DPIA pārvaldība ISO 27001, NIS2 un DORA kontekstā
Ir ceturtdiena, plkst. 17:40, un Marijai, strauji augoša finanšu tehnoloģiju uzņēmuma informācijas drošības vadītājai, tiek lūgts apstiprināt laidienu pirms ceturkšņa beigām.
Produktu komanda to sauc par izrāvienu: biometrikā balstītu maksājumu autentifikācijas un uzvedības analītikas funkcionalitāti, kas padarīs klientu piekļuvi netraucētu un samazinās krāpšanu. Inženierijas komanda norāda, ka netiek veidota jauna pamatdatubāze. Pārdošanas komanda saka, ka regulēts finanšu klients gaida. Laidiena pārvaldnieks pieteikumā to jau ir atzīmējis kā standarta izmaiņu.
Tad datu aizsardzības speciālists uzdod trīs jautājumus.
Vai funkcionalitāte apvienos biometriskos vai uzvedības datus ar konta atribūtiem? Vai mākoņvides apakšapstrādātājs saņems telemetrijas vai autentifikācijas signālus? Vai kāds ir izvērtējis, vai izmaiņa rada augstu risku fiziskām personām?
Telpā iestājas klusums.
Marijai ir ISO/IEC 27001:2022 riska reģistrs. Juridiskajai funkcijai ir GDPR apstrādes darbību reģistrs. Iepirkumu funkcijai ir piegādātāja anketa. Mākoņpakalpojumu komandai ir pakalpojumu sniedzēja drošības pārskats. Izmaiņu pārvaldniekam ir pieteikums. Valde tikko ir informēta par NIS2 pārskatatbildību un DORA darbības noturības prasībām.
Neviens no šiem ierakstiem pats par sevi nesniedz pilnu ainu.
Tā ir DPIA pārvaldības problēma 2026. gadā. Datu aizsardzības ietekmes novērtējumi nedrīkst atrasties privātuma mapē, gaidot regulatoru. Tiem jākļūst par lēmumu ierakstiem, kas sasaista GDPR 25., 30., 32., 35. un 36. pantu ar ISO/IEC 27001:2022 riska pierādījumiem, NIS2 kiberdrošības risku pārvaldības pasākumiem, DORA IKT izmaiņu pārvaldību, piegādātāju apliecinājumu un valdes līmeņa pārskatatbildību.
Organizācijas, kurām tas sagādā grūtības, parasti neignorē atbilstību. Tās atsevišķi veic privātuma pārskatīšanu, drošības pārskatīšanu, mākoņpakalpojumu pārskatīšanu un izmaiņu pārskatīšanu. Organizācijas, kurām tas izdodas, izveido vienu izsekojamu pārvaldības darbplūsmu, kurā DPIA ierosinātāji, risku izvērtēšana, piegādātāju pienācīga pārbaude, kontroles pasākumu sasaistīšana, testēšana un atlikušā riska apstiprināšana veido vienotu pierādījumu ķēdi.
Kāpēc izolēti DPIA 2026. gadā nedarbojas
GDPR ieviesa DPIA kā formālu mehānismu tādas apstrādes izvērtēšanai, kas, visticamāk, rada augstu risku fiziskām personām. Daudzos uzņēmumos tas kļuva par juridisku vai privātuma uzdevumu — veidlapu, kas jāaizpilda, ja projekts šķita sensitīvs.
Šāds modelis vairs nav aizstāvams.
Personas datu apstrādes izmaiņa reti ir tikai privātuma notikums. Tā vienlaikus ir arī:
- Informācijas drošības riska notikums saskaņā ar ISO/IEC 27001:2022.
- Kiberdrošības pārvaldības notikums saskaņā ar NIS2, ja tiek ietekmētas tīklu un informācijas sistēmas, piegādātāji vai drošības kontroles pasākumi.
- IKT izmaiņu un noturības notikums saskaņā ar DORA finanšu struktūrām un attiecīgajiem IKT pakalpojumu sniedzējiem.
- Piegādātāja un mākoņpakalpojumu riska notikums, ja ir iesaistīti apstrādātāji, apakšapstrādātāji, lietojumprogrammu saskarnes, SDK vai mitināti pakalpojumi.
Ja šie izvērtējumi notiek atsevišķi, trūkumi kļūst bīstami. Privātuma komanda var apstiprināt DPIA, neizprotot biometriska SDK ievainojamības. IT komanda var nodot izmaiņu ekspluatācijā, neapzinoties, ka tā ietver īpašu kategoriju datus vai uzvedības uzraudzību. Drošības komanda var pārskatīt mākoņpakalpojumu, nesasaistot to ar konkrētiem tiesību un brīvību riskiem, kas identificēti DPIA.
Risinājums nav lielāks dokumentu apjoms. Risinājums ir integrēta pārvaldība.
DPIA jāuztver kā ierosinātājs, kas sāk koordinētu riska darbplūsmu starp privātuma, drošības, mākoņpakalpojumu, piegādātāju, inženierijas, juridisko un vadības funkciju.
GDPR pamats: DPIA pārvaldība sākas ar izpratni par apstrādi
DPIA nevar būt godprātīgs, ja organizācija nespēj izskaidrot, ko tā apstrādā, kāpēc tā to apstrādā, kas to saņem un cik ilgi tas tiek glabāts.
GDPR pārskatatbildība prasa vairāk nekā nodomu deklarāciju. Article 5 nosaka pamatprincipus, piemēram, likumīgumu, godprātību, pārredzamību, nolūka ierobežojumu, datu minimizēšanu, precizitāti, glabāšanas ierobežojumu, integritāti un konfidencialitāti. Tas arī pieprasa pārzinim pierādīt atbilstību. Article 25 pieprasa datu aizsardzību pēc projektēšanas un pēc noklusējuma. Article 30 pieprasa apstrādes darbību ierakstus. Article 32 pieprasa apstrādes drošību. Article 35 pieprasa DPIA, ja apstrāde, visticamāk, rada augstu risku. Article 36 pieprasa iepriekšēju apspriešanos, ja augsts risks saglabājas bez pietiekamas mazināšanas.
