⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

ISO 27701 privatumo kontrolės priemonių testavimas GDPR atskaitomybei pagrįsti

Igor Petreski

Penktadienio privatumo auditas, atskleidęs tikrąją problemą

Penktadienį 15:40 Maria, sparčiai augančios SaaS įmonės CISO, prisijungia prie vaizdo skambučio su didelės įmonės potencialaus kliento vyriausiuoju pirkimų pareigūnu.

Jos komanda kelis mėnesius dirbo prie privatumo informacijos valdymo sistemos. Politikos patvirtintos. Tvarkymo veiklos registras parengtas. Įmonė turi pasirengimo ISO 27701 planą. Duomenų apsaugos pareigūnas turi duomenų subjektų prašymų darbo eigas. Teisės komanda atnaujino duomenų tvarkymo sutartis. Inžinerijos komanda teigia, kad prieiga prie produkcinės aplinkos yra ribojama.

Pirkimų pareigūnas pradeda mandagiai, bet tiesiai.

„Ačiū už dokumentaciją, Maria. Sertifikatas ir politikų paketas yra gera pradžia. Mūsų deramo patikrinimo komanda kitą mėnesį atvyks į vietą. Jie norės pamatyti jūsų DSAR procesą veikiantį praktikoje, patikrinti duomenų kiekio mažinimo kontrolės priemones mūsų testinėse paskyrose, peržiūrėti produkcinės aplinkos prieigos žurnalus ir įvertinti įrodymus, kad privatumo kontrolės priemonės yra testuojamos, o ne tik dokumentuotos.“

Per kelias minutes Maria gauna dar dvi žinutes.

Duomenų apsaugos pareigūnas klausia, ar nauja analitikos funkcija įtraukta į tvarkymo veiklos registrą, teisinio pagrindo vertinimą, saugojimo terminų grafiką ir duomenų tvarkytojo tolesnio perdavimo prievoles.

Atitikties vadovas klausia, ar ISO 27701:2025 pasirengimo peržiūra gali įrodyti, kad PIMS kontrolės priemonės veikia veiksmingai.

Būtent šiuo momentu daugelis privatumo programų susvyruoja. Organizacija turi privatumo dokumentus, bet neturi privatumo įrodymų. Ji turi darbo eigas, bet neturi imtimis pagrįstų įrodymų. Ji turi sutartis, bet silpnus stebėsenos įrašus. Ji pasitiki savo vidiniu vertinimu, bet neturi dokumentuoto audito pėdsako.

Ši spraga skiria popierinę atitiktį nuo įrodomos atskaitomybės.

GDPR šią problemą įvardija aiškiai. Duomenų valdytojas atsako už duomenų apsaugos principų laikymąsi ir turi gebėti tai įrodyti. Asmens duomenys turi būti tvarkomi teisėtai, sąžiningai, skaidriai, apibrėžtais tikslais, tik tiek, kiek būtina, tiksliai, saugomi tik tiek, kiek reikia, ir apsaugomi tinkamomis techninėmis bei organizacinėmis priemonėmis.

ISO 27701:2025 organizacijoms suteikia privatumo valdymo struktūrą. ISO/IEC 27001:2022 suteikia ISVS pagrindą taikymo sričiai, rizikos tvarkymui, veiklos kontrolei, vidaus auditui, vadovybės peržiūrai ir nuolatiniam gerinimui. GDPR nustato teisinę atskaitomybės naštą. NIS2, DORA, NIST CSF 2.0, COBIT 2019 tipo patikinimas ir klientų saugumo peržiūros didina spaudimą įrodyti, kad kontrolės priemonės veikia.

Clarysec požiūris paprastas: privatumo kontrolės priemonių testavimas neturi būti kasmetinis ekrano kopijų rinkimo chaosas. Tai turi būti PIMS įrodymų sistema, kuri tvarkymo veiklas, taikomas kontrolės priemones, rizikas, imtis, technines patikras, išvadas, CAPA ir vadovybės peržiūrą susieja į vieną atsekamą modelį.

Būtent tada Clarysec PIMS politikų rinkinys, Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas ir Zenith Controls: kelių atitikties sistemų vadovas tampa veiklos priemonėmis, o ne lentynoje laikoma medžiaga.

Privatumo kontrolės priemonių testavimas yra tiltas tarp politikos ir atskaitomybės

Privatumo kontrolės priemonės testas atsako į tris praktinius klausimus:

  1. Ar kontrolės priemonė suprojektuota taip, kad įvykdytų privatumo pareigą arba sumažintų privatumo riziką?
  2. Ar kontrolės priemonė įgyvendinta atitinkamame procese, sistemoje, komandoje, tiekėjo aplinkoje arba produkto darbo eigoje?
  3. Ar kontrolės priemonė laikui bėgant veikia veiksmingai ir ar yra įrodymų, kurie tenkintų auditorių, klientą, priežiūros instituciją arba valdybos komitetą?

SaaS įmonė gali teigti, kad palaiko ištrynimo prašymus. Projektavimo testas tikrina, ar apibrėžta ištrynimo politika, tapatybės patikrinimo procesas, atsakomybės modelis, duomenų tvarkytojų koordinavimas, saugojimo išimtys ir atsarginių kopijų tvarkymas. Veikimo veiksmingumo testas ima užbaigtų ištrynimo prašymų imtis, lygina laiko žymas, tikrina patvirtinimus, peržiūri sistemų žurnalus, patikrina paskesnių duomenų tvarkytojų pranešimus ir patvirtina uždarymo įrodymus.

