Kif ISO/IEC 27001:2022 tappoġġa l-konformità mal-GDPR fl-intrapriżi żgħar u medji

Għall-intrapriżi żgħar u medji, in-navigazzjoni bejn id-dinja tal-GDPR u dik ta’ ISO/IEC 27001:2022, li spiss jikkoinċidu, tista’ tidher qisha tentattiv biex issolvi żewġ puzzles differenti bl-istess biċċiet. Din il-gwida turi kif tuża l-approċċ strutturat u bbażat fuq ir-riskju ta’ ISO 27001 bħala mutur b’saħħtu biex tmexxi, timmaniġġja u turi l-konformità tiegħek mal-prinċipji esiġenti tal-GDPR dwar il-protezzjoni tad-data.

X’hemm f’riskju

Għal intrapriża żgħira jew medja, il-konsegwenzi ta’ nuqqas ta’ protezzjoni tad-data personali jmorru ferm lil hinn mill-multi regolatorji. Għalkemm il-penali tal-GDPR huma sinifikanti, il-ħsara operattiva u reputazzjonali minn ksur ta’ data tista’ tkun saħansitra aktar serja. Inċident wieħed jista’ jwassal għal katina ta’ riżultati negattivi: telf ta’ fiduċja tal-klijenti, kuntratti kkanċellati, u marka mdgħajfa li tieħu snin biex terġa’ tinbena. Ir-regolament jeħtieġ li timplimenta miżuri tekniċi u organizzattivi xierqa biex tipproteġi data personali, rekwiżit li jirrifletti l-filosofija ewlenija ta’ ISO 27001. Jekk tinjora dan, tkun qed taċċetta livell ta’ riskju li jista’ jipperikola n-negozju kollu tiegħek. Mhuwiex biss dwar li jiġu evitati penali; huwa dwar li tiżgura l-kontinwità tan-negozju u li żżomm il-fiduċja li bnejt mal-klijenti u s-sħab tiegħek.

Il-pressjoni ġejja minn kull naħa. Il-klijenti huma aktar konxji mill-privatezza minn qatt qabel u dejjem aktar jitolbu evidenza ta’ prattiki robusti għall-protezzjoni tad-data. Is-sħab tan-negozju, speċjalment intrapriżi akbar, spiss jagħmlu l-konformità ma’ standards bħal ISO 27001 prerekwiżit kuntrattwali. Jeħtieġu assigurazzjoni li d-data tagħhom, u kwalunkwe data personali li tipproċessa f’isimhom, tkun sigura. Nuqqas li tingħata din l-assigurazzjoni jista’ jfisser telf ta’ kuntratti ta’ valur. Internament, in-nuqqas ta’ qafas strutturat tas-sigurtà joħloq ineffiċjenza u konfużjoni, jagħmilha diffiċli biex tirrispondi b’mod effettiv għal inċidenti, u jħalli l-aktar assi tad-data prezzjużi tiegħek vulnerabbli għal telf aċċidentali jew attakk malizzjuż.

Ikkunsidra negozju żgħir tal-kummerċ elettroniku li jaħżen ismijiet, indirizzi u storja ta’ xiri tal-klijenti. Attakk ransomware jiċċifra d-database tiegħu. Mingħajr Pjan formali għall-Kontinwità tan-Negozju (BCP) u backups ittestjati, kif rikjest kemm minn GDPR Article 32 kif ukoll minn ISO 27001, ma jistax jirrestawra s-servizz malajr. Jaffaċċja mhux biss multa potenzjali minħabba sigurtà inadegwata, iżda wkoll ġranet ta’ dħul mitluf u kriżi ta’ relazzjonijiet pubbliċi hekk kif jispjega l-qtugħ fis-servizz u l-espożizzjoni potenzjali tad-data lill-bażi kollha tal-klijenti tiegħu.

