⚡ LIMITED TIME Get our FREE €500+ Compliance Starter Kit
Get It Now →

ISO 27701 privātuma kontroles pasākumu testēšana GDPR vajadzībām

Igor Petreski

Piektdienas privātuma audits, kas atklāja patieso problēmu

Piektdien plkst. 15.40 Maria, strauji augoša SaaS uzņēmuma informācijas drošības vadītāja (CISO), pieslēdzas videozvanam ar lielas perspektīvas korporatīvā klienta vadošo iepirkumu amatpersonu.

Viņas komanda vairākus mēnešus ir strādājusi pie privātuma informācijas pārvaldības sistēmas. Politikas ir apstiprinātas. Apstrādes darbību reģistrs pastāv. Uzņēmumam ir ISO 27701 gatavības plāns. Datu aizsardzības speciālistam ir datu subjektu pieprasījumu darbplūsmas. Juridiskā funkcija ir atjauninājusi datu apstrādes līgumus. Inženierijas komanda norāda, ka piekļuve produkcijas videi ir ierobežota.

Iepirkumu amatpersona sāk pieklājīgi, bet tieši.

“Paldies par dokumentāciju, Maria. Sertifikāts un politiku pakete ir labs sākumpunkts. Mūsu sākotnējās izpētes komanda nākammēnes ieradīsies klātienē. Viņi vēlēsies redzēt jūsu datu subjekta piekļuves pieprasījumu (DSAR) procesu darbībā, pārbaudīt datu minimizēšanas kontroles pasākumus mūsu testa kontiem, pārskatīt produkcijas vides piekļuves žurnālus un apskatīt pierādījumus, ka privātuma kontroles pasākumi tiek testēti, nevis tikai dokumentēti.”

Dažu minūšu laikā Maria saņem vēl divas ziņas.

Datu aizsardzības speciālists jautā, vai jaunā analītikas funkcionalitāte ir iekļauta apstrādes darbību reģistrā, tiesiskā pamata izvērtējumā, glabāšanas grafikā un apstrādātāja tālāk nododamajos pienākumos.

Atbilstības vadītājs jautā, vai ISO 27701:2025 gatavības pārskatīšana var pierādīt, ka PIMS kontroles pasākumi darbojas efektīvi.

Šajā brīdī daudzas privātuma programmas sāk svārstīties. Organizācijai ir privātuma dokumenti, bet nav privātuma pierādījumu. Ir darbplūsmas, bet nav pierādījumu, kas balstīti uz izlases paraugiem. Ir līgumi, bet uzraudzības ieraksti ir vāji. Ir iekšēja pārliecība, bet nav aizstāvamas audita pēdas.

Šī plaisa ir atšķirība starp formālu atbilstību uz papīra un pierādāmu pārskatatbildību.

GDPR šo problēmu padara nepārprotamu. Pārzinis ir atbildīgs par atbilstību datu aizsardzības principiem un spēj to pierādīt. Personas dati jāapstrādā likumīgi, godprātīgi, pārredzami, noteiktiem nolūkiem, tikai nepieciešamajā apjomā, precīzi, jāglabā tikai tik ilgi, cik nepieciešams, un jāaizsargā ar atbilstošiem tehniskajiem un organizatoriskajiem pasākumiem.

ISO 27701:2025 organizācijām nodrošina privātuma pārvaldības struktūru. ISO/IEC 27001:2022 nodrošina ISMS pamatu darbības jomai, riska apstrādei, darbības kontroles pasākumiem, iekšējam auditam, vadības pārskatīšanai un nepārtrauktai uzlabošanai. GDPR nosaka juridisko pārskatatbildības slogu. NIS2, DORA, NIST CSF 2.0, COBIT 2019 tipa apliecinājums un klientu drošības pārskatīšana palielina spiedienu pierādīt, ka kontroles pasākumi darbojas.

Clarysec skatījums ir vienkāršs: privātuma kontroles pasākumu testēšana nedrīkst būt ikgadēja ekrānuzņēmumu vākšana pēdējā brīdī. Tai jābūt PIMS pierādījumu sistēmai, kas vienā izsekojamā modelī sasaista apstrādes darbības, piemērojamos kontroles pasākumus, riskus, paraugus, tehniskās pārbaudes, konstatējumus, CAPA un vadības pārskatīšanu.

Tieši šeit Clarysec PIMS politiku kopums, Zenith Blueprint: auditora 30 soļu ceļvedis un Zenith Controls: savstarpējās atbilstības ceļvedis kļūst par praktiskiem darbības rīkiem, nevis plauktā glabājamu materiālu.

Privātuma kontroles pasākumu testēšana ir tilts starp politiku un pārskatatbildību

Privātuma kontroles pasākuma tests atbild uz trim praktiskiem jautājumiem:

  1. Vai kontroles pasākums ir projektēts tā, lai izpildītu privātuma pienākumu vai samazinātu privātuma risku?
  2. Vai kontroles pasākums ir ieviests attiecīgajā procesā, sistēmā, komandā, piegādātājā vai produkta darbplūsmā?
  3. Vai kontroles pasākums laika gaitā darbojas efektīvi, pamatojoties uz pierādījumiem, kas apmierinātu auditoru, klientu, regulatoru vai valdes komiteju?

SaaS uzņēmums var apgalvot, ka atbalsta dzēšanas pieprasījumus. Projektējuma tests pārbauda, vai ir definēta dzēšanas politika, identitātes pārbaudes process, atbildības modelis, apstrādātāju koordinācija, glabāšanas izņēmumi un rīcība ar rezerves kopijām. Darbības efektivitātes tests atlasa pabeigtus dzēšanas pieprasījumus, salīdzina laikspiedolus, pārbauda apstiprinājumus, pārskata sistēmu žurnālus, pārbauda pakārtoto apstrādātāju paziņojumus un apstiprina slēgšanas pierādījumus.