PIMS stebėsenos, audito ir tobulinimo politika tai paverčia audituojamu reikalavimu:

[Abiem atvejais] Vidaus audito / atitikties peržiūros vykdytojas PRIVALO kiekvieno PIMS audito metu testuoti taikomų PIMS kontrolės priemonių įgyvendinimo būseną pagal REG03.

Iš skyriaus „PIMS vidaus audito programa“, politikos 4.2.5 punktas.

Ši frazė – „pagal REG03“ – yra esminė. Testavimas nėra laisvos formos interviu. REG03 veikia kaip PIMS kontrolės priemonių taikomumo ir įgyvendinimo atskaitos šaltinis. Jis parodo, kas taikoma, kodėl taikoma ir kokie įrodymai turi būti pateikiami.

Ta pati politika papildomai nustato:

[Abiem atvejais] Vidaus audito / atitikties peržiūros vykdytojas PRIVALO kiekvieno PIMS audito metu REG12 užregistruoti pasirinktą AII tvarkymo įrodymų imtį.

Iš skyriaus „PIMS vidaus audito programa“, politikos 4.2.6 punktas.

Tai yra ISO 27701:2025 privatumo kontrolės priemonių testavimo esmė. PIMS auditas be imties yra pokalbis. PIMS auditas su pasirinktais įrodymais, kontrolės priemonių susiejimu, išimtimis, korekciniais veiksmais ir vadovybės peržiūros atsekamumu yra atskaitomybė.

Pradėkite nuo taikymo srities, vaidmens ir realaus tvarkymo

Dauguma silpnų privatumo auditų žlunga dar iki testavimo pradžios. Jie pasirenka bendrines kontrolės priemones nepatvirtinę, kokie asmens duomenys tvarkomi, kur jie yra, kurios sistemos ir tiekėjai juos liečia ir ar organizacija veikia kaip duomenų valdytojas, duomenų tvarkytojas, bendras duomenų valdytojas ar subtvarkytojas.

GDPR pareigos labai priklauso nuo vaidmens. Duomenų valdytojas, sprendžiantis, kodėl ir kaip tvarkomi asmens duomenys, turi kitokias pareigas nei duomenų tvarkytojas, veikiantis pagal dokumentuotus kliento nurodymus. Duomenų jautrumas taip pat svarbus. Darbuotojų duomenys, klientų paskyrų duomenys, telemetrija, finansiniai duomenys, biometrinis patikrinimas, su sveikata susiję duomenys, sankcijų patikros ir su nusikalstamomis veikomis susiję duomenys nekelia vienodos rizikos.

Stipri ISO 27701:2025 testavimo programa prasideda nuo taikymo srities disciplinos.

Taikymo srities klausimasTikrintini įrodymaiKodėl tai svarbu
Kokios AII tvarkymo veiklos patenka į taikymo sritį?Tvarkymo veiklos registras, duomenų srautų žemėlapis, sistemų inventorius, tiekėjų registrasTestavimas turi apimti realaus tvarkymo imtis, o ne abstrakčius politikos teiginius
Koks PIMS vaidmuo taikomas?Duomenų valdytojo, duomenų tvarkytojo, bendro duomenų valdytojo ir subtvarkytojo vaidmenų susiejimasGDPR pareigos ir PIMS kontrolės priemonės skiriasi pagal vaidmenį
Kokios teisinės, sutartinės ir reguliacinės pareigos taikomos?GDPR vertinimas, klientų duomenų tvarkymo sutartys, sektoriaus taisyklės, perdavimo vertinimaiKontrolės priemonių projektavimas turi atitikti faktines pareigas
Kurios sistemos ir tiekėjai tvarko AII?Turto inventorius, debesijos išteklių inventorius, duomenų tvarkytojų sąrašas, prieigos matricaVeikimo testams reikia techninių ir trečiųjų šalių įrodymų
Kokie pakeitimai veikia AII tvarkymą?Produkto pakeitimų įrašai, DPIA inicijavimo kriterijai, išleidimo pastabos, architektūros peržiūrosPrivatumas pagal projektavimą turi būti testuojamas prieš paleidimą, o ne po skundų

ISO/IEC 27001:2022 šį integruotą požiūrį palaiko per reikalavimus dėl organizacijos konteksto, suinteresuotųjų šalių reikalavimų, teisinių ir sutartinių pareigų, valdymo sistemos taikymo srities, veiklos planavimo ir rizikos tvarkymo. Privatumo srityje tai reiškia, kad AII tvarkymas negali likti atskiroje skaičiuoklėje. Jis turi būti ISVS ir PIMS veikimo modelio dalis.

Privatumo informacijos valdymo sistemos politika privatumo testavimą tiesiogiai susieja su valdysena:

[Visiems] Aukščiausioji vadovybė PRIVALO kasmet REG12 peržiūrėti PIMS veiklos rezultatus, privatumo tikslus, atviras rizikas, neatitiktis, korekcinius veiksmus ir tobulinimo sprendimus.

Iš skyriaus „PIMS valdysena“, politikos 6.1.1 punktas.

Jei testavimas nustato privatumo spragą, tai nėra tik audito pastaba. Tai valdymo sistemos įvestis, kuri turi daryti įtaką rizikos tvarkymui, prioritetams, ištekliams ir vadovybės sprendimams.

Projektavimo veiksmingumas ir veikimo veiksmingumas

Kai klientas klausia, ar privatumo kontrolės priemonės testuojamos, paprastai jis turi omenyje veikimo veiksmingumą. Tačiau auditoriai vertins ir projektavimo veiksmingumą.

Projektavimo požiūriu veiksminga kontrolės priemonė gali įvykdyti reikalavimą, jei ji vykdoma taip, kaip numatyta. Veikimo požiūriu veiksminga kontrolės priemonė yra faktiškai nuosekliai vykdoma ir pagrįsta įrodymais.