SaaS, finanšu tehnoloģiju, mākoņpakalpojumu un pārvaldīto pakalpojumu organizācijām tas nozīmē, ka katra būtiska izmaiņa ir jāpārbauda attiecībā uz privātuma ietekmi. Ierosinātājs nav tas, vai projekts ir marķēts kā “privātuma” projekts. Ierosinātājs ir tas, vai izmaiņa ietekmē personas datus, apstrādes nolūku, tiesisko pamatu, saņēmējus, glabāšanu, piekļuves tiesības, piegādātājus, mākoņvides atrašanās vietas vai atlikušo risku.
Clarysec Datu aizsardzības un privātuma politika - SME pārvērš to par operatīvu prasību:
“Privātuma koordinatoram jāuztur visu personas datu apstrādes darbību reģistrs, ietverot datu kategorijas, nolūku, tiesisko pamatu un glabāšanas termiņus”
No sadaļas “Pārvaldības prasības”, politikas punkts 5.2.1.
Tā pati SME politika iestrādā privātumu piegādē:
“Datu aizsardzība pēc projektēšanas un pēc noklusējuma jāpiemēro visās jaunajās sistēmās un pakalpojumos”
No sadaļas “Pārvaldības prasības”, politikas punkts 5.3.1.
Uzņēmuma vidēm Clarysec Datu aizsardzības un privātuma politika skaidri nosaka DPIA vārtus:
“Visām būtiskām izmaiņām sistēmās vai procesos, kas ietver personu identificējošu informāciju (PII), jāveic dokumentēts Datu aizsardzības ietekmes novērtējums (DPIA), ko pārskata Datu aizsardzības speciālists (DPO).”
No sadaļas “Pārvaldības prasības”, politikas punkts 5.6.
Šis punkts ir tilts starp GDPR pārskatatbildību un darbības kontroles pasākumiem. Tas pārvieto DPIA no juridiskas pēcpārdomas uz projektu pārvaldību un izmaiņu apstiprināšanu.
DPIA sasaistīšana ar ISO/IEC 27001:2022 riska pierādījumiem
ISO/IEC 27001:2022 nodrošina pārvaldības sistēmas struktūru, kas nepieciešama DPIA pārvaldībai.
Clauses 4.1 līdz 4.4 pieprasa organizācijai izprast savu kontekstu, ieinteresētās puses, prasības, ISMS darbības jomu un mijiedarbīgos procesus. Privātuma tiesību akti, klientu līgumi, NIS2 pienākumi, DORA prasības, apstrādātāju pienākumi un piegādātāju atkarības ir daļa no šī konteksta.
Clauses 5.1 līdz 5.3 pieprasa līderību, politikas saskaņošanu, resursus, lomas un pienākumus. Tieši šeit daudzi DPIA neizdodas. Datu aizsardzības speciālists var identificēt augstu risku, taču bez riska īpašniekiem, eskalācijas noteikumiem un vadības apstiprinātiem pieņemšanas kritērijiem DPIA kļūst par dokumentu, nevis lēmumu.
Clauses 6.1.1 līdz 6.1.3 pieprasa uz risku balstītu plānošanu, dokumentētu informācijas drošības risku izvērtēšanas procesu, riska pieņemšanas kritērijus, riska īpašniekus, riska apstrādes plānošanu, kontroles pasākumu atlasi, piemērojamības deklarāciju un atlikušā riska apstiprināšanu. Tā ir struktūra, kas DPIA jāizmanto.
DPIA var identificēt kaitējumu, piemēram, profilēšanas risku, nesankcionētu izpaušanu, nelikumīgu sekundāru izmantošanu, identitātes krāpšanu, diskrimināciju vai pārmērīgu glabāšanu. ISMS pārvērš šo kaitējumu riska scenārijos, iespējamības un ietekmes analīzē, riska apstrādes darbībās, Annex A kontroles pasākumos un atlikušā riska apstiprinājumos.
Clarysec Risku pārvaldības politika - SME nosaka minimālo disciplīnu:
“Katrā riska ierakstā jāiekļauj: apraksts, iespējamība, ietekme, vērtējums, īpašnieks un riska apstrādes plāns.”
No sadaļas “Pārvaldības prasības”, politikas punkts 5.1.2.
Uzņēmuma vidēm Clarysec Risku pārvaldības politika sasaista riska apstrādes plānošanu ar ISO/IEC 27001:2022 pierādījumiem:
“Risku pārvaldniekam jānodrošina, ka riska apstrādes pasākumi ir reālistiski, laikā ierobežoti un sasaistīti ar ISO/IEC 27001 Annex A kontroles pasākumiem.”
No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.4.2.
Zenith Blueprint: auditora 30 soļu ceļvedis, riska pārvaldības fāze, 13. solis, riska apstrādes plānošana un piemērojamības deklarācija, skaidri izskaidro SoA lomu:
“SoA faktiski ir savienojošs dokuments: tas sasaista jūsu risku izvērtēšanu/apstrādi ar faktiskajiem kontroles pasākumiem, kas jums ir.”
Tas ir auditam gatavs DPIA modelis. DPIA konstatējums nedrīkst beigties ar “risks pieņemts”. Tam jābūt sasaistītam ar riska reģistru, riska apstrādes plānu, piemērojamības deklarāciju, piegādātāja pārskatu, mākoņpakalpojumu pienācīgu pārbaudi, izmaiņu pieteikumu, testēšanas pierādījumiem un vadības lēmumu.