PIMS uzraudzības, audita un uzlabošanas politika pārvērš šo prasību auditējamā formā:

[Abi] Iekšējā audita / atbilstības pārbaudītājam katra PIMS audita laikā ir jātestē piemērojamo PIMS kontroles pasākumu ieviešanas statuss pret REG03.

No sadaļas “PIMS iekšējā audita programma”, politikas punkts 4.2.5.

Frāze “pret REG03” ir būtiska. Testēšana nav brīvas formas intervija. REG03 darbojas kā PIMS kontroles pasākumu piemērojamības un ieviešanas atsauce. Tas parāda, kas ir piemērojams, kāpēc tas ir piemērojams un kādi pierādījumi jānodrošina.

Tā pati politika papildina:

[Abi] Iekšējā audita / atbilstības pārbaudītājam katra PIMS audita laikā REG12 ir jāreģistrē izvēlētais personu identificējošas informācijas (PII) apstrādes pierādījumu paraugs.

No sadaļas “PIMS iekšējā audita programma”, politikas punkts 4.2.6.

Tā ir ISO 27701:2025 privātuma kontroles pasākumu testēšanas būtība. PIMS audits bez parauga ir saruna. PIMS audits ar izvēlētiem pierādījumiem, kontroles pasākumu kartējumu, izņēmumiem, korektīvajām darbībām un izsekojamību līdz vadības pārskatīšanai ir pārskatatbildība.

Sāciet ar darbības jomu, lomu un apstrādes realitāti

Lielākā daļa vāju privātuma auditu izgāžas vēl pirms testēšanas sākuma. Tajos tiek atlasīti vispārīgi kontroles pasākumi, neapstiprinot, kādi personas dati tiek apstrādāti, kur tie atrodas, kuras sistēmas un piegādātāji tiem pieskaras un vai organizācija darbojas kā pārzinis, apstrādātājs, kopīgs pārzinis vai apakšapstrādātājs.

GDPR pienākumi būtiski atšķiras atkarībā no lomas. Pārzinim, kas nosaka, kāpēc un kā personas dati tiek apstrādāti, ir citi pienākumi nekā apstrādātājam, kas rīkojas saskaņā ar dokumentētiem klienta norādījumiem. Būtiska ir arī datu sensitivitāte. Darbinieku dati, klientu kontu dati, telemetrija, finanšu dati, biometriskā pārbaude, ar veselību saistīti dati, sankciju pārbaudes dati un dati par noziedzīgiem nodarījumiem nerada vienādu risku.

Spēcīga ISO 27701:2025 testēšanas programma sākas ar disciplinētu darbības jomas noteikšanu.

Darbības jomas jautājumsPārbaudāmie pierādījumiKāpēc tas ir svarīgi
Kuras PII apstrādes darbības ir darbības jomā?Apstrādes darbību reģistrs, datu plūsmas karte, sistēmu uzskaite, piegādātāju reģistrsTestēšanai jāatlasa reāla apstrāde, nevis abstrakti politikas apgalvojumi
Kura PIMS loma ir piemērojama?Pārziņa, apstrādātāja, kopīga pārziņa un apakšapstrādātāja kartējumsGDPR pienākumi un PIMS kontroles pasākumi atšķiras pēc lomas
Kādi juridiskie, līgumiskie un regulatīvie pienākumi ir piemērojami?GDPR izvērtējums, klientu DPA, nozares noteikumi, datu nosūtīšanas izvērtējumiKontroles pasākuma projektējumam jāatspoguļo faktiskie pienākumi
Kuras sistēmas un piegādātāji apstrādā PII?Aktīvu uzskaite, mākoņvides uzskaite, apstrādātāju saraksts, piekļuves matricaDarbības testi prasa tehniskus un trešo pušu pierādījumus
Kuras izmaiņas ietekmē PII apstrādi?Produkta izmaiņu ieraksti, DPIA trigeri, laidienu piezīmes, arhitektūras izvērtējumsIntegrētā datu aizsardzība jātestē pirms palaišanas, nevis pēc sūdzībām

ISO/IEC 27001:2022 atbalsta šo integrēto pieeju ar prasībām par organizācijas kontekstu, ieinteresēto pušu prasībām, juridiskajiem un līgumiskajiem pienākumiem, pārvaldības sistēmas darbības jomu, darbības plānošanu un riska apstrādi. Privātuma kontekstā tas nozīmē, ka PII apstrāde nedrīkst atrasties atvienotā izklājlapā. Tai jābūt ISMS un PIMS darbības modeļa daļai.

Privātuma informācijas pārvaldības sistēmas politika tieši sasaista privātuma testēšanu ar pārvaldību:

[Visi] Augstākajai vadībai katru gadu REG12 ir jāpārskata PIMS veiktspēja, privātuma mērķi, atvērtie riski, neatbilstības, korektīvās darbības un uzlabošanas lēmumi.

No sadaļas “PIMS pārvaldība”, politikas punkts 6.1.1.

Ja testēšana identificē privātuma nepilnību, tā nav tikai audita piezīme. Tā ir pārvaldības sistēmas ievade, kurai jāietekmē riska apstrāde, prioritātes, resursi un vadības lēmumi.

Projektējuma efektivitāte pret darbības efektivitāti

Kad klients jautā, vai privātuma kontroles pasākumi tiek testēti, parasti viņš domā darbības efektivitāti. Tomēr auditori pārbaudīs arī projektējuma efektivitāti.