Kontrolės sritisProjektavimo veiksmingumo testasVeikimo veiksmingumo testas
Sutikimo surinkimasPatikrinti politiką, sutikimo tekstą, teisinio pagrindo taisykles, UI reikalavimus, sutikimo atšaukimo darbo eigąImti sutikimo įrašų ir atšaukimų imtis, lyginti laiko žymas, patikrinti slopinimą po atšaukimo
Tikslo apribojimasPeržiūrėti RoPA, privatumo pranešimą, produkto reikalavimus, sutikimų atskyrimą, duomenų naudojimo taisyklesImti naudotojų įrašų, žurnalų, eksportų ir analitikos srautų imtis, kad būtų patvirtinta, jog AII nėra pakartotinai naudojama neautorizuotiems tikslams
Prieiga prie AIIPeržiūrėti prieigos politiką, vaidmenų modelį, darbuotojų priėmimo, perkėlimo ir išėjimo procedūrą, tvirtinimo darbo eigąImti naudotojų, turinčių prieigą prie AII, imtis ir patikrinti patvirtinimą, verslo poreikį, MFA, naujausią prieigos peržiūrą
Duomenų tvarkytojo įtraukimasPeržiūrėti deramo patikrinimo kriterijus, DPA sąlygas, subtvarkytojų taisykles, duomenų perdavimo apsaugos priemonesImti duomenų tvarkytojų imtį, patikrinti vertinimą, sutartį, saugumo peržiūrą, subtvarkytojų stebėsenos įrodymus
Saugojimas ir ištrynimasPeržiūrėti saugojimo terminų grafiką, išimčių taisykles, ištrynimo procedūrą, sistemos galimybesImti ištrintų įrašų arba ištrynimo prašymų imtis, tikrinti žurnalus, užklausas, duomenų tvarkytojų patvirtinimus
Pažeidimų valdymasPeržiūrėti incidentų klasifikavimą, privatumo eskalavimą, pranešimo priežiūros institucijai kriterijusImti incidentų įrašų imtis, tikrinti triažą, sprendimo pagrindimą, pranešimus, įgytą patirtį

Audito ir atitikties stebėsenos politika tikslą įvardija tiesiogiai:

Patvirtinti saugumo ir privatumo kontrolės priemonių veiksmingumą

Iš skyriaus „Tikslas“, politikos 1.1.1 punktas.

SME versijoje tas pats patikinimo principas pateikiamas veiklos kalba. Audito ir atitikties stebėsenos politika - SME nustato:

Ši politika nustato organizacijos požiūrį į vidaus auditų, saugumo kontrolės priemonių peržiūrų ir atitikties stebėsenos vykdymą. Ji užtikrina, kad visos kontrolės priemonės, politikos, sistemos ir paslaugų teikėjai būtų reguliariai ir struktūruotai peržiūrimi.

Iš skyriaus „Tikslas“, politikos 1.1 punktas.

Pasirengimas ISO 27701 nepriklauso nuo įmonės dydžio. 30 darbuotojų SaaS duomenų tvarkytojui gali nereikėti tokių pačių audito įrankių kaip pasauliniam bankui, tačiau jis vis tiek turi įrodyti, kad prieiga, ištrynimas, incidentų eskalavimas, subtvarkytojų valdysena ir įrodymų saugojimas yra kontroliuojami.

Clarysec įrodymų grandinė: REG03, REG12, CAPA ir peržiūra

Clarysec privatumo kontrolės priemonių testavimą struktūruoja pagal paprastą įrodymų grandinę.

REG03 apibrėžia taikomas PIMS kontrolės priemones ir įgyvendinimo būseną. REG12 registruoja imtis, įrodymus, išvadas, atsekamumo spragas, korekcinių veiksmų patikrinimą ir vadovybės peržiūros įvestis. CAPA įrašai paverčia išvadas pagrindine priežastimi grindžiamais patobulinimais. Aukščiausioji vadovybė peržiūri PIMS veiklos rezultatus, rizikas, neatitiktis, korekcinius veiksmus ir tobulinimo sprendimus.

PIMS dokumentuotos informacijos ir įrodymų valdymo politika reikalauja fiksuoti įrodymų kokybės problemas:

[Visiems] Vidaus audito / atitikties peržiūros vykdytojas PRIVALO kiekvieno suplanuoto audito arba atitikties peržiūros metu REG12 užregistruoti įrodymų išsamumo, tikslumo arba atsekamumo spragas.

Iš skyriaus „Įrodymų kūrimas, pavadinimų suteikimas ir kokybė“, politikos 4.3.4 punktas.

Tai svarbu, nes ne kiekviena išvada yra visiškas kontrolės priemonės nesuveikimas. Kartais kontrolės priemonė veikė, bet įrodymai neišsamūs. Kartais ištrynimo užklausa uždaryta, bet nėra sistemos žurnalo, patvirtinančio ištrynimą. Kartais tvarkymo veiklos registre nurodytas CRM, bet praleistas duomenų saugyklos eksportas. Kartais tiekėjo sutartis yra, bet nėra nuolatinės stebėsenos.

Audito ir atitikties stebėsenos politika taip pat reikalauja struktūruotų vidaus auditų:

Vidaus auditai turi būti vykdomi pagal dokumentuotą procedūrą, įskaitant:

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos 6.1.1 punktas.

O kai nustatomos išvados:

Dėl visų išvadų turi būti parengta dokumentuota CAPA, apimanti:

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos 6.2.1 punktas.

Rizikos valdymo politika - SME sustiprina uždarymo discipliną:

Tvarkymo veiksmų užbaigimas ir veiksmingumas turi būti patikrinti.