Viens lēmuma ieraksts, vairāki atbilstības rezultāti
Nobriedusi DPIA pārvaldības darbplūsma nedublē katru regulējumu. Tā vienreiz apkopo pierādījumus un izmanto tos pārdomāti.
| DPIA pārvaldības jautājums | Izveidotie pierādījumi | ISO/IEC 27001:2022 pierādījumi | GDPR pārskatatbildības vērtība | NIS2 vai DORA vērtība |
|---|---|---|---|---|
| Kāda apstrāde mainās? | Apstrādes reģistra atjauninājums un DPIA ievade | Darbības jomas, konteksta, aktīvu un procesu pierādījumi | Atbalsta apstrādes ierakstus un datu aizsardzību pēc projektēšanas | Parāda darbības riska apzināšanos |
| Kas varētu kaitēt fiziskām personām? | Privātuma riska scenārijs un ietekmes novērtējums | Risku izvērtēšanas rezultāts un riska īpašnieks | Atbalsta DPIA pamatojumu un pārskatatbildību | Saskaņojas ar uz risku balstītu kiberdrošības pārvaldību |
| Kādi kontroles pasākumi samazina risku? | Drošības pasākumi, TOMs un riska apstrādes plāns | SoA, riska apstrādes plāns un Annex A ieviešanas statuss | Atbalsta apstrādes drošību un datu aizsardzību pēc noklusējuma | Atbalsta kiberdrošības un IKT riska pasākumus |
| Kurš vēl apstrādā datus vai piekļūst tiem? | Piegādātāja, apstrādātāja un mākoņpakalpojumu pārskats | Piegādātāja un mākoņpakalpojumu kontroles pierādījumi | Atbalsta apstrādātāju uzraudzību un pārsūtīšanas pārvaldību | Atbalsta piegādes ķēdes un IKT trešo personu risku |
| Kas mainījās ražošanas vidē? | Izmaiņu ieraksts, testēšanas pierādījumi un apstiprinājums | Izmaiņu pārvaldības un darbības kontroles pierādījumi | Parāda, ka kontroles pasākumi tika izvērtēti pirms laidiena | Atbalsta izmaiņu riska un noturības prasības |
| Kurš pieņēma atlikušo risku? | DPO, riska īpašnieka un vadības apstiprinājums | Atlikušā riska pieņemšana un vadības pārskata ievade | Parāda pārskatatbildīgu lēmumu pieņemšanu | Atbalsta valdes vai vadības struktūras pārraudzību |
Šī pierādījumu ķēde tieši saskan ar ISO/IEC 27001:2022 Clause 8.1, kas pieprasa plānotus un kontrolētus darbības procesus, dokumentētus pierādījumus, plānoto izmaiņu kontroli un neparedzētu izmaiņu pārskatīšanu. Clause 8.2 pieprasa risku izvērtēšanu plānotos intervālos vai tad, kad tiek ierosinātas vai notiek būtiskas izmaiņas. Clause 8.3 pieprasa riska apstrādes plāna ieviešanu. Clause 9 pēc tam pārvērš pierādījumus apliecinājumā, izmantojot uzraudzību, mērījumus, iekšējo auditu un vadības pārskatīšanu.
Datu aizsardzības un privātuma politika - SME skaidri nosaka laiku:
“Privātuma koordinatoram jāizvērtē privātuma riski reizi gadā un būtisku sistēmu izmaiņu laikā”
No sadaļas “Risku apstrāde un izņēmumi”, politikas punkts 7.1.1.
Ja būtiska personas datu izmaiņa neierosina DPIA sākotnējo pārbaudi un ISMS atkārtotu izvērtēšanu, pārvaldības process ir nepilnīgs.
NIS2: DPIA pārvaldība kļūst par vadības pārskatatbildību
NIS2 palielina pārvaldības spiedienu uz organizācijām būtiskajās un svarīgajās nozarēs. Tā attiecas uz daudzām publiskām un privātām struktūrām uzskaitītajās nozarēs, kas sasniedz attiecīgos lieluma sliekšņus, un noteiktos gadījumos tā var būt piemērojama neatkarīgi no lieluma, piemēram, uzticamības pakalpojumiem, DNS, TLD reģistriem, publiskiem elektronisko sakaru pakalpojumiem, vienīgajiem būtisko pakalpojumu sniedzējiem vai struktūrām ar sistēmiska riska lomām.
DPIA pārvaldībā galvenais jautājums nav tikai darbības joma. Tā ir vadības atbildība.
NIS2 Article 20 pieprasa būtisko un svarīgo struktūru vadības struktūrām apstiprināt kiberdrošības risku pārvaldības pasākumus, pārraudzīt to ieviešanu un piedalīties apmācībās. Article 21 pieprasa atbilstošus un samērīgus tehniskos, darbības un organizatoriskos pasākumus, pamatojoties uz pakļautību riskam, lielumu, iespējamību, smaguma pakāpi, sociālo un ekonomisko ietekmi, jaunāko tehnikas līmeni un attiecīgajiem standartiem.
Article 21(2) ietver jomas, kas bieži pārklājas ar DPIA rezultātiem, tostarp:
- Riska analīze un informācijas sistēmu drošības politikas.
- Incidentu pārvaldība.
- Darbības nepārtrauktība un krīzes pārvaldība.
- Piegādes ķēdes drošība.
- Drošība tīklu un informācijas sistēmu iegādē, izstrādē un uzturēšanā.
- Ievainojamību pārvaldība un izpaušana.
- Politikas kiberdrošības risku pārvaldības pasākumu efektivitātes izvērtēšanai.
- Kiberdrošības higiēna un apmācība.
- Kriptogrāfija un šifrēšana.
- Personāla drošība, piekļuves kontrole un aktīvu pārvaldība.
- MFA, nepārtraukta autentifikācija, droša saziņa un droša ārkārtas saziņa.