Projektējuma ziņā efektīvs kontroles pasākums spēj izpildīt prasību, ja tas tiek veikts paredzētajā veidā. Darbības ziņā efektīvs kontroles pasākums faktiski tiek veikts konsekventi un ir pamatots ar pierādījumiem.

Kontroles jomaProjektējuma efektivitātes testsDarbības efektivitātes tests
Piekrišanas iegūšanaPārbaudīt politiku, piekrišanas tekstu, tiesiskā pamata noteikumus, lietotāja saskarnes prasības un atsaukšanas darbplūsmuAtlasīt piekrišanas ierakstus un atsaukumus, salīdzināt laikspiedolus, pārbaudīt izslēgšanu pēc atsaukuma
Nolūka ierobežojumiPārskatīt RoPA, privātuma paziņojumu, produkta prasības, piekrišanas nodalīšanu un datu izmantošanas noteikumusAtlasīt lietotāju ierakstus, žurnālus, eksportus un analītikas plūsmas, lai apstiprinātu, ka PII netiek atkārtoti izmantota neatļautiem nolūkiem
Piekļuve PIIPārskatīt piekļuves politiku, lomu modeli, darbinieku pieņemšanas, pārcelšanas un darba attiecību izbeigšanas procedūru un apstiprināšanas darbplūsmuAtlasīt lietotājus ar piekļuvi PII, pārbaudīt apstiprinājumu, biznesa vajadzību, MFA un nesenu piekļuves tiesību pārskatīšanu
Apstrādātāja piesaistePārskatīt sākotnējās izpētes kritērijus, DPA klauzulas, apakšapstrādātāju noteikumus un datu nosūtīšanas aizsardzības pasākumusAtlasīt apstrādātāju, pārbaudīt izvērtējumu, līgumu, drošības pārskatīšanu un apakšapstrādātāju uzraudzības pierādījumus
Glabāšana un dzēšanaPārskatīt glabāšanas grafiku, izņēmumu noteikumus, dzēšanas procedūru un sistēmas spējuAtlasīt dzēstos ierakstus vai dzēšanas pieprasījumus, pārbaudīt žurnālus, pieteikumus un apstrādātāju apstiprinājumus
Pārkāpumu apstrādePārskatīt incidentu klasifikāciju, privātuma eskalāciju un kritērijus paziņošanai uzraudzības iestādeiAtlasīt incidentu ierakstus, pārbaudīt triāžu, lēmuma pamatojumu, paziņojumus un gūtās mācības

Audita un atbilstības uzraudzības politika mērķi formulē tieši:

Validēt drošības un privātuma kontroles pasākumu efektivitāti

No sadaļas “Mērķis”, politikas punkts 1.1.1.

SME versija saglabā to pašu apliecinājuma principu operatīvā valodā. Audita un atbilstības uzraudzības politika - SME nosaka:

Šī politika nosaka organizācijas pieeju iekšējo auditu, drošības kontroles pasākumu pārskatīšanas un atbilstības uzraudzības veikšanai. Tā nodrošina, ka visi kontroles pasākumi, politikas, sistēmas un pakalpojumu sniedzēji tiek regulāri un strukturēti pārskatīti.

No sadaļas “Mērķis”, politikas punkts 1.1.

ISO 27701 gatavība nav atkarīga no uzņēmuma lieluma. 30 cilvēku SaaS apstrādātājam var nebūt vajadzīgi tādi paši audita rīki kā globālai bankai, bet tam joprojām jāpierāda, ka piekļuve, dzēšana, incidentu eskalācija, apakšapstrādātāju pārvaldība un pierādījumu glabāšana tiek kontrolēta.

Clarysec pierādījumu ķēde: REG03, REG12, CAPA un pārskatīšana

Clarysec strukturē privātuma kontroles pasākumu testēšanu ap vienkāršu pierādījumu ķēdi.

REG03 definē piemērojamos PIMS kontroles pasākumus un ieviešanas statusu. REG12 reģistrē paraugus, pierādījumus, konstatējumus, izsekojamības nepilnības, korektīvo darbību verifikāciju un vadības pārskatīšanas ievades. CAPA ieraksti pārvērš konstatējumus uz pamatcēloni balstītos uzlabojumos. Augstākā vadība pārskata PIMS veiktspēju, riskus, neatbilstības, korektīvās darbības un uzlabošanas lēmumus.

PIMS dokumentētas informācijas un pierādījumu pārvaldības politika prasa fiksēt pierādījumu kvalitātes problēmas:

[Visi] Iekšējā audita / atbilstības pārbaudītājam katra plānotā audita vai atbilstības pārskatīšanas laikā REG12 ir jāreģistrē pierādījumu pilnīguma, precizitātes vai izsekojamības nepilnības.

No sadaļas “Pierādījumu izveide, nosaukšana un kvalitāte”, politikas punkts 4.3.4.

Tas ir svarīgi, jo ne katrs konstatējums ir pilnīga kontroles kļūme. Dažreiz kontroles pasākums darbojās, bet pierādījumi ir nepilnīgi. Dažreiz dzēšanas pieteikums ir slēgts, bet nav sistēmas žurnāla, kas pierāda dzēšanu. Dažreiz apstrādes darbību reģistrā ir norādīts CRM, bet trūkst datu noliktavas eksporta. Dažreiz piegādātāja līgums pastāv, bet pastāvīga uzraudzība nenotiek.

Audita un atbilstības uzraudzības politika prasa arī strukturētus iekšējos auditus:

Iekšējiem auditiem jānotiek saskaņā ar dokumentētu procedūru, kas ietver:

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.1.1.

Un, ja rodas konstatējumi:

Visiem konstatējumiem jārezultējas dokumentētā CAPA, kas ietver:

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.2.1.

