ISO 27701 privātuma kontroles pasākumu testēšana GDPR vajadzībām

Piektdienas privātuma audits, kas atklāja patieso problēmu
Piektdien plkst. 15.40 Maria, strauji augoša SaaS uzņēmuma informācijas drošības vadītāja (CISO), pieslēdzas videozvanam ar lielas perspektīvas korporatīvā klienta vadošo iepirkumu amatpersonu.
Viņas komanda vairākus mēnešus ir strādājusi pie privātuma informācijas pārvaldības sistēmas. Politikas ir apstiprinātas. Apstrādes darbību reģistrs pastāv. Uzņēmumam ir ISO 27701 gatavības plāns. Datu aizsardzības speciālistam ir datu subjektu pieprasījumu darbplūsmas. Juridiskā funkcija ir atjauninājusi datu apstrādes līgumus. Inženierijas komanda norāda, ka piekļuve produkcijas videi ir ierobežota.
Iepirkumu amatpersona sāk pieklājīgi, bet tieši.
“Paldies par dokumentāciju, Maria. Sertifikāts un politiku pakete ir labs sākumpunkts. Mūsu sākotnējās izpētes komanda nākammēnes ieradīsies klātienē. Viņi vēlēsies redzēt jūsu datu subjekta piekļuves pieprasījumu (DSAR) procesu darbībā, pārbaudīt datu minimizēšanas kontroles pasākumus mūsu testa kontiem, pārskatīt produkcijas vides piekļuves žurnālus un apskatīt pierādījumus, ka privātuma kontroles pasākumi tiek testēti, nevis tikai dokumentēti.”
Dažu minūšu laikā Maria saņem vēl divas ziņas.
Datu aizsardzības speciālists jautā, vai jaunā analītikas funkcionalitāte ir iekļauta apstrādes darbību reģistrā, tiesiskā pamata izvērtējumā, glabāšanas grafikā un apstrādātāja tālāk nododamajos pienākumos.
Atbilstības vadītājs jautā, vai ISO 27701:2025 gatavības pārskatīšana var pierādīt, ka PIMS kontroles pasākumi darbojas efektīvi.
Šajā brīdī daudzas privātuma programmas sāk svārstīties. Organizācijai ir privātuma dokumenti, bet nav privātuma pierādījumu. Ir darbplūsmas, bet nav pierādījumu, kas balstīti uz izlases paraugiem. Ir līgumi, bet uzraudzības ieraksti ir vāji. Ir iekšēja pārliecība, bet nav aizstāvamas audita pēdas.
Šī plaisa ir atšķirība starp formālu atbilstību uz papīra un pierādāmu pārskatatbildību.
GDPR šo problēmu padara nepārprotamu. Pārzinis ir atbildīgs par atbilstību datu aizsardzības principiem un spēj to pierādīt. Personas dati jāapstrādā likumīgi, godprātīgi, pārredzami, noteiktiem nolūkiem, tikai nepieciešamajā apjomā, precīzi, jāglabā tikai tik ilgi, cik nepieciešams, un jāaizsargā ar atbilstošiem tehniskajiem un organizatoriskajiem pasākumiem.
ISO 27701:2025 organizācijām nodrošina privātuma pārvaldības struktūru. ISO/IEC 27001:2022 nodrošina ISMS pamatu darbības jomai, riska apstrādei, darbības kontroles pasākumiem, iekšējam auditam, vadības pārskatīšanai un nepārtrauktai uzlabošanai. GDPR nosaka juridisko pārskatatbildības slogu. NIS2, DORA, NIST CSF 2.0, COBIT 2019 tipa apliecinājums un klientu drošības pārskatīšana palielina spiedienu pierādīt, ka kontroles pasākumi darbojas.
Clarysec skatījums ir vienkāršs: privātuma kontroles pasākumu testēšana nedrīkst būt ikgadēja ekrānuzņēmumu vākšana pēdējā brīdī. Tai jābūt PIMS pierādījumu sistēmai, kas vienā izsekojamā modelī sasaista apstrādes darbības, piemērojamos kontroles pasākumus, riskus, paraugus, tehniskās pārbaudes, konstatējumus, CAPA un vadības pārskatīšanu.
Tieši šeit Clarysec PIMS politiku kopums, Zenith Blueprint: auditora 30 soļu ceļvedis un Zenith Controls: savstarpējās atbilstības ceļvedis kļūst par praktiskiem darbības rīkiem, nevis plauktā glabājamu materiālu.
Privātuma kontroles pasākumu testēšana ir tilts starp politiku un pārskatatbildību
Privātuma kontroles pasākuma tests atbild uz trim praktiskiem jautājumiem:
- Vai kontroles pasākums ir projektēts tā, lai izpildītu privātuma pienākumu vai samazinātu privātuma risku?
- Vai kontroles pasākums ir ieviests attiecīgajā procesā, sistēmā, komandā, piegādātājā vai produkta darbplūsmā?
- Vai kontroles pasākums laika gaitā darbojas efektīvi, pamatojoties uz pierādījumiem, kas apmierinātu auditoru, klientu, regulatoru vai valdes komiteju?
SaaS uzņēmums var apgalvot, ka atbalsta dzēšanas pieprasījumus. Projektējuma tests pārbauda, vai ir definēta dzēšanas politika, identitātes pārbaudes process, atbildības modelis, apstrādātāju koordinācija, glabāšanas izņēmumi un rīcība ar rezerves kopijām. Darbības efektivitātes tests atlasa pabeigtus dzēšanas pieprasījumus, salīdzina laikspiedolus, pārbauda apstiprinājumus, pārskata sistēmu žurnālus, pārbauda pakārtoto apstrādātāju paziņojumus un apstiprina slēgšanas pierādījumus.