Kif tidher prattika tajba

L-allinjament bejn ISO/IEC 27001:2022 u GDPR jittrasforma l-konformità minn eżerċizzju tqil ta’ checklist għal vantaġġ strateġiku. Meta s-Sistema ta’ Ġestjoni tas-Sigurtà tal-Informazzjoni (ISMS) tiegħek tkun mibnija fuq il-qafas ISO 27001, tipprovdi l-istruttura, il-proċessi u l-evidenza meħtieġa biex turi l-osservanza tal-prinċipji tal-GDPR dwar il-protezzjoni tad-data mid-disinn u b’mod predefinit. Prattika tajba tfisser ambjent fejn mhux biss tiddikjara li inti konformi; ikollok id-dokumentazzjoni, ir-reġistri u t-traċċi tal-awditjar biex tipprovaha. Il-valutazzjonijiet tar-riskju tiegħek jinkludu b’mod naturali r-riskji għall-privatezza, u l-kontrolli tas-sigurtà magħżula tiegħek jimmitigaw direttament it-theddid għad-data personali.

Dan l-approċċ integrat joħloq kultura ta’ sigurtà u privatezza li tinfirex fl-organizzazzjoni kollha. Minflok ma l-protezzjoni tad-data titqies bħala problema iżolata tal-IT, issir responsabbiltà kondiviża, iggwidata minn politiki u proċeduri ċari. L-impjegati jifhmu r-rwoli tagħhom fil-protezzjoni tad-data personali, mill-immaniġġjar sigur ta’ mistoqsijiet tal-klijenti sal-irrappurtar fil-pront ta’ inċidenti potenzjali. Ir-relazzjonijiet mal-fornituri jiġu ġestiti permezz ta’ kuntratti li jinkludu klawżoli robusti dwar il-protezzjoni tad-data, biex jiġi żgurat li l-istandards tas-sigurtà tiegħek jestendu tul il-katina tal-provvista kollha. Dan l-istat ta’ konformità dimostrabbli jfisser li, meta awditur jew sieħeb tan-negozju potenzjali jistaqsi kif tipproteġi data personali, tista’ tindika sistema ta’ ġestjoni attiva u operattiva, mhux sempliċement dokument ta’ politika li ntesa minn kulħadd.

Immaġina fornitur ta’ software-as-a-service (SaaS) li qed jikber u li jrid jikseb klijent korporattiv ewlieni. Il-kwestjonarju tad-diliġenza dovuta tal-klijent huwa estensiv, b’mistoqsijiet dettaljati dwar il-konformità mal-GDPR. Minħabba li l-fornitur SaaS għandu ISMS iċċertifikat skont ISO 27001, jista’ jipprovdi b’mod effiċjenti d-Dikjarazzjoni ta’ Applikabbiltà tiegħu, il-metodoloġija tal-valutazzjoni tar-riskju, u r-reġistri tal-awditi interni. Dawn id-dokumenti juru b’mod ċar kif jimplimenta kontrolli bħall-iċċifrar, il-kontroll tal-aċċess u l-ġestjoni tal-vulnerabbiltajiet biex jipproteġi d-data personali li jipproċessa, u b’hekk jindirizza direttament it-tħassib tal-klijent u r-rekwiżiti tal-GDPR.

It-triq prattika

Il-ħolqien ta’ sistema unifikata li tissodisfa kemm ISO 27001 kif ukoll GDPR huwa proċess metodiku, mhux proġett ta’ darba. Jinvolvi l-użu taċ-ċiklu strutturat plan-do-check-act ta’ ISMS biex jiġu indirizzati b’mod sistematiku r-rekwiżiti speċifiċi tal-liġi dwar il-protezzjoni tad-data. Billi tittratta d-data personali bħala assi kritiku tal-informazzjoni fi ħdan l-ISMS tiegħek, tista’ tapplika l-mutur b’saħħtu tal-ġestjoni tar-riskju tal-istandard biex tissodisfa l-obbligi tal-GDPR għall-ipproċessar sigur. Din it-triq tiżgura li l-isforzi tiegħek ikunu effiċjenti, ripetibbli u, fuq kollox, effettivi fit-tnaqqis tar-riskju reali.