Risku pārvaldības politika - SME pastiprina slēgšanas disciplīnu:

Riska apstrādes darbību pabeigšana un efektivitāte ir jāverificē.

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.3.2.

PIMS uzraudzības, audita un uzlabošanas politika noslēdz ciklu:

[Visi] Iekšējā audita / atbilstības pārbaudītājam REG12 ir jāverificē korektīvās darbības efektivitāte 30 dienu laikā pēc paziņotās korektīvās darbības slēgšanas.

No sadaļas “Neatbilstība un korektīvā darbība”, politikas punkts 4.4.7.

Tā ir atšķirība starp pieteikuma salabošanu un pārvaldības sistēmas uzlabošanu.

Praktiskais tests 1: dzēšanas pieprasījumi un GDPR pārskatatbildība

Dzēšanas pieprasījumi ir viens no skaidrākajiem veidiem, kā pārbaudīt, vai privātuma pārskatatbildība darbojas praksē.

Pieņemsim, ka vidēja tirgus SaaS uzņēmums darbojas gan kā pārzinis, gan kā apstrādātājs. Tas kontrolē darbinieku, mārketinga un norēķinu datus. Tas apstrādā klientu galalietotāju datus korporatīvo klientu vārdā. Organizācija vēlas pārbaudīt, vai dzēšanas kontroles pasākumi ir gatavi ISO 27701:2025 auditam un GDPR klientu apliecinājumam.

1. solis: atlasiet apstrādes darbību no REG03

Izvēlieties apstrādes darbību ar reālu privātuma risku, piemēram, “klienta galalietotāja profila dati, kas apstrādāti SaaS platformā”. Apstipriniet, vai organizācija darbojas kā pārzinis, apstrādātājs vai abi. Identificējiet saistītos kontroles pasākumus tiesību īstenošanai, apstrādātāja norādījumu validācijai, glabāšanai, dzēšanai, piekļuves kontrolei, žurnālfiksēšanai, rīcībai ar rezerves kopijām un piegādātāju koordinācijai.

2. solis: definējiet precīzu testa mērķi

Noderīgs testa mērķis ir konkrēts un balstīts uz pierādījumiem:

“Pārbaudīt, ka klientu galalietotāju profila datu dzēšanas pieprasījumi tiek saņemti, autentificēti vai validēti kā norādījumi, izpildīti noteiktajā darbplūsmā, reģistrēti žurnālos, tehniski pabeigti produkcijas sistēmās, attiecīgajos gadījumos nodoti attiecīgajiem apakšapstrādātājiem un slēgti ar pierādījumiem.”

3. solis: paņemiet reprezentatīvu paraugu

Atlasiet piecus dzēšanas pieprasījumus no pēdējā ceturkšņa. Iekļaujiet vienu rutīnas pieprasījumu, vienu pieprasījumu, kurā iesaistīts klienta administrators, vienu apstrādātāja norādījuma pieprasījumu, vienu pieprasījumu ar glabāšanas izņēmumu un vienu pieprasījumu, kas skar rīcību ar rezerves kopijām.

Zenith Blueprint Audita, pārskatīšanas un uzlabošanas posma 26. solī “Audita izpilde” uzsver izlases veidošanu un pierādījumu vākšanu:

✓ Intervējiet attiecīgo personālu: lūdziet par procesiem atbildīgajiem cilvēkiem izskaidrot, kā viņi izpilda prasības. Piemēram, jautājiet riska īpašniekam par pēdējo riska izvērtēšanu vai jautājiet personāla funkcijai, kā jaunie darbinieki tiek apmācīti drošībā (lai aptvertu kontroli 6.3 par informētību).
✓ Pārskatiet dokumentāciju: pārbaudiet, vai dokumenti un ieraksti pastāv un ir aktuāli.
✓ Novērojiet praksi: ja iespējams, veiciet tiešu novērojumu.
✓ Atlasiet paraugus un veiciet izlases pārbaudes: visu pārbaudīt nav iespējams, tāpēc izmantojiet izlasi.

No Audita, pārskatīšanas un uzlabošanas posma, 26. solis: Audita izpilde (iekšējā audita veikšana).

4. solis: pārbaudiet pierādījumus katram paraugam

Katram atlasītajam pieprasījumam savāciet saņemšanas pieteikumu, lomas klasifikāciju, identitātes pārbaudi vai klienta autorizāciju, sistēmas dzēšanas žurnālu, glabāšanas izņēmuma lēmumu, skaidrojumu par rīcību ar rezerves kopijām, apakšapstrādātāja paziņojumu, slēgšanas komunikāciju, laikspiedolus un pārskatītāja apstiprinājumu.

5. solis: reģistrējiet rezultātus REG12

REG12 reģistrējiet paraugu, pierādījumu avotu, kontroles rezultātu, izņēmumu un izsekojamības nepilnību. Ja dzēšana notika, bet nav produkcijas vides žurnāla, kontroles pasākums, iespējams, darbojās, taču pierādījumi ir vāji. Ja pieprasījums kavējās neskaidras piegādātāja atbildības dēļ, konstatējums var būt saistīts ar trešo pušu pārvaldību un līgumisko pienākumu tālāk nodošanu.

6. solis: izveidojiet CAPA un verificējiet efektivitāti

Ja pamatcēlonis ir neskaidra atbildība starp atbalsta, juridisko un inženierijas funkciju, CAPA var ietvert pārskatītu darbplūsmu, atjauninātu RACI, obligātos pierādījumu laukus un ikmēneša dzēšanas paraugu pārbaudes.