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos 6.3.2 punktas.

PIMS stebėsenos, audito ir tobulinimo politika uždaro ciklą:

[Visiems] Vidaus audito / atitikties peržiūros vykdytojas PRIVALO per 30 dienų nuo pranešto korekcinio veiksmo uždarymo REG12 patikrinti korekcinio veiksmo veiksmingumą.

Iš skyriaus „Neatitiktis ir korekcinis veiksmas“, politikos 4.4.7 punktas.

Tai yra skirtumas tarp užklausos sutvarkymo ir valdymo sistemos pagerinimo.

Praktinis testas 1: ištrynimo prašymai ir GDPR atskaitomybė

Ištrynimo prašymai yra vienas aiškiausių būdų patikrinti, ar privatumo atskaitomybė veikia praktikoje.

Tarkime, vidutinės rinkos SaaS įmonė veikia ir kaip duomenų valdytojas, ir kaip duomenų tvarkytojas. Ji valdo darbuotojų, rinkodaros ir atsiskaitymų duomenis. Ji tvarko klientų galutinių naudotojų duomenis didelių įmonių klientų vardu. Organizacija nori patikrinti, ar ištrynimo kontrolės priemonės parengtos ISO 27701:2025 auditui ir GDPR klientų patikinimui.

1 žingsnis: pasirinkite tvarkymo veiklą iš REG03

Pasirinkite tvarkymo veiklą, kuriai būdinga reali privatumo rizika, pvz., „klientų galutinių naudotojų profilio duomenys, tvarkomi SaaS platformoje“. Patvirtinkite, ar organizacija veikia kaip duomenų valdytojas, duomenų tvarkytojas ar abu. Nustatykite susietas kontrolės priemones, susijusias su teisių įgyvendinimu, duomenų tvarkytojo nurodymų validavimu, saugojimu, ištrynimu, prieigos kontrole, žurnalavimu, atsarginių kopijų tvarkymu ir tiekėjų koordinavimu.

2 žingsnis: apibrėžkite tikslų testo tikslą

Naudingas testo tikslas yra konkretus ir grindžiamas įrodymais:

„Patikrinti, ar klientų galutinių naudotojų profilio duomenų ištrynimo prašymai yra gaunami, autentifikuojami arba validuojami pagal nurodymą, įvykdomi pagal apibrėžtą darbo eigą, registruojami žurnaluose, techniškai užbaigiami produkcinėse sistemose, kai reikia perduodami atitinkamiems subtvarkytojams ir uždaromi su įrodymais.“

3 žingsnis: paimkite reprezentatyvią imtį

Pasirinkite penkis ištrynimo prašymus iš paskutinio ketvirčio. Įtraukite vieną įprastą prašymą, vieną prašymą, susijusį su kliento administratoriumi, vieną duomenų tvarkytojo nurodymo prašymą, vieną prašymą su saugojimo išimtimi ir vieną prašymą, susijusį su atsarginių kopijų tvarkymu.

Zenith Blueprint audito, peržiūros ir tobulinimo fazės 26 žingsnyje „Audito vykdymas“ pabrėžia imčių taikymą ir įrodymų rinkimą:

✓ Apklausiamas atitinkamas personalas: paprašykite už procesus atsakingų asmenų paaiškinti, kaip jie atitinka reikalavimus. Pavyzdžiui, paklauskite rizikos savininko apie paskutinį rizikos vertinimą arba paklauskite žmogiškųjų išteklių skyriaus, kaip nauji darbuotojai mokomi saugumo (kad būtų apimta kontrolės priemonė 6.3 dėl informuotumo).
✓ Peržiūrima dokumentacija: patikrinkite, ar dokumentai ir įrašai yra ir ar jie aktualūs.
✓ Stebimos praktikos: jei įmanoma, atlikite tiesioginį stebėjimą.
✓ Imamos imtys ir atliekami atsitiktiniai patikrinimai: visko patikrinti neįmanoma, todėl taikykite imčių metodą.

Iš audito, peržiūros ir tobulinimo fazės, 26 žingsnis: audito vykdymas (vidaus audito atlikimas).

4 žingsnis: patikrinkite kiekvienos imties įrodymus

Kiekvienam atrinktam prašymui surinkite priėmimo užklausą, vaidmens klasifikavimą, tapatybės patikrinimą arba kliento autorizavimą, sistemos ištrynimo žurnalą, sprendimą dėl saugojimo išimties, atsarginių kopijų tvarkymo paaiškinimą, subtvarkytojo informavimą, uždarymo komunikaciją, laiko žymas ir peržiūrą atlikusio asmens patvirtinimą.

5 žingsnis: užregistruokite rezultatus REG12

REG12 užregistruokite imtį, įrodymų šaltinį, kontrolės priemonės rezultatą, išimtį ir atsekamumo spragą. Jei ištrynimas įvyko, bet nėra produkcinės aplinkos žurnalo, kontrolės priemonė galėjo veikti, tačiau įrodymai yra silpni. Jei prašymas vėlavo dėl neaiškios tiekėjo atsakomybės, išvada gali būti susijusi su trečiųjų šalių valdysena ir sutartinėmis tolesnio perdavimo prievolėmis.

6 žingsnis: sukurkite CAPA ir patikrinkite veiksmingumą

Jei pagrindinė priežastis yra neaiški atsakomybė tarp pagalbos, teisės ir inžinerijos komandų, CAPA gali apimti peržiūrėtą darbo eigą, atnaujintą RACI, privalomus įrodymų laukus ir mėnesines ištrynimo imčių patikras.