PIMS uzraudzības, audita un uzlabošanas politika pārvērš šo prasību auditējamā formā:
[Abi] Iekšējā audita / atbilstības pārbaudītājam katra PIMS audita laikā ir jātestē piemērojamo PIMS kontroles pasākumu ieviešanas statuss pret REG03.
No sadaļas “PIMS iekšējā audita programma”, politikas punkts 4.2.5.
Frāze “pret REG03” ir būtiska. Testēšana nav brīvas formas intervija. REG03 darbojas kā PIMS kontroles pasākumu piemērojamības un ieviešanas atsauce. Tas parāda, kas ir piemērojams, kāpēc tas ir piemērojams un kādi pierādījumi jānodrošina.
Tā pati politika papildina:
[Abi] Iekšējā audita / atbilstības pārbaudītājam katra PIMS audita laikā REG12 ir jāreģistrē izvēlētais personu identificējošas informācijas (PII) apstrādes pierādījumu paraugs.
No sadaļas “PIMS iekšējā audita programma”, politikas punkts 4.2.6.
Tā ir ISO 27701:2025 privātuma kontroles pasākumu testēšanas būtība. PIMS audits bez parauga ir saruna. PIMS audits ar izvēlētiem pierādījumiem, kontroles pasākumu kartējumu, izņēmumiem, korektīvajām darbībām un izsekojamību līdz vadības pārskatīšanai ir pārskatatbildība.
Sāciet ar darbības jomu, lomu un apstrādes realitāti
Lielākā daļa vāju privātuma auditu izgāžas vēl pirms testēšanas sākuma. Tajos tiek atlasīti vispārīgi kontroles pasākumi, neapstiprinot, kādi personas dati tiek apstrādāti, kur tie atrodas, kuras sistēmas un piegādātāji tiem pieskaras un vai organizācija darbojas kā pārzinis, apstrādātājs, kopīgs pārzinis vai apakšapstrādātājs.
GDPR pienākumi būtiski atšķiras atkarībā no lomas. Pārzinim, kas nosaka, kāpēc un kā personas dati tiek apstrādāti, ir citi pienākumi nekā apstrādātājam, kas rīkojas saskaņā ar dokumentētiem klienta norādījumiem. Būtiska ir arī datu sensitivitāte. Darbinieku dati, klientu kontu dati, telemetrija, finanšu dati, biometriskā pārbaude, ar veselību saistīti dati, sankciju pārbaudes dati un dati par noziedzīgiem nodarījumiem nerada vienādu risku.
Spēcīga ISO 27701:2025 testēšanas programma sākas ar disciplinētu darbības jomas noteikšanu.
| Darbības jomas jautājums | Pārbaudāmie pierādījumi | Kāpēc tas ir svarīgi |
|---|---|---|
| Kuras PII apstrādes darbības ir darbības jomā? | Apstrādes darbību reģistrs, datu plūsmas karte, sistēmu uzskaite, piegādātāju reģistrs | Testēšanai jāatlasa reāla apstrāde, nevis abstrakti politikas apgalvojumi |
| Kura PIMS loma ir piemērojama? | Pārziņa, apstrādātāja, kopīga pārziņa un apakšapstrādātāja kartējums | GDPR pienākumi un PIMS kontroles pasākumi atšķiras pēc lomas |
| Kādi juridiskie, līgumiskie un regulatīvie pienākumi ir piemērojami? | GDPR izvērtējums, klientu DPA, nozares noteikumi, datu nosūtīšanas izvērtējumi | Kontroles pasākuma projektējumam jāatspoguļo faktiskie pienākumi |
| Kuras sistēmas un piegādātāji apstrādā PII? | Aktīvu uzskaite, mākoņvides uzskaite, apstrādātāju saraksts, piekļuves matrica | Darbības testi prasa tehniskus un trešo pušu pierādījumus |
| Kuras izmaiņas ietekmē PII apstrādi? | Produkta izmaiņu ieraksti, DPIA trigeri, laidienu piezīmes, arhitektūras izvērtējums | Integrētā datu aizsardzība jātestē pirms palaišanas, nevis pēc sūdzībām |
ISO/IEC 27001:2022 atbalsta šo integrēto pieeju ar prasībām par organizācijas kontekstu, ieinteresēto pušu prasībām, juridiskajiem un līgumiskajiem pienākumiem, pārvaldības sistēmas darbības jomu, darbības plānošanu un riska apstrādi. Privātuma kontekstā tas nozīmē, ka PII apstrāde nedrīkst atrasties atvienotā izklājlapā. Tai jābūt ISMS un PIMS darbības modeļa daļai.
Privātuma informācijas pārvaldības sistēmas politika tieši sasaista privātuma testēšanu ar pārvaldību:
[Visi] Augstākajai vadībai katru gadu REG12 ir jāpārskata PIMS veiktspēja, privātuma mērķi, atvērtie riski, neatbilstības, korektīvās darbības un uzlabošanas lēmumi.
No sadaļas “PIMS pārvaldība”, politikas punkts 6.1.1.
Ja testēšana identificē privātuma nepilnību, tā nav tikai audita piezīme. Tā ir pārvaldības sistēmas ievade, kurai jāietekmē riska apstrāde, prioritātes, resursi un vadības lēmumi.
Projektējuma efektivitāte pret darbības efektivitāti
Kad klients jautā, vai privātuma kontroles pasākumi tiek testēti, parasti viņš domā darbības efektivitāti. Tomēr auditori pārbaudīs arī projektējuma efektivitāti.