Zenith Blueprint Audita, pārskatīšanas un uzlabošanas posma 29. solī skaidro slēgšanas prasību:

Plānojiet, kā verificēsiet katras korektīvās darbības efektivitāti. Tas var nozīmēt pēcpārbaudes audita vai pārbaudes ieplānošanu. Piemēram, ja korektīvā darbība bija apmācīt IT personālu piekļuves kontrolē, varat plānot pēc viena mēneša pārskatīt jaunus kontus, lai pārliecinātos, ka visiem ir pienācīgi apstiprinājumi (verifikācija).

No Audita, pārskatīšanas un uzlabošanas posma, 29. solis: Nepārtraukta uzlabošana (korektīvās darbības un gūtās mācības).

Dzēšanas gadījumā verifikācija var nozīmēt nākamo piecu dzēšanas pieprasījumu atlasi pēc pārskatītās darbplūsmas nodošanas produkcijas vidē. Tikai pēc tam CAPA būtu slēdzama.

Praktiskais tests 2: nolūka ierobežojumi un datu minimizēšana

Otrs augstas vērtības tests ir nolūka ierobežojumi. Tas ir īpaši noderīgi pirms klientu sākotnējās izpētes, analītikas palaišanas, AI bagātināšanas, datu noliktavas paplašināšanas vai mārketinga automatizācijas izmaiņām.

Maria SaaS platforma vāc klientu lietotāju datus pakalpojuma nodrošināšanai. Kontroles mērķis ir nodrošināt, ka PII tiek izmantota tikai noteiktiem un leģitīmiem nolūkiem un netiek atkārtoti izmantota mārketinga analītikai, ja vien lietotājs nav devis nepārprotamu, atsevišķu piekrišanu, kur tas ir nepieciešams.

Pierādījumu veidsKonkrēti artefakti
DokumentācijaDatu aizsardzības un privātuma politika, RoPA, klienta DPA, privātuma paziņojumi, piekrišanas pārvaldības ieraksti
Tehniskā konfigurācijaLietojumprogrammas datu apstrādes noteikumi, datubāzu shēmas, API konfigurācijas, ETL uzdevumu iestatījumi
Žurnāli un ierakstiLietojumprogrammas piekļuves žurnāli, datubāzes vaicājumu žurnāli, piekrišanas izmaiņu vēsture, kampaņu eksporta ieraksti
Personāla pierādījumiIntervijas ar produkta īpašnieku, vadošo izstrādātāju, datubāzes administratoru un privātuma īpašnieku

Spēcīgs darbības tests neapstājas pie politikas. Tas atlasa lietotājus, kuri ir piekrituši mārketingam, un lietotājus, kuri nav piekrituši. Tas izseko, vai piekrišanas statuss ir pareizi atspoguļots pamata lietojumprogrammu datubāzēs, datu noliktavas tabulās, kampaņu rīkos, informācijas paneļos un eksportos. Ja lietotāji bez piekrišanas parādās mārketinga auditorijā, organizācijai ir konkrēta neatbilstība.

SME Audita un atbilstības uzraudzības politika ar tehniskās testēšanas piemēru sniedz pareizo domāšanas veidu:

Tehnisko kontroles pasākumu verifikācija (piemēram, rezerves kopiju statuss, piekļuves kontroles konfigurācija, ielāpu ieraksti)

No sadaļas “Politikas ieviešanas prasības”, politikas punkts 6.1.1.2.

Privātuma kontekstā tehnisko kontroles pasākumu verifikācija ietver piekrišanas sinhronizācijas pārbaudes, piekļuves kontroles eksportus, dzēšanas žurnālus, šifrēšanas iestatījumus, datu maskēšanas testus, DLP brīdinājumus, rezerves kopiju ierobežojumus, uzraudzības notikumus un piegādātāju pierādījumus.

Privātuma testēšanas kartēšana uz ISO/IEC 27001:2022 un Clarysec savstarpējo atbilstību

Privātuma kontroles pasākumi nedarbojas izolēti. PII aizsardzība ir atkarīga no aktīvu uzskaites, klasifikācijas, piekļuves kontroles, mākoņpakalpojumu pārvaldības, datu maskēšanas, informācijas pārsūtīšanas, žurnālfiksēšanas, uzraudzības, dzēšanas, ierakstu aizsardzības, piegādātāju uzraudzības un neatkarīgas pārskatīšanas.

Zenith Controls: savstarpējās atbilstības ceļvedī ISO/IEC 27001:2022 Annex A kontroles pasākums 5.34 “Privātums un PII aizsardzība” ir kartēts kā preventīvs kontroles pasākums, kas saskaņots ar konfidencialitāti, integritāti un pieejamību, ar kiberdrošības jēdzieniem Identify un Protect, kā arī ar informācijas aizsardzības un juridisko lietu un atbilstības darbības spējām.

Tā saikne ar uzskaiti ir tieša:

Informācijas aktīvu uzskaitē (5.9) jāiekļauj PII datu kopumi (klientu datubāzes, HR datnes). Tas atbalsta 5.34, nodrošinot, ka organizācija zina, kādi PII tai ir un kur tie atrodas; tas ir pirmais solis to aizsardzībā.

No Zenith Controls, Privātums un PII aizsardzība, kontroles pasākums 5.34.

Audita testēšanā tas nozīmē, ka privātuma auditoram nevajadzētu sākt tikai ar privātuma paziņojumu. Jāsāk ar PII uzskaiti, apstrādes darbību reģistru, datu plūsmām, aktīvu uzskaiti un piegādātāju uzskaiti. Ja uzskaite ir nepilnīga, pakārtotie privātuma kontroles pasākumi nevar būt pilnībā uzticami.