Fażi 1: Ibni l-pedament permezz tal-kuntest u l-valutazzjoni tar-riskju

L-ewwel pass huwa li tiddefinixxi l-kamp ta’ applikazzjoni tal-ISMS tiegħek, u tiżgura li jinkludi b’mod espliċitu s-sistemi, il-proċessi u l-postijiet kollha fejn tiġi pproċessata data personali. Dan jallinja mar-rekwiżit ta’ ISO 27001 li tifhem l-organizzazzjoni tiegħek u l-kuntest tagħha. Parti kritika minn din il-fażi hija l-identifikazzjoni tar-rekwiżiti legali u regolatorji tiegħek, fejn il-GDPR ikun input primarju. Trid toħloq u żżomm Reġistru tal-Attivitajiet ta’ Ipproċessar (RoPA) kif meħtieġ minn GDPR Article 30. Dan l-inventarju tal-assi tad-data personali, tal-flussi tad-data u tal-għanijiet tal-ipproċessar isir pedament tal-ISMS tiegħek, u jinforma l-valutazzjoni tar-riskju u l-għażla tal-kontrolli tiegħek. Il-gwida ta’ implimentazzjoni tagħna, il-Zenith Blueprint, tipprovdi proċess pass pass biex jiġi stabbilit dan il-kuntest u dan il-kamp ta’ applikazzjoni fundamentali.¹

Ladarba tkun taf x’data personali għandek u fejn tinsab, tista’ twettaq valutazzjoni tar-riskju li tindirizza t-theddid għall-kunfidenzjalità, l-integrità u d-disponibbiltà tagħha. Dan il-proċess, ċentrali għal ISO 27001, jissodisfa direttament il-mandat tal-GDPR għal approċċ għas-sigurtà bbażat fuq ir-riskju. Il-valutazzjoni tar-riskju tiegħek għandha tidentifika theddid potenzjali, bħal aċċess mhux awtorizzat, tnixxija ta’ data jew falliment tas-sistema, u tevalwa l-impatt potenzjali tiegħu fuq id-drittijiet u l-libertajiet tal-individwi.

• Immappja l-flussi tad-data: Iddokumenta kif data personali tidħol fl-organizzazzjoni tiegħek, kif tiċċaqlaq fiha, u kif toħroġ minnha.
• Identifika l-obbligi legali: Uża ISO 27001 Klawżola 4.2 biex tidentifika formalment il-GDPR bħala rekwiżit ewlieni minn partijiet interessati (regolaturi, suġġetti tad-data).
• Oħloq inventarju tal-assi: Ibni reġistru tal-assi kollha involuti fl-ipproċessar tad-data personali, inklużi applikazzjonijiet, databases u servers.
• Wettaq valutazzjoni tar-riskju: Evalwa t-theddid għad-data personali u ddetermina l-livell ta’ riskju, billi tqis kemm il-probabbiltà kif ukoll l-impatt.
• Żviluppa Pjan ta’ Trattament tar-Riskju: Iddeċiedi kif se tirrispondi għal kull riskju identifikat, kemm jekk billi tapplika kontroll, taċċetta r-riskju jew tevitah.

Fażi 2: Implimenta kontrolli biex tipproteġi data personali

B’fehim ċar tar-riskji, tista’ tagħżel u timplimenta kontrolli xierqa mill-Anness A ta’ ISO 27001 biex timmitigahom. Hawnhekk is-sinerġija bejn l-istandard u r-regolament issir l-aktar evidenti. Ħafna mir-rekwiżiti ta’ GDPR Article 32 għal “miżuri tekniċi u organizzattivi” jiġu indirizzati direttament mill-kontrolli tal-Anness A. Pereżempju, is-sejħa tal-GDPR għall-iċċifrar u l-psewdonimizzazzjoni tintlaħaq permezz tal-implimentazzjoni ta’ kontrolli bħal 8.24 Use of cryptography u 8.11 Data masking. Il-ħtieġa li tiġi żgurata l-integrità u r-reżiljenza kontinwi tas-sistemi tal-ipproċessar tiġi indirizzata permezz ta’ kontrolli għall-ġestjoni tal-vulnerabbiltajiet (8.8), il-backup (8.13) u l-logging (8.15).