Projektējuma ziņā efektīvs kontroles pasākums spēj izpildīt prasību, ja tas tiek veikts paredzētajā veidā. Darbības ziņā efektīvs kontroles pasākums faktiski tiek veikts konsekventi un ir pamatots ar pierādījumiem.
| Kontroles joma | Projektējuma efektivitātes tests | Darbības efektivitātes tests |
|---|---|---|
| Piekrišanas iegūšana | Pārbaudīt politiku, piekrišanas tekstu, tiesiskā pamata noteikumus, lietotāja saskarnes prasības un atsaukšanas darbplūsmu | Atlasīt piekrišanas ierakstus un atsaukumus, salīdzināt laikspiedolus, pārbaudīt izslēgšanu pēc atsaukuma |
| Nolūka ierobežojumi | Pārskatīt RoPA, privātuma paziņojumu, produkta prasības, piekrišanas nodalīšanu un datu izmantošanas noteikumus | Atlasīt lietotāju ierakstus, žurnālus, eksportus un analītikas plūsmas, lai apstiprinātu, ka PII netiek atkārtoti izmantota neatļautiem nolūkiem |
| Piekļuve PII | Pārskatīt piekļuves politiku, lomu modeli, darbinieku pieņemšanas, pārcelšanas un darba attiecību izbeigšanas procedūru un apstiprināšanas darbplūsmu | Atlasīt lietotājus ar piekļuvi PII, pārbaudīt apstiprinājumu, biznesa vajadzību, MFA un nesenu piekļuves tiesību pārskatīšanu |
| Apstrādātāja piesaiste | Pārskatīt sākotnējās izpētes kritērijus, DPA klauzulas, apakšapstrādātāju noteikumus un datu nosūtīšanas aizsardzības pasākumus | Atlasīt apstrādātāju, pārbaudīt izvērtējumu, līgumu, drošības pārskatīšanu un apakšapstrādātāju uzraudzības pierādījumus |
| Glabāšana un dzēšana | Pārskatīt glabāšanas grafiku, izņēmumu noteikumus, dzēšanas procedūru un sistēmas spēju | Atlasīt dzēstos ierakstus vai dzēšanas pieprasījumus, pārbaudīt žurnālus, pieteikumus un apstrādātāju apstiprinājumus |
| Pārkāpumu apstrāde | Pārskatīt incidentu klasifikāciju, privātuma eskalāciju un kritērijus paziņošanai uzraudzības iestādei | Atlasīt incidentu ierakstus, pārbaudīt triāžu, lēmuma pamatojumu, paziņojumus un gūtās mācības |
Audita un atbilstības uzraudzības politika mērķi formulē tieši:
Validēt drošības un privātuma kontroles pasākumu efektivitāti
No sadaļas “Mērķis”, politikas punkts 1.1.1.
SME versija saglabā to pašu apliecinājuma principu operatīvā valodā. Audita un atbilstības uzraudzības politika - SME nosaka:
Šī politika nosaka organizācijas pieeju iekšējo auditu, drošības kontroles pasākumu pārskatīšanas un atbilstības uzraudzības veikšanai. Tā nodrošina, ka visi kontroles pasākumi, politikas, sistēmas un pakalpojumu sniedzēji tiek regulāri un strukturēti pārskatīti.
No sadaļas “Mērķis”, politikas punkts 1.1.
ISO 27701 gatavība nav atkarīga no uzņēmuma lieluma. 30 cilvēku SaaS apstrādātājam var nebūt vajadzīgi tādi paši audita rīki kā globālai bankai, bet tam joprojām jāpierāda, ka piekļuve, dzēšana, incidentu eskalācija, apakšapstrādātāju pārvaldība un pierādījumu glabāšana tiek kontrolēta.
Clarysec pierādījumu ķēde: REG03, REG12, CAPA un pārskatīšana
Clarysec strukturē privātuma kontroles pasākumu testēšanu ap vienkāršu pierādījumu ķēdi.
REG03 definē piemērojamos PIMS kontroles pasākumus un ieviešanas statusu. REG12 reģistrē paraugus, pierādījumus, konstatējumus, izsekojamības nepilnības, korektīvo darbību verifikāciju un vadības pārskatīšanas ievades. CAPA ieraksti pārvērš konstatējumus uz pamatcēloni balstītos uzlabojumos. Augstākā vadība pārskata PIMS veiktspēju, riskus, neatbilstības, korektīvās darbības un uzlabošanas lēmumus.
PIMS dokumentētas informācijas un pierādījumu pārvaldības politika prasa fiksēt pierādījumu kvalitātes problēmas:
[Visi] Iekšējā audita / atbilstības pārbaudītājam katra plānotā audita vai atbilstības pārskatīšanas laikā REG12 ir jāreģistrē pierādījumu pilnīguma, precizitātes vai izsekojamības nepilnības.
No sadaļas “Pierādījumu izveide, nosaukšana un kvalitāte”, politikas punkts 4.3.4.
Tas ir svarīgi, jo ne katrs konstatējums ir pilnīga kontroles kļūme. Dažreiz kontroles pasākums darbojās, bet pierādījumi ir nepilnīgi. Dažreiz dzēšanas pieteikums ir slēgts, bet nav sistēmas žurnāla, kas pierāda dzēšanu. Dažreiz apstrādes darbību reģistrā ir norādīts CRM, bet trūkst datu noliktavas eksporta. Dažreiz piegādātāja līgums pastāv, bet pastāvīga uzraudzība nenotiek.
Audita un atbilstības uzraudzības politika prasa arī strukturētus iekšējos auditus:
Iekšējiem auditiem jānotiek saskaņā ar dokumentētu procedūru, kas ietver:
No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.1.1.
Un, ja rodas konstatējumi:
Visiem konstatējumiem jārezultējas dokumentētā CAPA, kas ietver:
No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.2.1.
Risku pārvaldības politika - SME pastiprina slēgšanas disciplīnu:
Riska apstrādes darbību pabeigšana un efektivitāte ir jāverificē.