Ceļvedī ISO/IEC 27001:2022 Annex A kontroles pasākums 5.34 ir kartēts arī uz saistītiem kontroles pasākumiem, piemēram, 5.9 Informācijas un citu saistīto aktīvu uzskaite, 5.12 Informācijas klasifikācija, 5.14 Informācijas pārsūtīšana, 5.15 Piekļuves kontrole, 5.16 Identitātes pārvaldība, 5.23 Informācijas drošība mākoņpakalpojumu izmantošanā, 5.33 Ierakstu aizsardzība, 8.11 Datu maskēšana, 8.12 Datu noplūdes novēršana un 8.10 Informācijas dzēšana.

Īpaši būtiski ir vēl divi ISO/IEC 27001:2022 Annex A kontroles pasākumi:

ISO/IEC 27001:2022 kontroles pasākumsNozīme privātuma testēšanāPierādījumu piemēri
5.34 Privātums un PII aizsardzībaApstiprina, ka privātuma un PII aizsardzības prasības ir ieviestas, pamatojoties uz likumiem, regulējumu un līgumiemApstrādes darbību reģistrs, DPIA, tiesiskā pamata ieraksti, DSR pierādījumi, glabāšanas žurnāli
5.35 Informācijas drošības neatkarīga pārskatīšanaNodrošina objektīvu validāciju, ka drošības kārtība, tostarp privātumam nozīmīgi kontroles pasākumi, tiek neatkarīgi pārskatītiIekšējā audita pārskati, ārējās pārskatīšanas rezultāti, REG12 paraugi, CAPA ieraksti
5.36 Atbilstība informācijas drošības politikām, noteikumiem un standartiemApstiprina pastāvīgu atbilstību iekšējiem noteikumiem un standartiemPolitiku ievērošanas pārskatīšana, piekļuves pārbaudes, uzraudzības rezultāti, izņēmumu žurnāli

Datu aizsardzības un privātuma politika prasa:

Iekšējais privātuma atbilstības audits jāveic katru gadu vai būtisku organizatorisku vai regulatīvu izmaiņu gadījumā. Audita darbības jomā jāiekļauj:

No sadaļas “Pārvaldības prasības”, politikas punkts 5.4.

Tā papildus ietver:

Tehnisko un organizatorisko pasākumu efektivitāte

No sadaļas “Pārvaldības prasības”, politikas punkts 5.4.1.

Datu aizsardzības un privātuma politika - SME saglabā to pašu prasību praktiskā formā:

Regulāri privātuma auditi vai kontroles pārbaudes jāveic un jāreģistrē

No sadaļas “Pārvaldības prasības”, politikas punkts 5.3.3.

Kāpēc GDPR pārskatatbildība tagad ir kiberdrošības pārvaldības jautājums

Privātuma pierādījumus vairs nepieprasa tikai privātuma auditori. Tos pašus pierādījumus var pieprasīt ISO 27701:2025 auditors, ISO/IEC 27001:2022 auditors, GDPR pārbaudītājs, NIS2 kompetentā iestāde, DORA regulēts klients, NIST CSF izvērtētājs vai valdes risku komiteja.

NIS2 Article 21 prasa, lai būtiskās un svarīgās vienības ieviestu atbilstošus un samērīgus tehniskos, operatīvos un organizatoriskos pasākumus kiberdrošības risku pārvaldībai. Article 21(2)(f) tieši ietver politikas un procedūras kiberdrošības risku pārvaldības pasākumu efektivitātes izvērtēšanai. NIS2 arī nosaka, ka vadības struktūras ir atbildīgas par kiberdrošības risku pārvaldības pasākumu apstiprināšanu un pārraudzību.

DORA finanšu vienībām ir piemērojama no 2025. gada 17. janvāra un nosaka detalizētu digitālās darbības noturības noteikumu kopumu. Tā prasa IKT risku pārvaldību, vadības struktūras pārraudzību, iekšējo auditu, kritisku konstatējumu novēršanu, incidentu klasifikāciju un ziņošanu, noturības testēšanu, trešo pušu IKT risku pārvaldību, līgumiskos kontroles pasākumus, IKT pakalpojumu līgumu reģistrus un izstāšanās stratēģijas. IKT pakalpojumu sniedzējiem, kas apkalpo finanšu vienības, jārēķinās ar DORA virzītiem pierādījumu pieprasījumiem klientu apliecinājuma ietvaros.

NIST CSF 2.0 nodrošina noderīgu tulkošanas slāni. Tā GOVERN funkcija paredz, ka organizācijas saprot iesaistīto pušu gaidas, atkarības un juridiskos, regulatīvos, līgumiskos, privātuma un pilsonisko brīvību pienākumus. Tā profilu pieeja palīdz salīdzināt pašreizējos rezultātus ar mērķa rezultātiem, identificēt nepilnības un prioritizēt rīcības plānus.

Prasību spiediensKas jānodrošina privātuma kontroles pasākumu testēšanaiClarysec atskaites punkts
GDPR pārskatatbildībaPierādījumi, ka principi, tiesiskais pamats, tiesības, drošība, glabāšana un apstrādātāju pienākumi ir pierādāmi izpildītiPIMS politikas, REG03, REG12, CAPA
ISO 27701:2025 gatavībaTestēti PIMS kontroles pasākumi, uz lomām balstīta piemērojamība, pierādījumu kvalitāte, iekšējais audits, vadības pārskatīšanaPIMS uzraudzības, audita un uzlabošanas politika
ISO/IEC 27001:2022 apliecinājumsRiska apstrādes izsekojamība, SoA pamatojums, darbības kontroles pasākumi, audits, pārskatīšana, uzlabošanaZenith Blueprint, Zenith Controls savstarpējās atbilstības ceļvedis
NIS2 pārvaldībaEfektivitātes izvērtēšana, gatavība incidentiem, piegādātāju kontroles pasākumi, vadības pārraudzībaISO/IEC 27001:2022 Annex A kontroles pasākumu 5.35 un 5.36 kartējums
DORA apliecinājumsIKT kontroles pasākumu testēšana, noturības testēšana, trešo pušu pierādījumi, incidentu dzīves cikla ierakstiKrusteniski kartēts audita pierādījumu modelis
NIST CSF 2.0Pašreizējais profils, mērķa profils, nepilnību analīze, prioritizēti uzlabojumiZenith Blueprint 24., 26. un 29. solis