Tādēļ DPIA jaunai biometriskai, uzvedības analītikas vai mākoņpakalpojumos balstītai apstrādes darbībai jāuzdod arī NIS2 būtiski jautājumi. Vai apstrāde ir atkarīga no jauna piegādātāja? Vai tā ievieš jaunu lietojumprogrammu saskarni, SDK, identitātes plūsmu vai piekļuves modeli? Vai tā maina incidenta ietekmi? Vai tā prasa šifrēšanu, stingrāku žurnalēšanu, drošas izstrādes pārbaudes vai vadības apstiprinājumu?
Praktiskais vadības jautājums ir vienkāršs: vai organizācija var pierādīt, ka izmaiņa ar ietekmi uz privātumu tika izvērtēta kā daļa no kiberdrošības risku pārvaldības pirms ieviešanas?
Šim pierādījumam jābūt redzamam DPIA ievadē, atjauninātajā apstrādes reģistrā, riska reģistrā, riska apstrādes plānā, piemērojamības deklarācijā, piegādātāja pienācīgā pārbaudē, drošības testēšanas pierādījumos, izmaiņu apstiprinājumā un atlikušā riska pieņemšanā.
DORA: IKT izmaiņu un trešo personu pierādījumi ir neizbēgami
DORA piemēro no 2025. gada 17. janvāra, un tā izveido vienotu ES ietvaru IKT risku pārvaldībai, būtisku ar IKT saistītu incidentu ziņošanai, digitālās darbības noturības testēšanai, kiberdraudu un ievainojamību informācijas apmaiņai, IKT trešo personu riska pārvaldībai un kritisko IKT trešo personu pakalpojumu sniedzēju pārraudzībai.
Finanšu struktūrām DORA parasti darbojas kā nozarspecifisks Savienības tiesību akts IKT risku pārvaldības un incidentu ziņošanas pienākumiem, savukārt NIS2 joprojām ir būtiska plašākai ekosistēmas koordinācijai un subjektiem, uz kuriem DORA neattiecas.
DPIA pārvaldībai DORA kontekstā ir nozīme, jo personas datu apstrāde parasti notiek IKT sistēmās, trešo personu pakalpojumos, mākoņvidēs un darbības darbplūsmās.
DORA Article 5 pieprasa IKT risku pārvaldībai iekšējās pārvaldības un kontroles ietvarus ar vadības struktūras atbildību. Article 6 pieprasa dokumentētu IKT risku pārvaldības ietvaru, kas integrēts kopējā risku pārvaldībā. Articles 8 līdz 14 aptver aktīvu un atkarību identificēšanu, aizsardzību un novēršanu, atklāšanu, nepārtrauktību, rezerves kopijas, atjaunošanu, gūtās mācības un krīzes komunikāciju.
DORA Article 28 pieprasa finanšu struktūrām pārvaldīt IKT trešo personu risku kā neatņemamu IKT risku pārvaldības daļu un saglabāt atbildību, izmantojot IKT pakalpojumus. Tas pieprasa IKT pakalpojumu līgumu reģistrus, pirmslīguma izvērtējumus, sākotnējo izpēti, koncentrācijas riska izvērtēšanu, audita un pārbaužu plānošanu, izbeigšanas tiesības un izstāšanās stratēģijas. Article 30 pieprasa rakstiskus līgumus ar skaidriem pakalpojumu aprakstiem, datu atrašanās vietām, konfidencialitātes, integritātes un pieejamības aizsardzību, datu atjaunošanu un atdošanu, atbalstu incidentu gadījumā, sadarbību ar iestādēm, izbeigšanas tiesībām un papildu drošības pasākumiem kritiskām vai svarīgām funkcijām.
DPIA kontekstā tas maina piegādātāja jautājumu. “Vai mums ir datu apstrādes līgums?” nav pietiekami. Labāks jautājums ir: vai varam pierādīt, ka IKT atkarība, datu atrašanās vieta, apakšuzņēmēju izmantošana, drošības standarti, noturība, audita tiesības, incidentu atbalsts un izstāšanās stratēģija tika izvērtēta pirms apstrādes apstiprināšanas?
Clarysec Mākoņpakalpojumu izmantošanas politika skaidri nosaka šo pirmsaktivizācijas kontroles pasākumu:
“Visai mākoņpakalpojumu izmantošanai pirms aktivizācijas jāveic uz risku balstīta sākotnējā izpēte, tostarp pakalpojumu sniedzēja izvērtēšana, tiesiskās atbilstības validācija un kontroles validācijas pārskati.”
No sadaļas “Pārvaldības prasības”, politikas punkts 5.2.
DPIA nedrīkst apstiprināt jaunu analītikas apstrādātāju, identitātes nodrošinātāju, biometrisko SDK vai mākoņtelemetrijas platformu, ja mākoņpakalpojumu pienācīga pārbaude, juridiskā validācija un kontroles validācija nav pabeigta vai skaidri izsekota kā riska apstrādes darbības.
ISO/IEC 27002:2022 balsti: privātums, projekti un izmaiņas
Clarysec Zenith Controls: savstarpējās atbilstības ceļvedis izmanto ISO/IEC 27002:2022 kontroles pasākumus kā savstarpējās atbilstības balstus. DPIA pārvaldībā īpaši svarīgi ir trīs kontroles pasākumi.
| ISO/IEC 27002:2022 kontroles pasākums | Kāpēc tas ir svarīgs DPIA pārvaldībā | Savstarpējās atbilstības vērtība |
|---|---|---|
| 5.34 Privātums un PII aizsardzība | Pieprasa izpratni par personas datiem un to aizsardzību visā dzīves ciklā | Atbalsta GDPR pārskatatbildību, ISO/IEC 27001:2022 Annex A, NIS2 riska pasākumus un DORA datu aizsardzības prasības |
| 5.8 Informācijas drošība projektu vadībā | Iestrādā drošības un privātuma ietekmes izvērtēšanu projekta projektēšanā | Atbalsta datu aizsardzību pēc projektēšanas, drošu izstrādi, NIS2 iegādes un izstrādes pasākumus |
| 8.32 Izmaiņu pārvaldība | Nodrošina, ka izmaiņas tiek izvērtētas, autorizētas, testētas, ieviestas un pārskatītas | Atbalsta ISO darbības kontroli, DORA IKT izmaiņu pārvaldību un audita izsekojamību |
Zenith Controls ieraksts 5.34, Privātums un PII aizsardzība, klasificē to kā preventīvu, saistītu ar konfidencialitāti, integritāti un pieejamību, saskaņotu ar kiberdrošības jēdzieniem Identify un Protect, un sasaistītu ar informācijas aizsardzības, kā arī juridiskajām un atbilstības spējām.