No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.3.2.
PIMS uzraudzības, audita un uzlabošanas politika noslēdz ciklu:
[Visi] Iekšējā audita / atbilstības pārbaudītājam REG12 ir jāverificē korektīvās darbības efektivitāte 30 dienu laikā pēc paziņotās korektīvās darbības slēgšanas.
No sadaļas “Neatbilstība un korektīvā darbība”, politikas punkts 4.4.7.
Tā ir atšķirība starp pieteikuma salabošanu un pārvaldības sistēmas uzlabošanu.
Praktiskais tests 1: dzēšanas pieprasījumi un GDPR pārskatatbildība
Dzēšanas pieprasījumi ir viens no skaidrākajiem veidiem, kā pārbaudīt, vai privātuma pārskatatbildība darbojas praksē.
Pieņemsim, ka vidēja tirgus SaaS uzņēmums darbojas gan kā pārzinis, gan kā apstrādātājs. Tas kontrolē darbinieku, mārketinga un norēķinu datus. Tas apstrādā klientu galalietotāju datus korporatīvo klientu vārdā. Organizācija vēlas pārbaudīt, vai dzēšanas kontroles pasākumi ir gatavi ISO 27701:2025 auditam un GDPR klientu apliecinājumam.
1. solis: atlasiet apstrādes darbību no REG03
Izvēlieties apstrādes darbību ar reālu privātuma risku, piemēram, “klienta galalietotāja profila dati, kas apstrādāti SaaS platformā”. Apstipriniet, vai organizācija darbojas kā pārzinis, apstrādātājs vai abi. Identificējiet saistītos kontroles pasākumus tiesību īstenošanai, apstrādātāja norādījumu validācijai, glabāšanai, dzēšanai, piekļuves kontrolei, žurnālfiksēšanai, rīcībai ar rezerves kopijām un piegādātāju koordinācijai.
2. solis: definējiet precīzu testa mērķi
Noderīgs testa mērķis ir konkrēts un balstīts uz pierādījumiem:
“Pārbaudīt, ka klientu galalietotāju profila datu dzēšanas pieprasījumi tiek saņemti, autentificēti vai validēti kā norādījumi, izpildīti noteiktajā darbplūsmā, reģistrēti žurnālos, tehniski pabeigti produkcijas sistēmās, attiecīgajos gadījumos nodoti attiecīgajiem apakšapstrādātājiem un slēgti ar pierādījumiem.”
3. solis: paņemiet reprezentatīvu paraugu
Atlasiet piecus dzēšanas pieprasījumus no pēdējā ceturkšņa. Iekļaujiet vienu rutīnas pieprasījumu, vienu pieprasījumu, kurā iesaistīts klienta administrators, vienu apstrādātāja norādījuma pieprasījumu, vienu pieprasījumu ar glabāšanas izņēmumu un vienu pieprasījumu, kas skar rīcību ar rezerves kopijām.
Zenith Blueprint Audita, pārskatīšanas un uzlabošanas posma 26. solī “Audita izpilde” uzsver izlases veidošanu un pierādījumu vākšanu:
✓ Intervējiet attiecīgo personālu: lūdziet par procesiem atbildīgajiem cilvēkiem izskaidrot, kā viņi izpilda prasības. Piemēram, jautājiet riska īpašniekam par pēdējo riska izvērtēšanu vai jautājiet personāla funkcijai, kā jaunie darbinieki tiek apmācīti drošībā (lai aptvertu kontroli 6.3 par informētību).
✓ Pārskatiet dokumentāciju: pārbaudiet, vai dokumenti un ieraksti pastāv un ir aktuāli.
✓ Novērojiet praksi: ja iespējams, veiciet tiešu novērojumu.
✓ Atlasiet paraugus un veiciet izlases pārbaudes: visu pārbaudīt nav iespējams, tāpēc izmantojiet izlasi.
No Audita, pārskatīšanas un uzlabošanas posma, 26. solis: Audita izpilde (iekšējā audita veikšana).
4. solis: pārbaudiet pierādījumus katram paraugam
Katram atlasītajam pieprasījumam savāciet saņemšanas pieteikumu, lomas klasifikāciju, identitātes pārbaudi vai klienta autorizāciju, sistēmas dzēšanas žurnālu, glabāšanas izņēmuma lēmumu, skaidrojumu par rīcību ar rezerves kopijām, apakšapstrādātāja paziņojumu, slēgšanas komunikāciju, laikspiedolus un pārskatītāja apstiprinājumu.
5. solis: reģistrējiet rezultātus REG12
REG12 reģistrējiet paraugu, pierādījumu avotu, kontroles rezultātu, izņēmumu un izsekojamības nepilnību. Ja dzēšana notika, bet nav produkcijas vides žurnāla, kontroles pasākums, iespējams, darbojās, taču pierādījumi ir vāji. Ja pieprasījums kavējās neskaidras piegādātāja atbildības dēļ, konstatējums var būt saistīts ar trešo pušu pārvaldību un līgumisko pienākumu tālāk nodošanu.
6. solis: izveidojiet CAPA un verificējiet efektivitāti
Ja pamatcēlonis ir neskaidra atbildība starp atbalsta, juridisko un inženierijas funkciju, CAPA var ietvert pārskatītu darbplūsmu, atjauninātu RACI, obligātos pierādījumu laukus un ikmēneša dzēšanas paraugu pārbaudes.
Zenith Blueprint Audita, pārskatīšanas un uzlabošanas posma 29. solī skaidro slēgšanas prasību:
Plānojiet, kā verificēsiet katras korektīvās darbības efektivitāti. Tas var nozīmēt pēcpārbaudes audita vai pārbaudes ieplānošanu. Piemēram, ja korektīvā darbība bija apmācīt IT personālu piekļuves kontrolē, varat plānot pēc viena mēneša pārskatīt jaunus kontus, lai pārliecinātos, ka visiem ir pienācīgi apstiprinājumi (verifikācija).