Zenith Blueprint 24. solī pastiprina izsekojamību:

Jūsu SoA jābūt saskaņotam ar Riska reģistru un Risku apstrādes plānu. Vēlreiz pārbaudiet, vai katrs kontroles pasākums, kuru izvēlējāties kā riska apstrādi, SoA ir atzīmēts kā “Piemērojams”. Savukārt, ja kontroles pasākums SoA ir atzīmēts kā “Piemērojams”, tam jābūt pamatojumam — parasti kartētam riskam, juridiskai/regulatīvai prasībai vai biznesa vajadzībai.

No Audita, pārskatīšanas un uzlabošanas posma, 24. solis: Audits, pārskatīšana un uzlabošana.

Privātuma kontroles pasākumu testēšanā tas pats princips attiecas uz PIMS piemērojamību. Katram piemērojamam privātuma kontroles pasākumam jābūt izsekojamam līdz apstrādes riskam, juridiskam pienākumam, klienta prasībai vai biznesa vajadzībai. Katram testam jābūt izsekojamam atpakaļ līdz šim kontroles pasākumam.

Kā dažādi auditori vērtēs vienu un to pašu kontroles pasākumu

Spēcīga privātuma testēšanas programma paredz auditora skatpunktu. Tas pats dzēšanas kontroles pasākums, piekļuves kontrole vai apstrādātāja piesaistes kontroles pasākums tiks interpretēts atšķirīgi atkarībā no pārskatīšanas konteksta.

Auditora skatpunktsIespējamais audita jautājumsSagaidāmie pierādījumi
ISO 27701:2025 auditorsVai uz lomām balstītie PIMS kontroles pasākumi ir ieviesti, izvērtēti un uzlaboti?REG03 piemērojamība, REG12 paraugi, apstrādes darbību reģistrs, politiku kartējums, audita rezultāti
ISO/IEC 27001:2022 auditorsVai ar privātumu saistītais kontroles pasākums ir integrēts riska apstrādē, SoA, darbības kontroles pasākumos, iekšējā auditā un vadības pārskatīšanā?Riska reģistrs, SoA pamatojums, apstrādes plāns, kontroles pasākuma pierādījumi, vadības pārskatīšanas protokoli
GDPR pārbaudītājsVai pārzinis var pierādīt atbilstību GDPR principiem un pienākumiem?Tiesiskais pamats, paziņojumi, DSR žurnāli, DPIA, līgumi, pārkāpumu ieraksti, glabāšanas pierādījumi
NIST CSF izvērtētājsVai organizācija zina pienākumus, definē mērķa rezultātus, mēra nepilnības un uzlabo?Pašreizējais un mērķa profils, nepilnību plāns, riska prioritizēšana, pārvaldības ieraksti
DORA orientēts klients vai regulatorsVai IKT kontroles pasākumi tiek testēti, incidenti klasificēti, piegādātāji uzraudzīti un kritiskie pakalpojumi ir noturīgi?Testēšanas programma, incidentu ieraksti, piegādātāju reģistrs, līgumi, izstāšanās plāni
ISACA vai COBIT 2019 tipa auditorsVai mērķi, atbildība, metrikas, problēmu slēgšana un pārvaldības pārraudzība ir efektīva?RACI, KPI, problēmu žurnāli, CAPA verifikācija, ziņošana vadībai

Tieši tāpēc REG12 ir tik vērtīgs. Tas pārvērš privātuma atbilstību auditējamos pārvaldības pierādījumos.

Biežākie konstatējumi PIMS kontroles pasākumu testēšanā

Clarysec atkārtoti redz vienus un tos pašus privātuma audita konstatējumus organizācijās, kas gatavojas ISO 27701:2025 sertifikācijai, GDPR klientu apliecinājumam vai korporatīvai sākotnējai izpētei.

Apstrādes darbību reģistrs neatbilst sistēmu realitātei

Apstrādes darbību reģistrā ir norādīts CRM un atbalsta platformas, bet inženieri ir pievienojuši analītikas eksportus, novērojamības žurnālus, AI rīkus un datu noliktavas tabulas.

Testa reakcija: atlasiet sistēmas no aktīvu uzskaites un mākoņvides uzskaites un pēc tam salīdziniet tās ar apstrādes darbību reģistru. Kā audita pamatojumu izmantojiet saistību starp ISO/IEC 27001:2022 Annex A kontroles pasākumiem 5.9 un 5.34.

PII piekļuve ir apstiprināta, bet netiek periodiski pārskatīta

Sākotnējie apstiprinājumi pastāv, bet priviliģētās piekļuves pārskatīšana neietver atbalsta uzdošanās rīkus, produkcijas datubāzes, BI informācijas paneļus vai ārkārtas kontus.

Testa reakcija: atlasiet aktīvos lietotājus ar PII piekļuvi un salīdziniet lomu, biznesa vajadzību, apstiprinājumu, MFA statusu, pēdējo pieteikšanos un pārskatīšanas pierādījumus.

Apstrādātāju līgumi pastāv, bet uzraudzība ir vāja

DPA ir parakstīts, bet piegādātāja anketa ir novecojusi. Neviens nav pārskatījis apakšapstrādātāju izmaiņas, datu atrašanās vietas, drošības stāvokli vai incidentu paziņošanas pienākumus.