Zenith Blueprint audito, peržiūros ir tobulinimo fazės 29 žingsnyje paaiškina uždarymo lūkestį:

Suplanuokite, kaip patikrinsite kiekvieno korekcinio veiksmo veiksmingumą. Tai gali reikšti tolesnio audito arba patikros planavimą. Pavyzdžiui, jei jūsų korekcinis veiksmas buvo apmokyti IT darbuotojus prieigos kontrolės klausimais, galite suplanuoti po vieno mėnesio peržiūrėti naujas paskyras ir patikrinti, ar visos jos turi tinkamus patvirtinimus (patikrinimas).

Iš audito, peržiūros ir tobulinimo fazės, 29 žingsnis: nuolatinis tobulinimas (korekciniai veiksmai ir įgyta patirtis).

Ištrynimo atveju patikrinimas galėtų reikšti kitų penkių ištrynimo prašymų imtį po to, kai atnaujinta darbo eiga pradedama taikyti. Tik tada CAPA turėtų būti uždaroma.

Praktinis testas 2: tikslo apribojimas ir duomenų kiekio mažinimas

Antras didelės vertės testas yra tikslo apribojimas. Jis ypač naudingas prieš klientų deramą patikrinimą, analitikos paleidimą, AI praturtinimą, duomenų saugyklos plėtrą arba rinkodaros automatizavimo pakeitimus.

Marios SaaS platforma renka klientų naudotojų duomenis paslaugai teikti. Kontrolės tikslas – užtikrinti, kad AII būtų naudojama tik apibrėžtais ir teisėtais tikslais ir nebūtų pakartotinai naudojama rinkodaros analitikai, nebent naudotojas, kai reikalaujama, būtų davęs aiškų atskirą sutikimą.

Įrodymų tipasKonkretūs artefaktai
DokumentacijaDuomenų apsaugos ir privatumo politika, RoPA, kliento DPA, privatumo pranešimai, sutikimų valdymo įrašai
Techninė konfigūracijaTaikomosios programos duomenų tvarkymo taisyklės, duomenų bazių schemos, API konfigūracijos, ETL užduočių nustatymai
Žurnalai ir įrašaiTaikomosios programos prieigos žurnalai, duomenų bazės užklausų žurnalai, sutikimo pakeitimų istorija, kampanijų eksportų įrašai
Personalo įrodymaiPokalbiai su produkto savininku, pagrindiniu kūrėju, duomenų bazės administratoriumi, privatumo savininku

Stiprus veikimo testas nesibaigia politika. Jis ima naudotojų, sutikusių su rinkodara, ir naudotojų, nesutikusių su rinkodara, imtis. Jis atseka, ar sutikimo būsena teisingai atsispindi pagrindinėse taikomosios programos duomenų bazėse, duomenų saugyklos lentelėse, kampanijų priemonėse, valdymo skyduose ir eksportuose. Jei su rinkodara nesutikę naudotojai patenka į rinkodaros auditoriją, organizacija turi konkrečią neatitiktį.

SME Audito ir atitikties stebėsenos politika per techninio testavimo pavyzdį pateikia tinkamą požiūrį:

Techninės kontrolės priemonės patikrinimas (pvz., atsarginių kopijų būsena, prieigos kontrolės konfigūracija, pataisų įrašai)

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos 6.1.1.2 punktas.

Privatumo srityje techninės kontrolės priemonės patikrinimas apima sutikimų sinchronizavimo patikras, prieigos kontrolės eksportus, ištrynimo žurnalus, šifravimo nustatymus, duomenų maskavimo testus, DLP įspėjimus, atsarginių kopijų apribojimus, stebėsenos įvykius ir tiekėjų įrodymus.

Privatumo testavimo susiejimas su ISO/IEC 27001:2022 ir Clarysec kelių atitikties sistemų susiejimu

Privatumo kontrolės priemonės neveikia izoliuotai. AII apsauga priklauso nuo turto inventorizavimo, klasifikavimo, prieigos kontrolės, debesijos valdysenos, duomenų maskavimo, informacijos perdavimo, žurnalavimo, stebėsenos, ištrynimo, įrašų apsaugos, tiekėjų priežiūros ir nepriklausomos peržiūros.

Zenith Controls: kelių atitikties sistemų vadove ISO/IEC 27001:2022 A priedo kontrolės priemonė 5.34 „Privatumas ir AII apsauga“ susieta kaip prevencinė kontrolės priemonė, suderinta su konfidencialumu, vientisumu ir prieinamumu, su kibernetinio saugumo sąvokomis „Identify“ ir „Protect“ bei veiklos pajėgumais informacijos apsaugos, teisės ir atitikties srityse.

Jos ryšys su inventorizavimu yra tiesioginis:

Informacijos išteklių apskaita (5.9) turėtų apimti AII duomenų rinkinius (klientų duomenų bazes, HR failus). Tai pagrindžia 5.34, nes užtikrina, kad organizacija žino, kokią AII turi ir kur ji yra, o tai yra pirmasis žingsnis ją apsaugant.

Zenith Controls, „Privatumas ir AII apsauga“, kontrolės priemonė 5.34.

Audito testavimui tai reiškia, kad privatumo auditorius neturėtų pradėti vien nuo privatumo pranešimo. Jis turėtų pradėti nuo AII inventoriaus, tvarkymo veiklos registro, duomenų srautų, turto inventoriaus ir tiekėjų inventoriaus. Jei inventorius neišsamus, paskesnės privatumo kontrolės priemonės negali būti visiškai patikimos.