No Audita, pārskatīšanas un uzlabošanas posma, 29. solis: Nepārtraukta uzlabošana (korektīvās darbības un gūtās mācības).
Dzēšanas gadījumā verifikācija var nozīmēt nākamo piecu dzēšanas pieprasījumu atlasi pēc pārskatītās darbplūsmas nodošanas produkcijas vidē. Tikai pēc tam CAPA būtu slēdzama.
Praktiskais tests 2: nolūka ierobežojumi un datu minimizēšana
Otrs augstas vērtības tests ir nolūka ierobežojumi. Tas ir īpaši noderīgi pirms klientu sākotnējās izpētes, analītikas palaišanas, AI bagātināšanas, datu noliktavas paplašināšanas vai mārketinga automatizācijas izmaiņām.
Maria SaaS platforma vāc klientu lietotāju datus pakalpojuma nodrošināšanai. Kontroles mērķis ir nodrošināt, ka PII tiek izmantota tikai noteiktiem un leģitīmiem nolūkiem un netiek atkārtoti izmantota mārketinga analītikai, ja vien lietotājs nav devis nepārprotamu, atsevišķu piekrišanu, kur tas ir nepieciešams.
| Pierādījumu veids | Konkrēti artefakti |
|---|---|
| Dokumentācija | Datu aizsardzības un privātuma politika, RoPA, klienta DPA, privātuma paziņojumi, piekrišanas pārvaldības ieraksti |
| Tehniskā konfigurācija | Lietojumprogrammas datu apstrādes noteikumi, datubāzu shēmas, API konfigurācijas, ETL uzdevumu iestatījumi |
| Žurnāli un ieraksti | Lietojumprogrammas piekļuves žurnāli, datubāzes vaicājumu žurnāli, piekrišanas izmaiņu vēsture, kampaņu eksporta ieraksti |
| Personāla pierādījumi | Intervijas ar produkta īpašnieku, vadošo izstrādātāju, datubāzes administratoru un privātuma īpašnieku |
Spēcīgs darbības tests neapstājas pie politikas. Tas atlasa lietotājus, kuri ir piekrituši mārketingam, un lietotājus, kuri nav piekrituši. Tas izseko, vai piekrišanas statuss ir pareizi atspoguļots pamata lietojumprogrammu datubāzēs, datu noliktavas tabulās, kampaņu rīkos, informācijas paneļos un eksportos. Ja lietotāji bez piekrišanas parādās mārketinga auditorijā, organizācijai ir konkrēta neatbilstība.
SME Audita un atbilstības uzraudzības politika ar tehniskās testēšanas piemēru sniedz pareizo domāšanas veidu:
Tehnisko kontroles pasākumu verifikācija (piemēram, rezerves kopiju statuss, piekļuves kontroles konfigurācija, ielāpu ieraksti)
No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.1.1.2.
Privātuma kontekstā tehnisko kontroles pasākumu verifikācija ietver piekrišanas sinhronizācijas pārbaudes, piekļuves kontroles eksportus, dzēšanas žurnālus, šifrēšanas iestatījumus, datu maskēšanas testus, DLP brīdinājumus, rezerves kopiju ierobežojumus, uzraudzības notikumus un piegādātāju pierādījumus.
Privātuma testēšanas kartēšana uz ISO/IEC 27001:2022 un Clarysec savstarpējo atbilstību
Privātuma kontroles pasākumi nedarbojas izolēti. PII aizsardzība ir atkarīga no aktīvu uzskaites, klasifikācijas, piekļuves kontroles, mākoņpakalpojumu pārvaldības, datu maskēšanas, informācijas pārsūtīšanas, žurnālfiksēšanas, uzraudzības, dzēšanas, ierakstu aizsardzības, piegādātāju uzraudzības un neatkarīgas pārskatīšanas.
Zenith Controls: savstarpējās atbilstības ceļvedī ISO/IEC 27001:2022 Annex A kontroles pasākums 5.34 “Privātums un PII aizsardzība” ir kartēts kā preventīvs kontroles pasākums, kas saskaņots ar konfidencialitāti, integritāti un pieejamību, ar kiberdrošības jēdzieniem Identify un Protect, kā arī ar informācijas aizsardzības un juridisko lietu un atbilstības darbības spējām.
Tā saikne ar uzskaiti ir tieša:
Informācijas aktīvu uzskaitē (5.9) jāiekļauj PII datu kopumi (klientu datubāzes, HR datnes). Tas atbalsta 5.34, nodrošinot, ka organizācija zina, kādi PII tai ir un kur tie atrodas; tas ir pirmais solis to aizsardzībā.
No Zenith Controls, Privātums un PII aizsardzība, kontroles pasākums 5.34.
Audita testēšanā tas nozīmē, ka privātuma auditoram nevajadzētu sākt tikai ar privātuma paziņojumu. Jāsāk ar PII uzskaiti, apstrādes darbību reģistru, datu plūsmām, aktīvu uzskaiti un piegādātāju uzskaiti. Ja uzskaite ir nepilnīga, pakārtotie privātuma kontroles pasākumi nevar būt pilnībā uzticami.
Ceļvedī ISO/IEC 27001:2022 Annex A kontroles pasākums 5.34 ir kartēts arī uz saistītiem kontroles pasākumiem, piemēram, 5.9 Informācijas un citu saistīto aktīvu uzskaite, 5.12 Informācijas klasifikācija, 5.14 Informācijas pārsūtīšana, 5.15 Piekļuves kontrole, 5.16 Identitātes pārvaldība, 5.23 Informācijas drošība mākoņpakalpojumu izmantošanā, 5.33 Ierakstu aizsardzība, 8.11 Datu maskēšana, 8.12 Datu noplūdes novēršana un 8.10 Informācijas dzēšana.
