zenith Controls: The Cross-Compliance Guide az ISO/IEC 27001:2022 Annex A 5.34 kontrollját – Privacy and protection of PII – megelőző kontrollként térképezi fel, amely összhangban áll a bizalmasság, sértetlenség és rendelkezésre állás követelményeivel, az Identify és Protect kiberbiztonsági koncepciókkal, valamint az információvédelemhez és a jogi és megfelelőségi területhez kapcsolódó működési képességekkel.

Kapcsolata a leltárral közvetlen:

Az információs vagyon leltárának (5.9) tartalmaznia kell a PII-adatkészleteket (ügyfél-adatbázisok, HR-állományok). Ez támogatja az 5.34 kontrollt azáltal, hogy biztosítja: a szervezet tudja, milyen PII-vel rendelkezik és az hol található, ami a védelem első lépése.

A Zenith Controls, Privacy and Protection of PII, 5.34 kontroll alapján.

Audittesztelésnél ez azt jelenti, hogy az adatvédelmi auditornak nem kizárólag az adatvédelmi tájékoztatóval kell kezdenie. A PII-leltárral, az adatkezelési tevékenységek nyilvántartásával, az adatáramlásokkal, az eszköznyilvántartással és a beszállítói leltárral kell kezdenie. Ha a leltár hiányos, a downstream adatvédelmi kontrollok nem lehetnek teljes mértékben megbízhatók.

Az útmutató az ISO/IEC 27001:2022 Annex A 5.34 kontrollját olyan kapcsolódó kontrollokhoz is megfelelteti, mint az 5.9 Inventory of information and other associated assets, az 5.12 Classification of information, az 5.14 Information transfer, az 5.15 Access control, az 5.16 Identity management, az 5.23 Information security for use of cloud services, az 5.33 Protection of records, a 8.11 Data masking, a 8.12 Data leakage prevention és a 8.10 Information deletion.

Két további ISO/IEC 27001:2022 Annex A kontroll különösen releváns:

ISO/IEC 27001:2022 kontrollAdatvédelmi tesztelési relevanciaPéldabizonyíték
5.34 Privacy and protection of PIIMegerősíti, hogy az adatvédelmi és PII-védelmi követelményeket jogszabályok, szabályozások és szerződések alapján vezették beAdatkezelési tevékenységek nyilvántartása, DPIA-k, jogalap-nyilvántartások, DSR-bizonyítékok, megőrzési naplók
5.35 Independent review of information securityObjektív ellenőrzést biztosít arra, hogy a biztonsági intézkedéseket, beleértve az adatvédelmi szempontból releváns kontrollokat is, függetlenül felülvizsgáljákBelső auditjelentések, külső felülvizsgálati eredmények, REG12 minták, CAPA-bejegyzések
5.36 Compliance with policies, rules and standards for information securityMegerősíti a belső szabályoknak és szabványoknak való folyamatos megfeleléstSzabályzatmegfelelőségi felülvizsgálatok, hozzáférési ellenőrzések, felügyeleti eredmények, kivételi naplók

A Data Protection and Privacy Policy előírja:

Belső adatvédelmi megfelelőségi auditot évente, illetve jelentős szervezeti vagy szabályozói változások esetén kell lefolytatni. Az audit hatókörének tartalmaznia kell:

Az „Irányítási követelmények” szakasz 5.4. szabályzati pontja alapján.

Továbbá tartalmazza:

A technikai és szervezeti intézkedések hatékonysága

Az „Irányítási követelmények” szakasz 5.4.1. szabályzati pontja alapján.

A Data Protection and Privacy Policy - SME ugyanezt az elvárást gyakorlati szinten tartja fenn:

Rendszeres adatvédelmi auditokat vagy kontrollellenőrzéseket kell végezni és naplózni

Az „Irányítási követelmények” szakasz 5.3.3. szabályzati pontja alapján.

Miért vált a GDPR szerinti elszámoltathatóság kiberirányítási kérdéssé?

Adatvédelmi bizonyítékokat már nem csak adatvédelmi auditorok kérnek. Ugyanazt az igazolást kérheti ISO 27701:2025 auditor, ISO/IEC 27001:2022 auditor, GDPR-felülvizsgáló, NIS2 illetékes hatóság, DORA hatálya alá tartozó ügyfél, NIST CSF értékelő vagy az igazgatóság kockázati bizottsága is.

A NIS2 Article 21 előírja, hogy az alapvető és fontos szervezetek megfelelő és arányos technikai, működési és szervezeti intézkedéseket vezessenek be a kiberbiztonsági kockázatkezeléshez. Az Article 21(2)(f) kifejezetten tartalmazza a kiberbiztonsági kockázatkezelési intézkedések hatékonyságának értékelésére szolgáló szabályzatokat és eljárásokat. A NIS2 a vezető testületeket is felelőssé teszi a kiberbiztonsági kockázatkezelési intézkedések jóváhagyásáért és felügyeletéért.