Vadove ISO/IEC 27001:2022 A priedo kontrolės priemonė 5.34 taip pat susiejama su susijusiomis kontrolės priemonėmis, pvz., 5.9 „Informacijos ir kito susijusio turto apskaita“, 5.12 „Informacijos klasifikavimas“, 5.14 „Informacijos perdavimas“, 5.15 „Prieigos kontrolė“, 5.16 „Tapatybės valdymas“, 5.23 „Informacijos saugumas naudojant debesijos paslaugas“, 5.33 „Įrašų apsauga“, 8.11 „Duomenų maskavimas“, 8.12 „Duomenų nutekėjimo prevencija“ ir 8.10 „Informacijos ištrynimas“.

Ypač svarbios dar dvi ISO/IEC 27001:2022 A priedo kontrolės priemonės:

ISO/IEC 27001:2022 kontrolės priemonėReikšmė privatumo testavimuiĮrodymų pavyzdžiai
5.34 Privatumas ir AII apsaugaPatvirtina, kad privatumo ir AII apsaugos reikalavimai įgyvendinti remiantis įstatymais, reglamentais ir sutartimisTvarkymo veiklos registras, DPIA, teisinio pagrindo įrašai, DSR įrodymai, saugojimo žurnalai
5.35 Nepriklausoma informacijos saugumo peržiūraSuteikia objektyvų patvirtinimą, kad saugumo priemonės, įskaitant privatumo požiūriu reikšmingas kontrolės priemones, peržiūrimos nepriklausomaiVidaus audito ataskaitos, išorės peržiūrų rezultatai, REG12 imtys, CAPA įrašai
5.36 Informacijos saugumo politikų, taisyklių ir standartų laikymasisPatvirtina nuolatinį vidinių taisyklių ir standartų laikymąsiPolitikų atitikties peržiūros, prieigos patikros, stebėsenos rezultatai, išimčių žurnalai

Duomenų apsaugos ir privatumo politika reikalauja:

Vidaus privatumo atitikties auditas turi būti atliekamas kasmet arba įvykus reikšmingiems organizaciniams ar reglamentavimo pokyčiams. Audito taikymo sritis turi apimti:

Iš skyriaus „Valdysenos reikalavimai“, politikos 5.4 punktas.

Joje taip pat įtraukiama:

Techninių ir organizacinių priemonių veiksmingumas

Iš skyriaus „Valdysenos reikalavimai“, politikos 5.4.1 punktas.

Duomenų apsaugos ir privatumo politika - SME tą patį lūkestį išlaiko praktišką:

Reguliarūs privatumo auditai arba kontrolės patikros turi būti atliekami ir registruojami

Iš skyriaus „Valdysenos reikalavimai“, politikos 5.3.3 punktas.

Kodėl GDPR atskaitomybė tapo kibernetinės valdysenos klausimu

Privatumo įrodymų prašo nebe tik privatumo auditoriai. Tų pačių įrodymų gali prašyti ISO 27701:2025 auditorius, ISO/IEC 27001:2022 auditorius, GDPR peržiūros vykdytojas, NIS2 kompetentinga institucija, DORA reguliuojamas klientas, NIST CSF vertintojas arba valdybos rizikos komitetas.

NIS2 Article 21 reikalauja, kad esminiai ir svarbūs subjektai įgyvendintų tinkamas ir proporcingas technines, veiklos ir organizacines kibernetinio saugumo rizikos valdymo priemones. Article 21(2)(f) aiškiai apima politikas ir procedūras, skirtas kibernetinio saugumo rizikos valdymo priemonių veiksmingumui vertinti. NIS2 taip pat nustato valdymo organų atsakomybę tvirtinti kibernetinio saugumo rizikos valdymo priemones ir prižiūrėti jų įgyvendinimą.

DORA finansų sektoriaus subjektams taikomas nuo 2025 m. sausio 17 d. ir nustato išsamų skaitmeninio operacinio atsparumo taisyklių rinkinį. Jis reikalauja IRT rizikos valdymo, valdymo organo priežiūros, vidaus audito, kritinių išvadų šalinimo, incidentų klasifikavimo ir pranešimo, atsparumo testavimo, trečiųjų šalių IRT rizikos valdymo, sutartinių kontrolės priemonių, IRT paslaugų susitarimų registrų ir pasitraukimo strategijų. IRT paslaugų teikėjai, aptarnaujantys finansų sektoriaus subjektus, turėtų tikėtis DORA nulemtų įrodymų prašymų per klientų patikinimą.

NIST CSF 2.0 suteikia naudingą vertimo sluoksnį. Jo GOVERN funkcija tikisi, kad organizacijos supras suinteresuotųjų šalių lūkesčius, priklausomybes ir teisines, reguliacines, sutartines, privatumo bei pilietinių laisvių pareigas. Jo profilių metodas padeda palyginti esamus rezultatus su siektinais rezultatais, nustatyti spragas ir prioritetizuoti veiksmų planus.

Reikalavimų spaudimasKą turi sukurti privatumo kontrolės priemonių testavimasClarysec atrama
GDPR atskaitomybėĮrodymai, kad principai, teisinis pagrindas, teisės, saugumas, saugojimas ir duomenų tvarkytojo pareigos įrodomai įvykdomiPIMS politikos, REG03, REG12, CAPA
ISO 27701:2025 pasirengimasTestuotos PIMS kontrolės priemonės, vaidmenimis pagrįstas taikomumas, įrodymų kokybė, vidaus auditas, vadovybės peržiūraPIMS stebėsenos, audito ir tobulinimo politika
ISO/IEC 27001:2022 patikinimasRizikos tvarkymo atsekamumas, SoA pagrindimas, veiklos kontrolė, auditas, peržiūra, tobulinimasZenith Blueprint, Zenith Controls kelių atitikties sistemų vadovas
NIS2 valdysenaVeiksmingumo vertinimas, pasirengimas incidentams, tiekėjų kontrolės priemonės, vadovybės priežiūraISO/IEC 27001:2022 A priedo kontrolės priemonių 5.35 ir 5.36 susiejimas
DORA patikinimasIRT kontrolės priemonių testavimas, atsparumo testavimas, trečiųjų šalių įrodymai, incidentų gyvavimo ciklo įrašaiKryžmiškai susietas audito įrodymų modelis
NIST CSF 2.0Esamas profilis, tikslinis profilis, spragų analizė, prioritetizuotas tobulinimasZenith Blueprint 24, 26 ir 29 žingsniai