Īpaši būtiski ir vēl divi ISO/IEC 27001:2022 Annex A kontroles pasākumi:
| ISO/IEC 27001:2022 kontroles pasākums | Nozīme privātuma testēšanā | Pierādījumu piemēri |
|---|---|---|
| 5.34 Privātums un PII aizsardzība | Apstiprina, ka privātuma un PII aizsardzības prasības ir ieviestas, pamatojoties uz likumiem, regulējumu un līgumiem | Apstrādes darbību reģistrs, DPIA, tiesiskā pamata ieraksti, DSR pierādījumi, glabāšanas žurnāli |
| 5.35 Informācijas drošības neatkarīga pārskatīšana | Nodrošina objektīvu validāciju, ka drošības kārtība, tostarp privātumam nozīmīgi kontroles pasākumi, tiek neatkarīgi pārskatīti | Iekšējā audita pārskati, ārējās pārskatīšanas rezultāti, REG12 paraugi, CAPA ieraksti |
| 5.36 Atbilstība informācijas drošības politikām, noteikumiem un standartiem | Apstiprina pastāvīgu atbilstību iekšējiem noteikumiem un standartiem | Politiku ievērošanas pārskatīšana, piekļuves pārbaudes, uzraudzības rezultāti, izņēmumu žurnāli |
Datu aizsardzības un privātuma politika prasa:
Iekšējais privātuma atbilstības audits jāveic katru gadu vai būtisku organizatorisku vai regulatīvu izmaiņu gadījumā. Audita darbības jomā jāiekļauj:
No sadaļas “Pārvaldības prasības”, politikas punkts 5.4.
Tā papildus ietver:
Tehnisko un organizatorisko pasākumu efektivitāte
No sadaļas “Pārvaldības prasības”, politikas punkts 5.4.1.
Datu aizsardzības un privātuma politika - SME saglabā to pašu prasību praktiskā formā:
Regulāri privātuma auditi vai kontroles pārbaudes jāveic un jāreģistrē
No sadaļas “Pārvaldības prasības”, politikas punkts 5.3.3.
Kāpēc GDPR pārskatatbildība tagad ir kiberdrošības pārvaldības jautājums
Privātuma pierādījumus vairs nepieprasa tikai privātuma auditori. Tos pašus pierādījumus var pieprasīt ISO 27701:2025 auditors, ISO/IEC 27001:2022 auditors, GDPR pārbaudītājs, NIS2 kompetentā iestāde, DORA regulēts klients, NIST CSF izvērtētājs vai valdes risku komiteja.
NIS2 Article 21 prasa, lai būtiskās un svarīgās vienības ieviestu atbilstošus un samērīgus tehniskos, operatīvos un organizatoriskos pasākumus kiberdrošības risku pārvaldībai. Article 21(2)(f) tieši ietver politikas un procedūras kiberdrošības risku pārvaldības pasākumu efektivitātes izvērtēšanai. NIS2 arī nosaka, ka vadības struktūras ir atbildīgas par kiberdrošības risku pārvaldības pasākumu apstiprināšanu un pārraudzību.
DORA finanšu vienībām ir piemērojama no 2025. gada 17. janvāra un nosaka detalizētu digitālās darbības noturības noteikumu kopumu. Tā prasa IKT risku pārvaldību, vadības struktūras pārraudzību, iekšējo auditu, kritisku konstatējumu novēršanu, incidentu klasifikāciju un ziņošanu, noturības testēšanu, trešo pušu IKT risku pārvaldību, līgumiskos kontroles pasākumus, IKT pakalpojumu līgumu reģistrus un izstāšanās stratēģijas. IKT pakalpojumu sniedzējiem, kas apkalpo finanšu vienības, jārēķinās ar DORA virzītiem pierādījumu pieprasījumiem klientu apliecinājuma ietvaros.
NIST CSF 2.0 nodrošina noderīgu tulkošanas slāni. Tā GOVERN funkcija paredz, ka organizācijas saprot iesaistīto pušu gaidas, atkarības un juridiskos, regulatīvos, līgumiskos, privātuma un pilsonisko brīvību pienākumus. Tā profilu pieeja palīdz salīdzināt pašreizējos rezultātus ar mērķa rezultātiem, identificēt nepilnības un prioritizēt rīcības plānus.
| Prasību spiediens | Kas jānodrošina privātuma kontroles pasākumu testēšanai | Clarysec atskaites punkts |
|---|---|---|
| GDPR pārskatatbildība | Pierādījumi, ka principi, tiesiskais pamats, tiesības, drošība, glabāšana un apstrādātāju pienākumi ir pierādāmi izpildīti | PIMS politikas, REG03, REG12, CAPA |
| ISO 27701:2025 gatavība | Testēti PIMS kontroles pasākumi, uz lomām balstīta piemērojamība, pierādījumu kvalitāte, iekšējais audits, vadības pārskatīšana | PIMS uzraudzības, audita un uzlabošanas politika |
| ISO/IEC 27001:2022 apliecinājums | Riska apstrādes izsekojamība, SoA pamatojums, darbības kontroles pasākumi, audits, pārskatīšana, uzlabošana | Zenith Blueprint, Zenith Controls savstarpējās atbilstības ceļvedis |
| NIS2 pārvaldība | Efektivitātes izvērtēšana, gatavība incidentiem, piegādātāju kontroles pasākumi, vadības pārraudzība | ISO/IEC 27001:2022 Annex A kontroles pasākumu 5.35 un 5.36 kartējums |
| DORA apliecinājums | IKT kontroles pasākumu testēšana, noturības testēšana, trešo pušu pierādījumi, incidentu dzīves cikla ieraksti | Krusteniski kartēts audita pierādījumu modelis |
| NIST CSF 2.0 | Pašreizējais profils, mērķa profils, nepilnību analīze, prioritizēti uzlabojumi | Zenith Blueprint 24., 26. un 29. solis |
Zenith Blueprint 24. solī pastiprina izsekojamību:
Jūsu SoA jābūt saskaņotam ar Riska reģistru un Risku apstrādes plānu. Vēlreiz pārbaudiet, vai katrs kontroles pasākums, kuru izvēlējāties kā riska apstrādi, SoA ir atzīmēts kā “Piemērojams”. Savukārt, ja kontroles pasākums SoA ir atzīmēts kā “Piemērojams”, tam jābūt pamatojumam — parasti kartētam riskam, juridiskai/regulatīvai prasībai vai biznesa vajadzībai.