A DORA 2025. január 17-től alkalmazandó a pénzügyi szervezetekre, és részletes digitális működési reziliencia szabálykönyvet határoz meg. Előírja az IKT-kockázatkezelést, a vezető testületi felügyeletet, a belső auditot, a kritikus megállapítások helyesbítését, az incidensek osztályozását és jelentését, a rezilienciatesztelést, a harmadik fél IKT-kockázatkezelését, a szerződéses kontrollokat, az IKT-szolgáltatási megállapodások nyilvántartását és a kilépési stratégiákat. A pénzügyi szervezeteket kiszolgáló IKT-szolgáltatóknak ügyfélbizonyossági folyamatokon keresztül DORA-alapú bizonyítékkérésekre kell számítaniuk.

A NIST CSF 2.0 hasznos fordítási réteget biztosít. GOVERN funkciója elvárja, hogy a szervezetek megértsék az érdekelt felek elvárásait, a függőségeket, valamint a jogi, szabályozói, szerződéses, adatvédelmi és polgári szabadságjogi kötelezettségeket. A Profiles megközelítés segít összehasonlítani a jelenlegi eredményeket a célzott eredményekkel, azonosítani a hiányosságokat és priorizálni az intézkedési terveket.

Követelményi nyomásMit kell előállítania az adatvédelmi kontrolltesztelésnekClarysec hivatkozási pont
GDPR szerinti elszámoltathatóságBizonyítékok arra, hogy az alapelvek, a jogalap, a jogok, a biztonság, a megőrzés és az adatfeldolgozói kötelezettségek bizonyíthatóan teljesülnekPIMS szabályzatok, REG03, REG12, CAPA
ISO 27701:2025 felkészültségTesztelt PIMS-kontrollok, szerepalapú alkalmazhatóság, bizonyítékminőség, belső audit, vezetőségi átvizsgálásPIMS Monitoring, Audit and Improvement Policy
ISO/IEC 27001:2022 bizonyosságKockázatkezelési visszakövethetőség, SoA-indokolás, működésirányítás, audit, átvizsgálás, fejlesztésZenith Blueprint, Zenith Controls cross-compliance guide
NIS2 irányításHatékonyságértékelés, incidenskezelésre való felkészültség, beszállítói kontrollok, vezetőségi felügyeletISO/IEC 27001:2022 Annex A 5.35 és 5.36 kontrollok megfeleltetése
DORA-bizonyosságIKT-kontrolltesztelés, rezilienciatesztelés, harmadik féltől származó bizonyítékok, incidenséletciklus-nyilvántartásokTöbb keretrendszerhez megfeleltetett auditbizonyíték-modell
NIST CSF 2.0Jelenlegi profil, célprofil, hiányelemzés, priorizált fejlesztésZenith Blueprint 24., 26. és 29. lépés

A Zenith Blueprint a 24. lépésben megerősíti a visszakövethetőséget:

Az SoA-nak összhangban kell állnia a kockázati nyilvántartással és a kockázatkezelési tervvel. Ellenőrizze még egyszer, hogy minden kontroll, amelyet kockázatkezelésként választott, „Alkalmazandó” státusszal szerepel-e az SoA-ban. Fordítva: ha egy kontroll „Alkalmazandó” státusszal szerepel az SoA-ban, rendelkeznie kell hozzá indokolással – ez általában megfeleltetett kockázat, jogi/szabályozói követelmény vagy üzleti igény.

Az Audit, Review & Improvement szakasz 24. lépése: Audit, Review & Improvement alapján.

Az adatvédelmi kontrolltesztelésnél ugyanez az elv vonatkozik a PIMS-alkalmazhatóságra. Minden alkalmazandó adatvédelmi kontrollnak visszakövethetőnek kell lennie egy adatkezelési kockázatra, jogi kötelezettségre, ügyfélkövetelményre vagy üzleti igényre. Minden tesztnek vissza kell vezetnie az adott kontrollhoz.

Hogyan ítélik meg a különböző auditorok ugyanazt a kontrollt?

Egy erős adatvédelmi tesztelési program előre számol az auditor nézőpontjával. Ugyanazt a törlési kontrollt, hozzáférés-szabályozást vagy adatfeldolgozói beléptetési kontrollt a felülvizsgálati kontextustól függően eltérően értelmezik.