Zenith Blueprint, fāze “Kontroles pasākumi darbībā”, 23. solis, praktisko atziņu formulē šādi:
“Šī kontroles pasākuma pamats ir datu apzināšanās. Organizācijai jāzina, kādus PII tā vāc, kur tie atrodas, kāpēc tie tiek apstrādāti un kas tiem var piekļūt.”
Zenith Controls ieraksts 5.8, Informācijas drošība projektu vadībā, klasificē to kā preventīvu, saistītu ar konfidencialitāti, integritāti un pieejamību, saskaņotu ar Identify un Protect, un izvietotu pārvaldības, ekosistēmas un aizsardzības domēnos.
Zenith Blueprint, fāze “Kontroles pasākumi darbībā”, 22. solis, norāda:
“Šī kontroles pasākuma mērķis nav noslogot projektus ar birokrātiju. Tas ir nodrošināt, ka drošība tiek uztverta kā projektēšanas ievade, nevis testēšanas posms.”
Privātums jāuztver tāpat. DPIA pēc nodošanas ražošanas vidē bieži ir kaitējuma ziņojums. DPIA projektēšanas laikā ir riska novēršana.
Zenith Controls ieraksts 8.32, Izmaiņu pārvaldība, klasificē to kā preventīvu, saistītu ar konfidencialitāti, integritāti un pieejamību, saskaņotu ar Protect, un sasaistītu ar lietojumprogrammu drošības, kā arī sistēmu un tīkla drošības spējām.
Zenith Blueprint, fāze “Kontroles pasākumi darbībā”, 21. solis, ir tiešs:
“Izmaiņas ir neizbēgamas, taču kiberdrošībā nekontrolētas izmaiņas ir bīstamas.”
Clarysec Izmaiņu pārvaldības politika - SME ietver ierosinātāju:
“Ja izmaiņa ietver sensitīvus datus, sistēmas piekļuves tiesības vai ārējas integrācijas, ir nepieciešama drošības ietekmes pārskatīšana. Norīkotajai drošības vai atbilstības kontaktpersonai jāizvērtē, vai izmaiņa ievieš papildu riskus, un jāiesaka papildu drošības pasākumi.”
No sadaļas “Risku apstrāde un izņēmumi”, politikas punkts 7.5.1.
Uzņēmuma vidēm Clarysec Izmaiņu pārvaldības politika nosaka Izmaiņu konsultatīvās padomes prasību:
“Izvērtēt izmaiņas attiecībā uz drošības un atbilstības riskiem pirms Izmaiņu konsultatīvās padomes apstiprinājuma.”
No sadaļas “Lomas un pienākumi”, politikas punkts 4.6.1.
Praktisks piemērs: biometriskās analītikas funkcionalitātes apstiprināšana
Marijai nav vajadzīgi trīs atsevišķi pārvaldības projekti. Viņai ir vajadzīga viena integrēta projekta ievades un riska darbplūsma.
Produktu komanda ierosina biometrisku maksājumu autentifikāciju ar uzvedības analītiku. Funkcionalitāte vāc biometriskās veidnes, ierīces metadatus, konta atribūtus, IP adreses, autentifikācijas notikumus un krāpšanas signālus. Tā izmanto mākoņanalītikas pakalpojumu sniedzēju un trešās puses biometrisko SDK. Klientu panākumu komandas saņems piekļuvi agregētam informācijas panelim.
Izmaiņu pieteikumam pirms resursu piešķiršanas vai Izmaiņu konsultatīvās padomes apstiprinājuma jāierosina DPIA sākotnējā pārbaude un risku izvērtēšana.
| Ievades lauks | Piemēra atbilde |
|---|---|
| Iesaistītie personas dati | Biometriskā veidne, lietotāja ID, IP adrese, ierīces metadati, konta loma, autentifikācijas notikumi |
| Apstrādes nolūks | Maksājumu autentifikācija, krāpšanas atklāšana un klientu panākumu analītika |
| Apstiprināmais tiesiskais pamats | Līguma nepieciešamība, leģitīmās intereses vai nepārprotama piekrišana, atbilstoši DPO pārskatīšanai |
| Jauns piegādātājs vai mākoņpakalpojums | Biometriskā SDK piegādātājs un ES reģiona mākoņanalītikas apstrādātājs |
| Sensitīvi vai īpašu kategoriju dati | Biometriskajiem datiem nepieciešama augsta riska pārskatīšana, ja tos izmanto unikālai identifikācijai |
| Piekļuves modeļa izmaiņa | Klientu panākumu komanda saņem piekļuvi agregētam informācijas panelim |
| Glabāšanas izmaiņa | Notikumu žurnāli tiek glabāti 180 dienas, biometriskās veidnes tiek glabātas saskaņā ar pakalpojuma noteikumiem |
| DPIA nepieciešams | Jā, biometriskā apstrāde, uzraudzība un jauna piegādātāja atkarība prasa pārskatīšanu |
Pēc tam integrētajam izvērtējumam jāizveido viens riska dosjē.