No Audita, pārskatīšanas un uzlabošanas posma, 24. solis: Audits, pārskatīšana un uzlabošana.
Privātuma kontroles pasākumu testēšanā tas pats princips attiecas uz PIMS piemērojamību. Katram piemērojamam privātuma kontroles pasākumam jābūt izsekojamam līdz apstrādes riskam, juridiskam pienākumam, klienta prasībai vai biznesa vajadzībai. Katram testam jābūt izsekojamam atpakaļ līdz šim kontroles pasākumam.
Kā dažādi auditori vērtēs vienu un to pašu kontroles pasākumu
Spēcīga privātuma testēšanas programma paredz auditora skatpunktu. Tas pats dzēšanas kontroles pasākums, piekļuves kontrole vai apstrādātāja piesaistes kontroles pasākums tiks interpretēts atšķirīgi atkarībā no pārskatīšanas konteksta.
| Auditora skatpunkts | Iespējamais audita jautājums | Sagaidāmie pierādījumi |
|---|---|---|
| ISO 27701:2025 auditors | Vai uz lomām balstītie PIMS kontroles pasākumi ir ieviesti, izvērtēti un uzlaboti? | REG03 piemērojamība, REG12 paraugi, apstrādes darbību reģistrs, politiku kartējums, audita rezultāti |
| ISO/IEC 27001:2022 auditors | Vai ar privātumu saistītais kontroles pasākums ir integrēts riska apstrādē, SoA, darbības kontroles pasākumos, iekšējā auditā un vadības pārskatīšanā? | Riska reģistrs, SoA pamatojums, apstrādes plāns, kontroles pasākuma pierādījumi, vadības pārskatīšanas protokoli |
| GDPR pārbaudītājs | Vai pārzinis var pierādīt atbilstību GDPR principiem un pienākumiem? | Tiesiskais pamats, paziņojumi, DSR žurnāli, DPIA, līgumi, pārkāpumu ieraksti, glabāšanas pierādījumi |
| NIST CSF izvērtētājs | Vai organizācija zina pienākumus, definē mērķa rezultātus, mēra nepilnības un uzlabo? | Pašreizējais un mērķa profils, nepilnību plāns, riska prioritizēšana, pārvaldības ieraksti |
| DORA orientēts klients vai regulators | Vai IKT kontroles pasākumi tiek testēti, incidenti klasificēti, piegādātāji uzraudzīti un kritiskie pakalpojumi ir noturīgi? | Testēšanas programma, incidentu ieraksti, piegādātāju reģistrs, līgumi, izstāšanās plāni |
| ISACA vai COBIT 2019 tipa auditors | Vai mērķi, atbildība, metrikas, problēmu slēgšana un pārvaldības pārraudzība ir efektīva? | RACI, KPI, problēmu žurnāli, CAPA verifikācija, ziņošana vadībai |
Tieši tāpēc REG12 ir tik vērtīgs. Tas pārvērš privātuma atbilstību auditējamos pārvaldības pierādījumos.
Biežākie konstatējumi PIMS kontroles pasākumu testēšanā
Clarysec atkārtoti redz vienus un tos pašus privātuma audita konstatējumus organizācijās, kas gatavojas ISO 27701:2025 sertifikācijai, GDPR klientu apliecinājumam vai korporatīvai sākotnējai izpētei.
Apstrādes darbību reģistrs neatbilst sistēmu realitātei
Apstrādes darbību reģistrā ir norādīts CRM un atbalsta platformas, bet inženieri ir pievienojuši analītikas eksportus, novērojamības žurnālus, AI rīkus un datu noliktavas tabulas.
Testa reakcija: atlasiet sistēmas no aktīvu uzskaites un mākoņvides uzskaites un pēc tam salīdziniet tās ar apstrādes darbību reģistru. Kā audita pamatojumu izmantojiet saistību starp ISO/IEC 27001:2022 Annex A kontroles pasākumiem 5.9 un 5.34.
PII piekļuve ir apstiprināta, bet netiek periodiski pārskatīta
Sākotnējie apstiprinājumi pastāv, bet priviliģētās piekļuves pārskatīšana neietver atbalsta uzdošanās rīkus, produkcijas datubāzes, BI informācijas paneļus vai ārkārtas kontus.
Testa reakcija: atlasiet aktīvos lietotājus ar PII piekļuvi un salīdziniet lomu, biznesa vajadzību, apstiprinājumu, MFA statusu, pēdējo pieteikšanos un pārskatīšanas pierādījumus.
Apstrādātāju līgumi pastāv, bet uzraudzība ir vāja
DPA ir parakstīts, bet piegādātāja anketa ir novecojusi. Neviens nav pārskatījis apakšapstrādātāju izmaiņas, datu atrašanās vietas, drošības stāvokli vai incidentu paziņošanas pienākumus.