It-traduzzjoni ta’ dawn ir-rekwiżiti f’sett koerenti ta’ kontrolli tista’ tkun kumplessa, peress li l-lingwaġġ tar-regolament legali u dak tal-istandards tas-sigurtà jvarjaw. Mappa ewlenija li tgħaqqad kull kontroll ta’ ISO 27001 mal-artikoli korrispondenti tiegħu fil-GDPR, NIS2 u oqfsa oħra hija ta’ valur kbir. Tipprovdi ċarezza għall-implimentaturi u traċċa tal-awditjar ċara għall-valutaturi. Il-librerija Zenith Controls ġiet iddisinjata speċifikament għal dan l-iskop, bħala crosswalk awtorevoli bejn l-oqfsa.² Dan jiżgura li, meta timplimenta kontroll ta’ ISO 27001, tkun qed tissodisfa b’mod konxju u dimostrabbli rekwiżit speċifiku tal-GDPR.

• Implimenta l-kontroll tal-aċċess: Applika l-prinċipju tal-inqas privileġġ biex tiżgura li l-impjegati jistgħu jaċċessaw biss id-data personali meħtieġa għar-rwoli tagħhom.
• Uża kontrolli kriptografiċi: Iċċifra d-data personali kemm meta tkun maħżuna fid-databases kif ukoll meta tkun fi tranżitu fuq in-networks.
• Immaniġġja l-vulnerabbiltajiet tekniċi: Stabbilixxi proċess biex regolarment issib, tevalwa u tapplika patches għall-vulnerabbiltajiet tas-software.
• Żgura l-kontinwità tan-negozju: Implimenta u ttestja proċeduri ta’ backup u rkupru biex tirrestawra l-aċċess għal data personali f’waqtu wara inċident.
• Żgura ambjenti ta’ żvilupp: Jekk tiżviluppa software, żgura li l-ambjenti tat-test ikunu separati mill-produzzjoni u ma jużawx data personali reali mingħajr protezzjoni bħal masking.

Fażi 3: Immonitorja, żomm u tejjeb

ISMS mhijiex sistema statika. ISO 27001 jeħtieġ monitoraġġ, kejl, analiżi u evalwazzjoni kontinwi biex jiġi żgurat li l-kontrolli jibqgħu effettivi. Dan jappoġġa direttament ir-rekwiżit tal-GDPR għal proċess ta’ ttestjar u evalwazzjoni regolari tal-effettività tal-miżuri tas-sigurtà tiegħek. Din il-fażi tinvolvi t-twettiq ta’ awditi interni, ir-rieżami ta’ logs u twissijiet ta’ monitoraġġ, u t-twettiq ta’ rieżamijiet regolari tal-maniġment biex tiġi evalwata l-prestazzjoni tal-ISMS. Kull nuqqas ta’ konformità identifikat jew opportunità għal titjib jerġa’ jiddaħħal fil-proċess ta’ valutazzjoni u trattament tar-riskju, u joħloq ċiklu ta’ titjib kontinwu.

Din il-governanza kontinwa testendi wkoll għall-katina tal-provvista tiegħek. Skont GDPR Article 28, inti responsabbli biex tiżgura li kwalunkwe proċessur minn parti terza li tuża jipprovdi garanziji suffiċjenti dwar is-sigurtà tiegħu stess. Il-kontrolli ta’ ISO 27001 għar-relazzjonijiet mal-fornituri (5.19 sa 5.22) jipprovdu qafas għall-ġestjoni ta’ dan, mid-diliġenza dovuta u l-klawżoli kuntrattwali sal-monitoraġġ kontinwu tal-prestazzjoni tagħhom.