Zenith Blueprint 24 žingsnyje sustiprina atsekamumą:

Jūsų SoA turi būti suderintas su rizikų registru ir rizikos tvarkymo planu. Dar kartą patikrinkite, ar kiekviena kontrolės priemonė, kurią pasirinkote kaip rizikos tvarkymo priemonę, SoA pažymėta kaip „Taikoma“. Ir atvirkščiai – jei kontrolės priemonė SoA pažymėta kaip „Taikoma“, turite turėti jos pagrindimą – paprastai susietą riziką, teisinį ar reglamentavimo reikalavimą arba verslo poreikį.

Iš audito, peržiūros ir tobulinimo fazės, 24 žingsnis: auditas, peržiūra ir tobulinimas.

Privatumo kontrolės priemonių testavimui tas pats principas taikomas PIMS taikomumui. Kiekviena taikoma privatumo kontrolės priemonė turi būti atsekama iki tvarkymo rizikos, teisinės pareigos, kliento reikalavimo arba verslo poreikio. Kiekvienas testas turi būti atsekamas iki tos kontrolės priemonės.

Kaip skirtingi auditoriai vertins tą pačią kontrolės priemonę

Stipri privatumo testavimo programa numato auditoriaus požiūrį. Ta pati ištrynimo kontrolės priemonė, prieigos kontrolė arba duomenų tvarkytojo įtraukimo kontrolės priemonė bus interpretuojama skirtingai, priklausomai nuo peržiūros konteksto.

Auditoriaus požiūrisTikėtinas audito klausimasKokius įrodymus jis tikėsis matyti
ISO 27701:2025 auditoriusAr vaidmenimis pagrįstos PIMS kontrolės priemonės įgyvendintos, įvertintos ir tobulinamos?REG03 taikomumas, REG12 imtys, tvarkymo veiklos registras, politikų susiejimas, audito rezultatai
ISO/IEC 27001:2022 auditoriusAr su privatumu susijusi kontrolės priemonė integruota į rizikos tvarkymą, SoA, veiklos kontrolę, vidaus auditą ir vadovybės peržiūrą?Rizikų registras, SoA pagrindimas, tvarkymo planas, kontrolės priemonės įrodymai, vadovybės peržiūros protokolai
GDPR peržiūros vykdytojasAr duomenų valdytojas gali įrodyti GDPR principų ir pareigų laikymąsi?Teisinis pagrindas, pranešimai, DSR žurnalai, DPIA, sutartys, pažeidimų įrašai, saugojimo įrodymai
NIST CSF vertintojasAr organizacija žino pareigas, apibrėžia tikslinius rezultatus, matuoja spragas ir tobulina?Esamas ir tikslinis profilis, spragų planas, rizikos prioritetizavimas, valdysenos įrašai
Į DORA orientuotas klientas arba reguliuotojasAr IRT kontrolės priemonės testuojamos, incidentai klasifikuojami, tiekėjai stebimi, o kritinės paslaugos atsparios?Testavimo programa, incidentų įrašai, tiekėjų registras, sutartys, pasitraukimo planai
ISACA arba COBIT 2019 tipo auditoriusAr tikslai, atsakomybė, rodikliai, problemų uždarymas ir valdysenos priežiūra yra veiksmingi?RACI, KPI, problemų žurnalai, CAPA patikrinimas, vadovybei teikiamos ataskaitos

Būtent todėl REG12 yra toks vertingas. Jis privatumo atitiktį paverčia audituojamais valdysenos įrodymais.

Dažnos išvados PIMS kontrolės priemonių testavime

Clarysec nuolat mato tas pačias privatumo audito išvadas organizacijose, besirengiančiose ISO 27701:2025 sertifikavimui, GDPR klientų patikinimui arba įmonės deramam patikrinimui.

Tvarkymo veiklos registras neatitinka sistemų realybės

Tvarkymo veiklos registre nurodytos CRM ir pagalbos platformos, tačiau inžinieriai pridėjo analitikos eksportus, stebimumo žurnalus, AI įrankius ir duomenų saugyklos lenteles.

Testavimo atsakas: paimkite sistemų imtis iš turto inventoriaus ir debesijos išteklių inventoriaus, tada sulyginkite jas su tvarkymo veiklos registru. Kaip audito pagrindimą naudokite ryšį tarp ISO/IEC 27001:2022 A priedo kontrolės priemonių 5.9 ir 5.34.

Prieiga prie AII patvirtinta, bet periodiškai neperžiūrima

Pradiniai patvirtinimai yra, tačiau privilegijuotos prieigos peržiūros neapima pagalbos komandos tapatybės perėmimo priemonių, produkcinių duomenų bazių, BI valdymo skydų ar avarinių paskyrų.

Testavimo atsakas: paimkite aktyvių naudotojų, turinčių prieigą prie AII, imtį ir palyginkite vaidmenį, verslo poreikį, patvirtinimą, MFA būseną, paskutinį prisijungimą ir peržiūros įrodymus.