| Izvērtējuma sadaļa | Primārais ietvars | Jautājumi, uz kuriem jāatbild | Pierādījumi vai rezultāts |
|---|---|---|---|
| Apstrādes apraksts | GDPR Article 35 | Kādi dati tiek apstrādāti, kāpēc, kas tos apstrādā un cik ilgi? | Datu plūsma, RoPA atjauninājums, DPIA ievade |
| Nepieciešamība un samērīgums | GDPR Article 35 | Vai apstrāde ir nepieciešama un vai tā ir vismazāk intruzīvā dzīvotspējīgā pieeja? | DPO pārskatīšana un pamatojums |
| Risks fiziskām personām | GDPR Article 35 | Vai fiziskas personas var saskarties ar identitātes zādzību, diskrimināciju, profilēšanu, izslēgšanu vai finansiālu kaitējumu? | DPIA riska analīze un ISO riska reģistra ieraksts |
| Drošības risku izvērtēšana | ISO/IEC 27001:2022 Clause 6.1.2 | Kādi konfidencialitātes, integritātes un pieejamības apdraudējumi pastāv? | Riska reģistra ieraksti ar iespējamību, ietekmi, īpašnieku un riska apstrādi |
| NIS2 ietekmes analīze | NIS2 Article 21 | Vai izmaiņa ietekmē piegādātājus, drošu izstrādi, piekļuves kontroli, incidentu pārvaldību vai nepārtrauktību? | Piegādātāja izvērtēšana, drošas izstrādes kontrolsaraksts, vadības pierādījumi |
| DORA noturības analīze | DORA Articles 8, 9, 24 un 30 | Vai tā ir IKT izmaiņa, kas ietekmē noturību, testēšanu vai līgumiskos pienākumus? | Izmaiņu ieraksts, testēšanas plāns, līguma pārskatīšana un izstāšanās pierādījumi |
| Riska apstrāde un kontroles pasākumi | ISO/IEC 27001:2022 Clause 6.1.3 | Kuri TOMs un Annex A kontroles pasākumi samazina risku? | Riska apstrādes plāns un atjaunināta piemērojamības deklarācija |
Riska ieraksti varētu izskatīties šādi:
| Riska scenārijs | Iespējamība | Ietekme | Riska apstrādes piemēri | Kontroles pasākumu sasaistījums |
|---|---|---|---|---|
| Pārmērīga vākšana ārpus norādītā nolūka | Vidēja | Augsta | Datu minimizēšanas pārskatīšana, notikumu shēmas apstiprināšana, glabāšanas ierobežojums | 5.34, 5.31, 8.10 |
| Nesankcionēta piekļuve biometriskajam vai uzvedības informācijas panelim | Vidēja | Augsta | Lomu balstīta piekļuve, MFA, žurnalēšana, ceturkšņa piekļuves tiesību pārskatīšana | 5.15, 5.18, 8.15, 8.16 |
| Mākoņapstrādātāja nepareiza konfigurācija eksponē telemetriju | Zema | Augsta | Mākoņpakalpojumu pienācīga pārbaude, šifrēšana, bāzes konfigurācija, uzraudzība | 5.23, 8.9, 8.24, 8.16 |
| Biometriskā SDK ievainojamība kompromitē autentifikācijas datus | Vidēja | Augsta | Piegādātāja pienācīga pārbaude, drošas izstrādes pārskatīšana, drošības testēšana | 5.21, 8.25, 8.28, 8.29 |
| Profilēšana rada netaisnīgu ietekmi uz klientu | Vidēja | Augsta | DPO pārskatīšana, pārredzamības formulējums, iebildumu apstrāde, kur piemērojams | 5.34, 5.8 |
Pirms laidiena izmaiņu ierakstā jābūt DPIA pabeigšanai vai DPO apstiprinātam riska apstrādes plānam, atjauninātam apstrādes reģistram, piegādātāja un mākoņpakalpojumu pienācīgai pārbaudei, drošības ietekmes pārskatīšanai, testēšanas rezultātiem, atcelšanas plānam, uzraudzības plānam un atlikušā riska apstiprinājumam.
Pēc laidiena īpašniekam jāpārbauda žurnāli, brīdinājumi, piekļuves lomas, informācijas paneļi, glabāšanas noteikumi un dzēšanas darbplūsmas. Tas noslēdz plānotās izmaiņas ciklu saskaņā ar ISO/IEC 27001:2022 Clause 8.1 un atbalsta DORA stila darbības noturības disciplīnu.
Ko jautās auditori
Vienots DPIA dažādiem auditoriem sniedz vienu saskaņotu pierādījumu pēdu.