• Wettaq awditi interni: Irrevedi regolarment l-ISMS tiegħek kontra r-rekwiżiti ta’ ISO 27001 u l-politiki tiegħek stess biex tidentifika lakuni.
• Immonitorja avvenimenti tas-sigurtà: Implimenta logging u monitoraġġ biex tiskopri u tirrispondi għal inċidenti tas-sigurtà potenzjali.
• Immaniġġja r-riskju tal-fornituri: Irrevedi l-prattiki tas-sigurtà tal-fornituri tiegħek u żgura li jkunu fis-seħħ ftehimiet dwar l-ipproċessar tad-data.
• Wettaq rieżamijiet tal-maniġment: Ippreżenta l-prestazzjoni tal-ISMS lit-tmexxija għolja biex tiżgura appoġġ kontinwu u allokazzjoni tar-riżorsi.
• Mexxi t-titjib kontinwu: Uża s-sejbiet mill-awditi u r-rieżamijiet biex taġġorna l-valutazzjoni tar-riskju tiegħek u ttejjeb il-kontrolli tiegħek.

Politiki li jsaħħu l-infurzar

ISMS imfassal tajjeb jiddependi fuq politiki ċari, aċċessibbli u infurzabbli biex jittraduċu l-intenzjonijiet tal-maniġment fi prattika operattiva konsistenti. Il-politiki huma r-rabta kritika bejn l-objettivi strateġiċi tal-programm tas-sigurtà tiegħek u l-azzjonijiet ta’ kuljum tal-impjegati tiegħek. Mingħajrhom, l-implimentazzjoni tal-kontrolli ssir inkonsistenti u dipendenti fuq individwi aktar milli fuq proċessi. Għall-konformità mal-GDPR, dokument ċentrali huwa l-Politika dwar il-Protezzjoni tad-Data u l-Privatezza.³ Din il-politika ta’ livell għoli tistabbilixxi l-impenn tal-organizzazzjoni għall-protezzjoni tad-data personali u tiddeskrivi l-prinċipji ewlenin li jiggwidaw l-immaniġġjar tagħha, bħall-legalità, il-ġustizzja, it-trasparenza u l-minimizzazzjoni tad-data. Tistabbilixxi l-bażi għall-proċeduri kollha relatati mas-sigurtà.

Din il-politika fundamentali ma teżistix waħedha. Hija sostnuta minn sett ta’ politiki aktar speċifiċi li jindirizzaw riskji partikolari u oqsma ta’ kontroll identifikati fil-valutazzjoni tar-riskju tiegħek. Pereżempju, biex tissodisfa r-rakkomandazzjonijiet b’saħħithom tal-GDPR dwar l-iċċifrar, għandek bżonn Politika tal-Kontrolli Kriptografiċi⁴ li tiddefinixxi rekwiżiti obbligatorji għall-użu tal-iċċifrar biex tipproteġi data maħżuna u data fi tranżitu. Bl-istess mod, biex il-prinċipju tal-minimizzazzjoni tad-data u l-protezzjoni tad-data mid-disinn jitħaddmu fil-prattika, Politika dwar il-Masking tad-Data u l-Psewdonimizzazzjoni tipprovdi regoli ċari dwar meta u kif titneħħa l-identifikazzjoni minn data personali, speċjalment f’ambjenti mhux ta’ produzzjoni bħat-testijiet u l-iżvilupp. Flimkien, dawn id-dokumenti jiffurmaw qafas koerenti li jiggwida l-imġiba, jissimplifika t-taħriġ, u jipprovdi evidenza kruċjali għall-awdituri.