Duomenų tvarkytojų sutartys yra, bet stebėsena silpna

DPA pasirašyta, bet tiekėjo klausimynas pasenęs. Niekas neperžiūrėjo subtvarkytojų pakeitimų, duomenų vietų, saugumo būklės ar pareigų pranešti apie incidentus.

Testavimo atsakas: paimkite kritinių duomenų tvarkytojų imtį ir patikrinkite deramą patikrinimą, sutartines nuostatas, subtvarkytojų pakeitimus, duomenų perdavimo apsaugos priemones ir stebėsenos įrašus. Tai palaiko GDPR, NIS2 tiekimo grandinės lūkesčius ir DORA trečiųjų šalių rizikos lūkesčius.

Reagavimas į incidentus yra, bet privatumo klasifikavimas nenuoseklus

Saugumo incidentai registruojami, tačiau privatumo poveikis ne visada vertinamas. GDPR pažeidimo kriterijai dokumentuojami nenuosekliai. Klientų informavimo pareigos tvarkomos neformaliai.

Testavimo atsakas: paimkite incidentų, susijusių su duomenų atskleidimu, imtis ir patikrinkite klasifikavimą, privatumo eskalavimą, teisinę peržiūrą, sprendimus dėl pranešimo, įrodymų išsaugojimą, pagrindinę priežastį ir įgytą patirtį.

CAPA uždaroma nepatikrinus veiksmingumo

Procedūra atnaujinama ir išvada uždaroma. Niekas netestuoja, ar kita imtis pagerėjo.

Testavimo atsakas: per 30 dienų nuo pranešto uždarymo REG12 patikrinkite korekcinio veiksmo veiksmingumą, kaip reikalaujama PIMS stebėsenos, audito ir tobulinimo politikoje.

90 dienų privatumo kontrolės priemonių testavimo sprintas

Organizacijoms, siekiančioms ISO 27701:2025 pasirengimo, klientų deramo patikrinimo arba GDPR atskaitomybės peržiūros, Clarysec rekomenduoja kryptingą 90 dienų sprintą.

LaikotarpisDėmesio sritisRezultatai
1–15 dienosTaikymo sritis ir įrodymų modelisPIMS vaidmenys, tvarkymo veiklos registras, REG03 taikomumas, prioritetinės rizikos, teisinės pareigos, tiekėjų priklausomybės, įrodymų pavadinimų taisyklės
16–35 dienosProjektavimo testavimasPolitikų peržiūra, RACI, privatumo pranešimai, teisinis pagrindas, DPIA inicijavimo kriterijai, DSR darbo eigos, incidentų klasifikavimas, saugojimo terminų grafikai, tiekėjų kontrolės priemonės
36–65 dienosVeikimo testavimasPrieigos, ištrynimo, incidentų, duomenų tvarkytojų, perdavimų, saugojimo, mokymų, techninės stebėsenos imtys, REG12 įrodymai
66–80 dienosCAPA ir rizikos tvarkymasPagrindinė priežastis, korekcinis veiksmas, savininkas, įvykdymo terminas, liekamoji rizika, patikrinimo metodas
81–90 dienosPasirengimas vadovybės peržiūraiPIMS veiklos rezultatų paketas, tikslai, atviros rizikos, neatitiktys, korekciniai veiksmai, tiekėjų klausimai, tobulinimo sprendimai

Sprinto pabaigoje organizacija turėtų gebėti atsakyti į klausimus, kuriuos auditoriai iš tikrųjų užduoda:

  • Kokią AII tvarkote?
  • Kokiu vaidmeniu?
  • Kurios kontrolės priemonės taikomos?
  • Kodėl jos taikomos?
  • Kokie įrodymai patvirtina, kad jos įgyvendintos?
  • Kokia imtis patvirtina, kad jos veikia?
  • Kokios spragos nustatytos?
  • Kokie korekciniai veiksmai atlikti?
  • Kas patikrino veiksmingumą?
  • Ką aukščiausioji vadovybė peržiūrėjo ir nusprendė?

Nuo popierinio privatumo prie įrodomos atskaitomybės

ISO 27701 sertifikatas yra vertingas, bet tai nėra galutinis tikslas. Klientai, priežiūros institucijos, valdybos ir auditoriai vis dažniau tikisi įrodymų, kad privatumo kontrolės priemonės yra suprojektuotos, įgyvendintos, stebimos, koreguojamos ir valdomos.

Privatumo atitiktis žlunga, kai ji traktuojama kaip dokumentacijos projektas. Ji atlaiko patikrą, kai tampa testuota įrodymų sistema.

Clarysec padeda organizacijoms pereiti nuo deklaruojamos atitikties prie įrodomos atskaitomybės, susiedama PIMS politikas, REG03 taikomumą, REG12 įrodymų imtis, CAPA patikrinimą, vadovybės peržiūrą ir kelių sistemų susiejimą per Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą ir Zenith Controls: kelių atitikties sistemų vadovą.

Jei jūsų organizacija rengiasi ISO 27701:2025 sertifikavimui, GDPR atskaitomybės peržiūrai, klientų privatumo patikinimui, NIS2 valdysenos įrodymams arba DORA nulemtam tiekėjų deramam patikrinimui, pradėkite nuo kryptingų privatumo kontrolės priemonių testavimo dirbtuvių.

Clarysec gali padėti susieti REG03 taikomumą, parengti REG12 audito imtis, testuoti prioritetines PIMS kontrolės priemones, susieti išvadas su CAPA ir parengti vadovybės peržiūros rezultatus, kurie atlaiko patikrą.

Kitas jūsų privatumo auditas neturėtų būti ekrano kopijų rinkimo chaosas. Tai turi būti užtikrintas parodymas, kad privatumas veikia, yra pagrįstas įrodymais, peržiūrimas ir nuolat tobulinamas.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article