Testa reakcija: atlasiet kritiskos apstrādātājus un pārbaudiet sākotnējo izpēti, līgumiskās klauzulas, apakšapstrādātāju izmaiņas, datu nosūtīšanas aizsardzības pasākumus un uzraudzības ierakstus. Tas atbalsta GDPR, NIS2 piegādes ķēdes prasības un DORA trešo pušu risku prasības.
Incidentu reaģēšana pastāv, bet privātuma klasifikācija ir nekonsekventa
Drošības incidenti tiek reģistrēti žurnālos, bet privātuma ietekme ne vienmēr tiek izvērtēta. GDPR pārkāpuma kritēriji netiek konsekventi dokumentēti. Klientu paziņošanas pienākumi tiek apstrādāti neformāli.
Testa reakcija: atlasiet incidentus, kas ietver datu ekspozīciju, un pārbaudiet klasifikāciju, privātuma eskalāciju, juridisko pārbaudi, paziņošanas lēmumus, pierādījumu saglabāšanu, pamatcēloni un gūtās mācības.
CAPA tiek slēgta bez efektivitātes verifikācijas
Procedūra tiek atjaunināta, un konstatējums tiek slēgts. Neviens nepārbauda, vai nākamais paraugs ir uzlabojies.
Testa reakcija: verificējiet korektīvās darbības efektivitāti REG12 30 dienu laikā pēc paziņotās slēgšanas, kā to prasa PIMS uzraudzības, audita un uzlabošanas politika.
90 dienu privātuma kontroles pasākumu testēšanas sprints
Organizācijām, kas virzās uz ISO 27701:2025 gatavību, klientu sākotnējo izpēti vai GDPR pārskatatbildības pārskatīšanu, Clarysec iesaka fokusētu 90 dienu sprintu.
| Termiņš | Fokuss | Rezultāti |
|---|---|---|
| 1.–15. diena | Darbības joma un pierādījumu modelis | PIMS lomas, apstrādes darbību reģistrs, REG03 piemērojamība, prioritārie riski, juridiskie pienākumi, piegādātāju atkarības, pierādījumu nosaukšanas noteikumi |
| 16.–35. diena | Projektējuma testēšana | Politiku pārskatīšana, RACI, privātuma paziņojumi, tiesiskais pamats, DPIA trigeri, DSR darbplūsmas, incidentu klasifikācija, glabāšanas grafiki, piegādātāju kontroles pasākumi |
| 36.–65. diena | Darbības testēšana | Piekļuves, dzēšanas, incidentu, apstrādātāju, datu nosūtīšanas, glabāšanas, apmācību, tehniskās uzraudzības paraugi, REG12 pierādījumi |
| 66.–80. diena | CAPA un riska apstrāde | Pamatcēlonis, korektīvā darbība, īpašnieks, noteiktais termiņš, atlikušais risks, verifikācijas metode |
| 81.–90. diena | Gatavība vadības pārskatīšanai | PIMS veiktspējas pakete, mērķi, atvērtie riski, neatbilstības, korektīvās darbības, piegādātāju problēmas, uzlabošanas lēmumi |
Sprinta beigās organizācijai jāspēj atbildēt uz jautājumiem, kurus auditori faktiski uzdod:
- Kādus PII jūs apstrādājat?
- Kādā lomā?
- Kuri kontroles pasākumi ir piemērojami?
- Kāpēc tie ir piemērojami?
- Kādi pierādījumi apliecina, ka tie ir ieviesti?
- Kāds paraugs pierāda, ka tie darbojas?
- Kādas nepilnības tika atrastas?
- Kādas korektīvās darbības tika veiktas?
- Kas verificēja efektivitāti?
- Ko augstākā vadība pārskatīja un nolēma?
No privātuma uz papīra līdz pierādāmai pārskatatbildībai
ISO 27701 sertifikāts ir vērtīgs, bet tas nav galamērķis. Klienti, regulatori, valdes un auditori arvien biežāk sagaida pierādījumus, ka privātuma kontroles pasākumi ir projektēti, ieviesti, uzraudzīti, laboti un pārvaldīti.
Privātuma atbilstība neizdodas, ja to uztver kā dokumentācijas projektu. Tā iztur pārbaudi, ja kļūst par testētu pierādījumu sistēmu.
Clarysec palīdz organizācijām pāriet no apgalvotas atbilstības uz pierādāmu pārskatatbildību, sasaistot PIMS politikas, REG03 piemērojamību, REG12 pierādījumu paraugus, CAPA verifikāciju, vadības pārskatīšanu un dažādu ietvaru kartēšanu ar Zenith Blueprint: auditora 30 soļu ceļvedi un Zenith Controls: savstarpējās atbilstības ceļvedi.
Ja jūsu organizācija gatavojas ISO 27701:2025 sertifikācijai, GDPR pārskatatbildības pārskatīšanai, klientu privātuma apliecinājumam, NIS2 pārvaldības pierādījumiem vai DORA virzītai piegādātāju sākotnējai izpētei, sāciet ar fokusētu privātuma kontroles pasākumu testēšanas darbnīcu.
Clarysec var palīdzēt jums kartēt REG03 piemērojamību, izveidot REG12 audita paraugus, testēt prioritāros PIMS kontroles pasākumus, sasaistīt konstatējumus ar CAPA un sagatavot vadības pārskatīšanas rezultātus, kas iztur pārbaudi.
Jūsu nākamajam privātuma auditam nevajadzētu būt ekrānuzņēmumu vākšanai pēdējā brīdī. Tam jābūt pārliecinošam pierādījumam, ka privātums darbojas, ir pamatots ar pierādījumiem, tiek pārskatīts un nepārtraukti uzlabots.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council