Listi ta’ kontroll

Qabel kwalunkwe lista ta’ kompiti, huwa essenzjali li jkun hemm narrattiva ċara li tqiegħed l-għan u l-kuntest. Dawn il-listi ta’ kontroll mhumiex sempliċement serje ta’ kaxxi li għandhom jiġu mmarkati; jirrappreżentaw vjaġġ strutturat. Il-fażi “Ibni” hija dwar li jitqiegħed pedament sod, u li jiġi żgurat li l-ISMS tiegħek ikun iddisinjat mill-bidu bil-GDPR f’moħħu. Il-fażi “Opera” tiffoka fuq id-dixxiplini u r-rutini ta’ kuljum li jżommu s-sistema ħajja u effettiva. Fl-aħħar nett, il-fażi “Ivverifika” hija dwar li tieqaf u tevalwa l-prestazzjoni, titgħallem mill-esperjenza, u tiżgura li s-sistema tevolvi biex tilqa’ theddid u sfidi ġodda.

Ibni: Kif ISO/IEC 27001:2022 tappoġġa l-konformità mal-GDPR mill-ewwel jum

• Iddefinixxi l-kamp ta’ applikazzjoni tal-ISMS biex jinkludi l-ipproċessar kollu ta’ data personali.
• Identifika formalment il-GDPR u liġijiet oħra dwar il-privatezza bħala rekwiżiti legali.
• Oħloq u żomm Reġistru tal-Attivitajiet ta’ Ipproċessar (RoPA) bħala reġistru ċentrali tal-assi.
• Wettaq valutazzjoni tar-riskju li tevalwa speċifikament ir-riskji għad-drittijiet u l-libertajiet tal-individwi.
• Oħloq Pjan ta’ Trattament tar-Riskju li jimmappja l-kontrolli magħżula tal-Anness A ma’ artikoli speċifiċi tal-GDPR.
• Abbozza u approva Politika fundamentali dwar il-Protezzjoni tad-Data u l-Privatezza.
• Żviluppa politiki speċifiċi għal oqsma ewlenin bħall-kontroll tal-aċċess, il-kontrolli kriptografiċi u l-ġestjoni tal-fornituri.
• Iffinalizza u approva d-Dikjarazzjoni ta’ Applikabbiltà, billi tiġġustifika l-inklużjoni tal-kontrolli kollha rilevanti għall-GDPR.

Opera: Żamma tal-konformità ta’ kuljum mal-GDPR

• Ipprovdi taħriġ regolari ta’ għarfien dwar is-sigurtà u l-privatezza lill-impjegati kollha.
• Applika kontrolli tal-aċċess ibbażati fuq il-prinċipju tal-inqas privileġġ.
• Immonitorja s-sistemi għall-vulnerabbiltajiet u applika patches f’waqtu.
• Żgura li jsiru backups ta’ data personali regolarment u ttestja l-proċeduri ta’ restawr.
• Irrevedi l-logs tas-sistema u tas-sigurtà għal sinjali ta’ attività anomala.
• Wettaq diliġenza dovuta fuq il-fornituri ġodda kollha minn partijiet terzi li se jipproċessaw data personali.
• Żgura li l-Ftehimiet dwar l-Ipproċessar tad-Data (DPAs) jiġu ffirmati mal-fornituri rilevanti kollha.
• Segwi l-pjan ta’ rispons għall-inċidenti għal kwalunkwe ksur potenzjali ta’ data personali.

Ivverifika: Awditjar u titjib tal-kontrolli tiegħek

• Skeda u wettaq awditi interni regolari tal-ISMS kontra r-rekwiżiti ta’ ISO 27001 u GDPR.
• Wettaq rieżamijiet perjodiċi tal-konformità tas-sigurtà tal-fornituri.
• Ittestja l-pjanijiet tiegħek ta’ rispons għall-inċidenti u ta’ kontinwità tan-negozju mill-inqas darba fis-sena.
• Wettaq rieżamijiet formali tal-maniġment biex tiddiskuti l-prestazzjoni tal-ISMS, ir-riżultati tal-awditjar u r-riskji.
• Irrevedi u aġġorna l-valutazzjoni tar-riskju b’reazzjoni għal bidliet jew inċidenti sinifikanti.
• Iġbor u analizza metriċi dwar l-effettività tal-kontrolli (eż. ħinijiet għall-applikazzjoni ta’ patches, ħinijiet ta’ rispons għall-inċidenti).
• Aġġorna l-politiki u l-proċeduri abbażi tas-sejbiet tal-awditjar u l-lezzjonijiet meħuda.