| Auditora skatījums | Iespējamais audita fokuss | Pierādījumi, kam jāpastāv |
|---|---|---|
| ISO/IEC 27001:2022 auditors | Vai būtiskas izmaiņas ierosināja risku izvērtēšanu, riska apstrādi, SoA atjauninājumus un darbības kontroli | DPIA ievade, riska reģistrs, riska apstrādes plāns, SoA piezīmes, izmaiņu ieraksts, iekšējā audita pēda |
| GDPR privātuma pārbaudītājs | Vai augsta riska apstrāde tika izvērtēta pirms ieviešanas un vai drošības pasākumi tika dokumentēti | DPIA, apstrādes reģistrs, tiesiskā pamata analīze, DPO pārskatīšana, pārredzamības un glabāšanas pierādījumi |
| Uz NIS2 orientēts auditors | Vai vadības apstiprinātie riska pasākumi aptver drošības politikas, piegādes ķēdi, incidentu pārvaldību, nepārtrauktību, piekļuvi, šifrēšanu un ievainojamību pārvaldību | Valdes vai vadības pārskata ieraksti, kontroles pasākumu sasaistījums, piegādātāja pārskats, incidentu un nepārtrauktības sasaiste |
| Uz DORA orientēts auditors | Vai IKT izmaiņa, trešās personas atkarība, noturība, testēšana un līguma pierādījumi ir integrēti IKT riska pārvaldībā | IKT riska izvērtējums, pakalpojumu sniedzēju reģistrs, līguma klauzulas, testēšanas pierādījumi, izstāšanās plāns, incidentu atbalsta pierādījumi |
| NIST CSF izvērtētājs | Vai pārvaldības, riska, aktīvu, piegādātāju, aizsardzības, atklāšanas, reaģēšanas un atjaunošanas rezultāti ir savienoti | Pašreizējais un mērķa profils, trūkumu plāns, aktīvu uzskaite, piegādātāju riska ieraksti, uzraudzības un reaģēšanas pierādījumi |
| COBIT 2019 vai ISACA auditors | Vai izmaiņu iespējošana, risku pārvaldība, drošības pakalpojumi un apliecinājuma prakses tiek kontrolētas | Izmaiņu konsultatīvās padomes ieraksti, ietekmes analīze, apstiprinājumi, testēšana, pienākumu nošķiršana, pārskatīšana pēc izmaiņām |
NIST CSF 2.0 ir noderīgs kā komunikācijas slānis, jo tā GOVERN funkcija centrā izvirza stratēģiju, gaidas, politiku, lomas, pārraudzību un piegādes ķēdes risku pārvaldību. COBIT 2019 pievieno procesu apliecinājumu, īpaši attiecībā uz strukturētu izmaiņu iespējošanu, ietekmes analīzi, apstiprinājumiem, testēšanu un izvērtēšanu pēc izmaiņām.
GDPR regulators var sākt ar fizisko personu tiesībām un brīvībām. ISO auditors var sākt ar dokumentētu risku izvērtēšanu un kontroles pasākumu ieviešanu. DORA pārbaudītājs var sākt ar IKT atkarību un noturību. NIS2 pārbaudītājs var sākt ar vadības pārraudzību un samērīgiem kiberdrošības pasākumiem.
Tai pašai DPIA pierādījumu ķēdei jāspēj apmierināt tos visus.
DPIA lēmumiem jāiztur incidenti
DPIA nav tikai pirmslaidiena apstiprinājuma artefakts. Tam jāuzlabo gatavība pārkāpumiem un incidentiem.
GDPR definē personas datu aizsardzības pārkāpumu kā drošības pārkāpumu, kas izraisa nejaušu vai nelikumīgu personas datu iznīcināšanu, nozaudēšanu, pārveidošanu, nesankcionētu izpaušanu vai piekļuvi tiem. NIS2 pieprasa bez nepamatotas kavēšanās paziņot par būtiskiem incidentiem, tostarp agrīnu brīdinājumu 24 stundu laikā, paziņojumu 72 stundu laikā un galīgo ziņojumu ne vēlāk kā vienu mēnesi pēc incidenta paziņojuma. DORA pieprasa finanšu struktūrām atklāt, pārvaldīt, reģistrēt žurnālos, klasificēt, eskalēt un paziņot par būtiskiem ar IKT saistītiem incidentiem, izmantojot sākotnējo, starpposma un galīgo ziņošanu, kā arī informēt klientus, ja tiek skartas finanšu intereses.
Ja DPIA ir fiksētas datu plūsmas, apstrādātāji, piekļuves kontroles pasākumi, glabāšana, žurnalēšana, šifrēšana, pseidonimizācija un incidentu atbildība, incidentu komanda var ātrāk atbildēt uz kritiskiem jautājumiem. Kādi personas dati bija iesaistīti? Kuras sistēmas un piegādātāji tika ietekmēti? Kuras fiziskās personas vai klienti varētu būt ietekmēti? Vai šifrēšana bija ieviesta? Kuri žurnāli ir pieejami? Kuri ziņošanas termiņi ir piemērojami? Kāda klientu vai regulatoru komunikācija ir nepieciešama?
Tāpēc DPIA pārvaldībai jābūt sasaistītai ar ISO/IEC 27001:2022 incidentu kontroles pasākumiem, darbības nepārtrauktības kontroles pasākumiem un IKT gatavības kontroles pasākumiem, kā arī ar NIS2 un DORA incidentu dzīves cikla prasībām.
Biežākās DPIA pārvaldības kļūmes
Kļūmes parasti izraisa atvienotas darbplūsmas, nevis pūļu trūkums.
| Kļūme | Kāpēc tā rada risku | Labāka prakse |
|---|---|---|
| Apstrādes reģistrs tiek atjaunināts pēc nodošanas ražošanas vidē | Reģistrs kļūst par vēsturisku uzskaiti, nevis projektēšanas kontroles pasākumu | Atjaunināt RoPA pirms apstiprinājuma |
| DPIA sākotnējā pārbaude nav iekļauta izmaiņu ievadē | Privātuma risks tiek atklāts pārāk vēlu | Pievienot obligātus jautājumus par personas datiem, piegādātāju, piekļuvi un glabāšanu |
| DPIA riski paliek privātuma mapē | Drošības riska apstrāde un atlikušā riska apstiprināšana nav izsekojama | Pārvērst DPIA konstatējumus ISMS riska reģistra ierakstos |
| Piegādātāju pārskatīšana balstās tikai uz anketām | Var tikt palaists garām apstrādes nolūks, datu atrašanās vieta, apakšapstrādātāji, audita tiesības un izstāšanās | Apvienot drošības, privātuma, juridisko un noturības pienācīgu pārbaudi |
| SoA trūkst privātuma un mākoņpakalpojumu pamatojuma | Auditori redz kontroles pasākumus, bet neredz riska loģiku | Sasaistīt kontroles pasākumus ar DPIA konstatējumiem, GDPR, NIS2 un DORA pienākumiem |
| Atlikušais risks tiek pieņemts neformāli | Vadības pārskatatbildība nav pierādāma | Reģistrēt DPO, riska īpašnieka un vadības apstiprinājumu ar nosacījumiem |
DPIA pārvaldības kontrolsaraksts
Izmantojiet šo kontrolsarakstu, lai integrētu DPIA ISMS, NIS2 gatavībā un DORA IKT izmaiņu pārvaldībā.