Auditori nézőpontValószínű auditkérdésElvárt bizonyítékok
ISO 27701:2025 auditorBevezették, értékelték és fejlesztették-e a szerepalapú PIMS-kontrollokat?REG03 alkalmazhatóság, REG12 minták, adatkezelési tevékenységek nyilvántartása, szabályzat-megfeleltetés, auditeredmények
ISO/IEC 27001:2022 auditorAz adatvédelmi kapcsolódású kontroll be van-e építve a kockázatkezelésbe, az SoA-ba, a működésirányításba, a belső auditba és a vezetőségi átvizsgálásba?Kockázati nyilvántartás, SoA-indokolás, kezelési terv, kontrollbizonyíték, vezetőségi átvizsgálási jegyzőkönyvek
GDPR-felülvizsgálóAz adatkezelő képes-e igazolni a GDPR alapelveinek és kötelezettségeinek való megfelelést?Jogalap, tájékoztatók, DSR-naplók, DPIA-k, szerződések, adatsértési nyilvántartások, megőrzési bizonyítékok
NIST CSF értékelőIsmeri-e a szervezet a kötelezettségeit, meghatározza-e a célzott eredményeket, méri-e a hiányosságokat és fejleszt-e?Jelenlegi profil és célprofil, hiányossági terv, kockázati priorizálás, irányítási nyilvántartások
DORA-orientált ügyfél vagy szabályozóTesztelik-e az IKT-kontrollokat, osztályozzák-e az incidenseket, felügyelik-e a beszállítókat, és reziliensek-e a kritikus szolgáltatások?Tesztelési program, incidensnyilvántartások, beszállítói nyilvántartás, szerződések, kilépési tervek
ISACA vagy COBIT 2019 jellegű auditorHatékonyak-e a célkitűzések, a felelősségek, a mutatók, a problémalezárás és az irányítási felügyelet?RACI, KPI-k, problémanyilvántartások, CAPA-ellenőrzés, vezetőségi jelentéstétel

Ezért olyan értékes a REG12. Az adatvédelmi megfelelést auditálható irányítási bizonyítékká alakítja.

Gyakori megállapítások PIMS-kontrolltesztelés során

A Clarysec rendszeresen ugyanazokat az adatvédelmi auditmegállapításokat látja azoknál a szervezeteknél, amelyek ISO 27701:2025 tanúsításra, GDPR szerinti ügyfélbizonyosságra vagy vállalati átvilágításra készülnek.

Az adatkezelési tevékenységek nyilvántartása nem tükrözi a rendszerek valóságát

Az adatkezelési tevékenységek nyilvántartása CRM- és támogatási platformokat sorol fel, de a mérnökök analitikai exportokat, megfigyelhetőségi naplókat, AI-eszközöket és adattárházi táblákat adtak hozzá.

Tesztválasz: vegyen mintát az eszköznyilvántartásban és a felhőleltárban szereplő rendszerekből, majd egyeztesse őket az adatkezelési tevékenységek nyilvántartásával. Auditindokolásként használja az ISO/IEC 27001:2022 Annex A 5.9 és 5.34 kontrollok közötti kapcsolatot.

A PII-hozzáférés jóváhagyott, de nincs időszakos felülvizsgálat

A kezdeti jóváhagyások megvannak, de az emelt jogosultságú hozzáférések felülvizsgálata nem terjed ki a támogatási megszemélyesítő eszközökre, az éles adatbázisokra, a BI-irányítópultokra vagy a vészhelyzeti fiókokra.

Tesztválasz: vegyen mintát PII-hozzáféréssel rendelkező aktív felhasználókból, és hasonlítsa össze a szerepet, az üzleti szükségletet, a jóváhagyást, az MFA-állapotot, az utolsó bejelentkezést és a felülvizsgálati bizonyítékokat.

Az adatfeldolgozói szerződések megvannak, de a nyomon követés gyenge

A DPA aláírásra került, de a beszállítói kérdőív régi. Senki sem vizsgálta felül az al-adatfeldolgozói változásokat, az adatok helyét, a biztonsági helyzetet vagy az incidensbejelentési kötelezettségeket.

Tesztválasz: vegyen mintát kritikus adatfeldolgozókból, és vizsgálja meg az átvilágítást, a szerződéses kikötéseket, az al-adatfeldolgozói változásokat, az adattovábbítási garanciákat és a nyomonkövetési nyilvántartásokat. Ez támogatja a GDPR-t, a NIS2 ellátási lánccal kapcsolatos elvárásait és a DORA harmadik fél kockázataira vonatkozó elvárásait.

Az incidenskezelés létezik, de az adatvédelmi besorolás nem következetes

A biztonsági incidenseket naplózzák, de az adatvédelmi hatást nem mindig értékelik. A GDPR szerinti, személyes adatok megsértésére vonatkozó kritériumokat nem dokumentálják következetesen. Az ügyfélértesítési kötelezettségeket informálisan kezelik.

Tesztválasz: vegyen mintát adatkitettéggel járó incidensekből, és vizsgálja meg a besorolást, az adatvédelmi eszkalációt, a jogi felülvizsgálatot, az értesítési döntéseket, a bizonyítékok megőrzését, a gyökérokot és a tanulságokat.