Nuqqasijiet komuni

In-navigazzjoni tal-integrazzjoni ta’ ISO 27001 u GDPR tista’ tkun ta’ sfida, u diversi żbalji komuni jistgħu jdgħajfu l-isforzi ta’ intrapriża żgħira jew medja. Li tkun konxju minn dawn in-nuqqasijiet huwa l-ewwel pass biex tevitahom. Dawn mhumiex problemi teoretiċi; huma fallimenti prattiċi li naraw fil-qasam u li jwasslu għal nuqqasijiet ta’ konformità fl-awditjar, lakuni fis-sigurtà u riskju regolatorju. L-indirizzar tagħhom jeħtieġ ħarsa pragmatika u olistika lejn il-konformità, billi titqies bħala funzjoni kontinwa tan-negozju aktar milli bħala proġett ta’ darba.

• Tmexxi żewġ proġetti separati: L-aktar żball komuni huwa li l-implimentazzjoni ta’ ISO 27001 u l-konformità mal-GDPR jiġu ttrattati bħala flussi ta’ xogħol separati. Dan iwassal għal xogħol duplikat, dokumentazzjoni konfliġġenti, u programm ta’ konformità li jiswa d-doppju u jkun effettiv bin-nofs.
• “Tinsa” l-protezzjoni tad-data mid-disinn: Ħafna organizzazzjonijiet l-ewwel jibnu s-sistemi u l-proċessi tagħhom, u mbagħad jippruvaw japplikaw kontrolli tal-privatezza wara. Kemm il-GDPR kif ukoll ISO 27001 jeħtieġu li s-sigurtà titqies mill-bidu. Li tipprova żżid il-privatezza wara huwa dejjem aktar diffiċli u inqas effettiv.
• L-ISMS bħala “shelfware”: Il-kisba taċ-ċertifikazzjoni hija l-bidu, mhux it-tmiem. Xi negozji joħolqu sett perfett ta’ dokumenti għall-awditur u mbagħad iħalluhom jiġbru t-trab. ISMS li ma jintużax, ma jiġix immonitorjat u ma jittejjibx b’mod attiv ma joffri l-ebda protezzjoni reali u jfalli fl-ewwel awditu ta’ sorveljanza.
• Tinjoraw ir-riskju tal-cloud u tal-fornituri: Li tassumi li l-fornitur cloud tiegħek huwa awtomatikament konformi mal-GDPR huwa żball perikoluż. Int, bħala l-kontrollur tad-data, tibqa’ responsabbli. Nuqqas li twettaq diliġenza dovuta, tiffirma DPA u timmonitorja lill-fornituri tiegħek huwa ksur dirett ta’ GDPR Article 28.
• Tittratta d-Dikjarazzjoni ta’ Applikabbiltà bħala lista ta’ xewqat: Is-SoA trid tirrifletti r-realtà. Li tiddikjara li kontroll huwa implimentat meta mhuwiex, jew meta huwa implimentat biss parzjalment, huwa nuqqas ta’ konformità maġġuri. Id-dokument għandu jkun rappreżentazzjoni preċiża tal-ambjent tal-kontroll tiegħek, b’evidenza li ssostnih.

Il-passi li jmiss

Lest tibni ISMS li jwassal b’mod sistematiku għall-konformità mal-GDPR? It-toolkits tagħna jipprovdu l-politiki, il-proċeduri u l-gwida li għandek bżonn biex twettaq dan b’mod effiċjenti.

• Zenith Suite
• Complete SME + Enterprise Combo Pack
• Full SME Pack

Referenzi