Testa reakcija: atlasiet kritiskos apstrādātājus un pārbaudiet sākotnējo izpēti, līgumiskās klauzulas, apakšapstrādātāju izmaiņas, datu nosūtīšanas aizsardzības pasākumus un uzraudzības ierakstus. Tas atbalsta GDPR, NIS2 piegādes ķēdes prasības un DORA trešo pušu risku prasības.

Incidentu reaģēšana pastāv, bet privātuma klasifikācija ir nekonsekventa

Drošības incidenti tiek reģistrēti žurnālos, bet privātuma ietekme ne vienmēr tiek izvērtēta. GDPR pārkāpuma kritēriji netiek konsekventi dokumentēti. Klientu paziņošanas pienākumi tiek apstrādāti neformāli.

Testa reakcija: atlasiet incidentus, kas ietver datu ekspozīciju, un pārbaudiet klasifikāciju, privātuma eskalāciju, juridisko pārbaudi, paziņošanas lēmumus, pierādījumu saglabāšanu, pamatcēloni un gūtās mācības.

CAPA tiek slēgta bez efektivitātes verifikācijas

Procedūra tiek atjaunināta, un konstatējums tiek slēgts. Neviens nepārbauda, vai nākamais paraugs ir uzlabojies.

Testa reakcija: verificējiet korektīvās darbības efektivitāti REG12 30 dienu laikā pēc paziņotās slēgšanas, kā to prasa PIMS uzraudzības, audita un uzlabošanas politika.

90 dienu privātuma kontroles pasākumu testēšanas sprints

Organizācijām, kas virzās uz ISO 27701:2025 gatavību, klientu sākotnējo izpēti vai GDPR pārskatatbildības pārskatīšanu, Clarysec iesaka fokusētu 90 dienu sprintu.

TermiņšFokussRezultāti
1.–15. dienaDarbības joma un pierādījumu modelisPIMS lomas, apstrādes darbību reģistrs, REG03 piemērojamība, prioritārie riski, juridiskie pienākumi, piegādātāju atkarības, pierādījumu nosaukšanas noteikumi
16.–35. dienaProjektējuma testēšanaPolitiku pārskatīšana, RACI, privātuma paziņojumi, tiesiskais pamats, DPIA trigeri, DSR darbplūsmas, incidentu klasifikācija, glabāšanas grafiki, piegādātāju kontroles pasākumi
36.–65. dienaDarbības testēšanaPiekļuves, dzēšanas, incidentu, apstrādātāju, datu nosūtīšanas, glabāšanas, apmācību, tehniskās uzraudzības paraugi, REG12 pierādījumi
66.–80. dienaCAPA un riska apstrādePamatcēlonis, korektīvā darbība, īpašnieks, noteiktais termiņš, atlikušais risks, verifikācijas metode
81.–90. dienaGatavība vadības pārskatīšanaiPIMS veiktspējas pakete, mērķi, atvērtie riski, neatbilstības, korektīvās darbības, piegādātāju problēmas, uzlabošanas lēmumi

Sprinta beigās organizācijai jāspēj atbildēt uz jautājumiem, kurus auditori faktiski uzdod:

  • Kādus PII jūs apstrādājat?
  • Kādā lomā?
  • Kuri kontroles pasākumi ir piemērojami?
  • Kāpēc tie ir piemērojami?
  • Kādi pierādījumi apliecina, ka tie ir ieviesti?
  • Kāds paraugs pierāda, ka tie darbojas?
  • Kādas nepilnības tika atrastas?
  • Kādas korektīvās darbības tika veiktas?
  • Kas verificēja efektivitāti?
  • Ko augstākā vadība pārskatīja un nolēma?

No privātuma uz papīra līdz pierādāmai pārskatatbildībai

ISO 27701 sertifikāts ir vērtīgs, bet tas nav galamērķis. Klienti, regulatori, valdes un auditori arvien biežāk sagaida pierādījumus, ka privātuma kontroles pasākumi ir projektēti, ieviesti, uzraudzīti, laboti un pārvaldīti.

Privātuma atbilstība neizdodas, ja to uztver kā dokumentācijas projektu. Tā iztur pārbaudi, ja kļūst par testētu pierādījumu sistēmu.

Clarysec palīdz organizācijām pāriet no apgalvotas atbilstības uz pierādāmu pārskatatbildību, sasaistot PIMS politikas, REG03 piemērojamību, REG12 pierādījumu paraugus, CAPA verifikāciju, vadības pārskatīšanu un dažādu ietvaru kartēšanu ar Zenith Blueprint: auditora 30 soļu ceļvedi un Zenith Controls: savstarpējās atbilstības ceļvedi.

Ja jūsu organizācija gatavojas ISO 27701:2025 sertifikācijai, GDPR pārskatatbildības pārskatīšanai, klientu privātuma apliecinājumam, NIS2 pārvaldības pierādījumiem vai DORA virzītai piegādātāju sākotnējai izpētei, sāciet ar fokusētu privātuma kontroles pasākumu testēšanas darbnīcu.

Clarysec var palīdzēt jums kartēt REG03 piemērojamību, izveidot REG12 audita paraugus, testēt prioritāros PIMS kontroles pasākumus, sasaistīt konstatējumus ar CAPA un sagatavot vadības pārskatīšanas rezultātus, kas iztur pārbaudi.

Jūsu nākamajam privātuma auditam nevajadzētu būt ekrānuzņēmumu vākšanai pēdējā brīdī. Tam jābūt pārliecinošam pierādījumam, ka privātums darbojas, ir pamatots ar pierādījumiem, tiek pārskatīts un nepārtraukti uzlabots.

About the Author

Igor Petreski

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council

Share this article