| Pārvaldības darbība | Īpašnieks | Minimālie pierādījumi |
|---|---|---|
| DPIA sākotnējā pārbaude iestrādāta projektu un izmaiņu ievadē | Izmaiņu pārvaldnieks un DPO | Ievades veidlapa, ierosinātāja lēmums un pamatojums |
| Apstrādes reģistrs atjaunināts pirms apstiprinājuma | Privātuma koordinators vai DPO | Nolūks, tiesiskais pamats, datu kategorijas, glabāšana un saņēmēji |
| Privātuma riski pārvērsti ISMS riskos | Risku pārvaldnieks un sistēmas īpašnieks | Riska ieraksti ar iespējamību, ietekmi, īpašnieku un riska apstrādes plānu |
| Kontroles pasākumi sasaistīti ar SoA | Informācijas drošības pārvaldības sistēmas vadītājs | Piemērojamie Annex A kontroles pasākumi, pamatojums un ieviešanas statuss |
| Piegādātāju un mākoņpakalpojumu pienācīga pārbaude pabeigta | Iepirkumi, drošība un juridiskā funkcija | Pakalpojumu sniedzēja izvērtēšana, līguma klauzulas, datu atrašanās vieta un izstāšanās pierādījumi |
| Drošības un privātuma testēšana pabeigta | Inženierija un drošība | Testēšanas rezultāti, piekļuves tiesību pārskatīšana, žurnalēšanas validācija un ievainojamību pierādījumi |
| Atlikušais risks pieņemts | Riska īpašnieks, DPO un vadība, ja nepieciešams | Apstiprinājuma ieraksts, nosacījumi un pārskatīšanas datums |
| Pārskatīšana pēc izmaiņām veikta | Izmaiņu īpašnieks un pakalpojuma īpašnieks | Pārskatīšanas piezīmes, incidenti, metrika un korektīvās darbības |
Tā nav birokrātija. Tā ir darbības pārskatatbildība. Tā palīdz CISO pierādīt, ka drošība tika ņemta vērā, DPO pierādīt, ka privātuma risks tika izvērtēts, atbilstības vadītājam pierādīt, ka kontroles pasākumi ir sasaistīti starp ietvariem, un uzņēmuma īpašniekam pierādīt, ka inovācija tika pārvaldīta atbildīgi.
Kā palīdz Clarysec
Clarysec pieeja ir paredzēta organizācijām, kuras saskaras ar pārklājošiem 2026. gada pienākumiem un sadrumstalotiem pierādījumiem.
Politiku rīkkopa nodrošina pārvaldības valodu. Datu aizsardzības un privātuma politika nosaka, kad DPIA ir nepieciešami un kas tos pārskata. Risku pārvaldības politika nosaka, kā jāstrukturē un jāsasaista riska ieraksti. Izmaiņu pārvaldības politika nodrošina, ka privātuma un drošības ietekme tiek izvērtēta pirms apstiprināšanas. Mākoņpakalpojumu izmantošanas politika pieprasa pienācīgu pārbaudi pirms mākoņpakalpojumu aktivizācijas.
Zenith Blueprint nodrošina ieviešanas ceļkarti. 13. solis pārvērš riska apstrādi un piemērojamības deklarāciju par savstarpējās atbilstības tiltu. 22. solis iestrādā drošību projektu vadībā. 21. solis padara izmaiņas mērķtiecīgas, pamatotas un auditējamas. 23. solis pārvērš PII aizsardzību par dzīves cikla kontroles pasākumu, kas balstīts uz datu apzināšanos, likumīgu izmantošanu, piekļuves ierobežošanu, piegādātāju uzraudzību un operatīviem privātuma procesiem.
Zenith Controls ceļvedis nodrošina savstarpējās atbilstības kompasu. DPIA pārvaldībai ISO/IEC 27002:2022 kontroles pasākumi 5.34, 5.8 un 8.32 sasaista privātuma aizsardzību, projektu pārvaldību un izmaiņu kontroli ar GDPR pārskatatbildību, NIS2 kiberdrošības pasākumiem, DORA IKT risku pārvaldību, NIST CSF rezultātiem un COBIT 2019 apliecinājumu.
Ja jūsu organizācija gatavojas GDPR pārskatatbildības pārskatīšanām, ISO/IEC 27001:2022 sertifikācijai, NIS2 gatavībai vai DORA darbības noturībai, sāciet ar DPIA ierosinātāju integrēšanu projektu un izmaiņu ievadē. Sasaistiet DPIA konstatējumus ar riska reģistru. Sasaistiet riska apstrādes pasākumus ar SoA. Validējiet piegādātājus un mākoņpakalpojumus pirms aktivizācijas. Saglabājiet vienu lēmuma ierakstu, kuru vadība, auditori un regulatori var izsekot.
Labākais DPIA nav tas, kas uzrakstīts pēc regulatora pieprasījuma. Tas ir tas, kas izveidoja sistēmu, pirms to pārbaudīja klienti, auditori vai incidenti.
Pārskatiet savu pašreizējo DPIA procesu pret Clarysec politiku rīkkopu, izmantojiet Zenith Blueprint, lai izveidotu auditam gatavu izsekojamību, un izmantojiet Zenith Controls, lai sasaistītu vienu kontroles pasākumu ietvaru starp GDPR, ISO/IEC 27001:2022, NIS2, DORA, NIST CSF un COBIT 2019. Pēc tam pārvērtiet savu nākamo izmaiņu ar ietekmi uz privātumu pārvaldītā, pierādījumos balstītā laidiena lēmumā, nevis pēdējā brīža atbilstības steidzamībā.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