A CAPA hatékonyságellenőrzés nélkül zárul le

Egy eljárást frissítenek, és a megállapítást lezárják. Senki sem teszteli, hogy a következő minta javult-e.

Tesztválasz: ellenőrizze a helyesbítő intézkedés hatékonyságát a REG12-ben a bejelentett lezárástól számított 30 napon belül, ahogy azt a PIMS Monitoring, Audit and Improvement Policy előírja.

90 napos adatvédelmi kontrolltesztelési sprint

Az ISO 27701:2025 felkészültség, az ügyfél-átvilágítás vagy a GDPR szerinti elszámoltathatósági felülvizsgálat felé haladó szervezetek számára a Clarysec fókuszált, 90 napos sprintet javasol.

IdőszakFókuszKimenetek
1–15. napHatókör és bizonyítékmodellPIMS-szerepek, adatkezelési tevékenységek nyilvántartása, REG03 alkalmazhatóság, prioritást élvező kockázatok, jogi kötelezettségek, beszállítói függőségek, bizonyíték-elnevezési szabályok
16–35. napKialakítás teszteléseSzabályzat-felülvizsgálat, RACI, adatvédelmi tájékoztatók, jogalap, DPIA-kiváltó események, DSR-munkafolyamatok, incidensbesorolás, megőrzési ütemtervek, beszállítói kontrollok
36–65. napMűködés teszteléseMinták hozzáféréshez, törléshez, incidensekhez, adatfeldolgozókhoz, adattovábbításokhoz, megőrzéshez, képzéshez, technikai felügyelethez, REG12-bizonyítékok
66–80. napCAPA és kockázatkezelésGyökérok, helyesbítő intézkedés, felelős, határidő, maradványkockázat, ellenőrzési módszer
81–90. napVezetőségi átvizsgálásra való felkészültségPIMS-teljesítménycsomag, célkitűzések, nyitott kockázatok, meg nem felelések, helyesbítő intézkedések, beszállítói problémák, fejlesztési döntések

A sprint végére a szervezetnek képesnek kell lennie megválaszolni azokat a kérdéseket, amelyeket az auditorok ténylegesen feltesznek:

  • Milyen PII-t kezelnek?
  • Milyen szerepben?
  • Mely kontrollok alkalmazandók?
  • Miért alkalmazandók?
  • Milyen bizonyíték igazolja, hogy bevezették őket?
  • Milyen minta igazolja, hogy működnek?
  • Milyen hiányosságokat találtak?
  • Milyen helyesbítő intézkedéseket tettek?
  • Ki ellenőrizte a hatékonyságot?
  • Mit vizsgált át és miről döntött a felső vezetés?

Papíralapú adatvédelemből bizonyítható elszámoltathatóság

Az ISO 27701 tanúsítvány értékes, de nem végállomás. Az ügyfelek, felügyeleti hatóságok, igazgatóságok és auditorok egyre inkább azt várják el, hogy bizonyítható legyen: az adatvédelmi kontrollokat megtervezték, bevezették, felügyelik, javítják és irányítják.

Az adatvédelmi megfelelés akkor bukik el, ha dokumentációs projektként kezelik. Akkor állja ki a vizsgálatot, ha tesztelt bizonyítékrendszerré válik.

A Clarysec segít a szervezeteknek az állított megfeleléstől a bizonyítható elszámoltathatóságig eljutni azáltal, hogy a PIMS-szabályzatokat, a REG03 alkalmazhatóságot, a REG12 bizonyítékmintákat, a CAPA-ellenőrzést, a vezetőségi átvizsgálást és a keretrendszerek közötti megfeleltetést összekapcsolja a Zenith Blueprint: An Auditor’s 30-Step Roadmap és a Zenith Controls: The Cross-Compliance Guide segítségével.

Ha szervezete ISO 27701:2025 tanúsításra, GDPR szerinti elszámoltathatósági felülvizsgálatra, ügyfél-adatvédelmi bizonyosságra, NIS2 irányítási bizonyítékokra vagy DORA-alapú beszállítói átvilágításra készül, kezdje fókuszált adatvédelmi kontrolltesztelési műhellyel.

A Clarysec segíthet a REG03 alkalmazhatóság feltérképezésében, a REG12 auditminták kialakításában, a prioritást élvező PIMS-kontrollok tesztelésében, a megállapítások CAPA-hoz igazításában, valamint olyan vezetőségi átvizsgálási kimenetek előkészítésében, amelyek ellenállnak a vizsgálatnak.

A következő adatvédelmi audit ne képernyőképek utáni kapkodás legyen. Legyen magabiztos bemutatása annak, hogy az adatvédelem működik, bizonyítékokkal alátámasztott, felülvizsgált és folyamatosan fejlesztett.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article