Ittestjar tal-kontrolli tal-privatezza ISO 27701 għall-GDPR

L-awditu tal-privatezza tal-Ġimgħa li kixef il-problema vera
Huma t-15:40 ta’ nhar ta’ Ġimgħa meta Maria, is-CISO ta’ kumpanija SaaS li qed tikber b’rata mgħaġġla, tidħol f’sejħa bil-vidjo mal-uffiċjal ewlieni tal-akkwist ta’ prospett korporattiv kbir.
It-tim tagħha ilu xhur jaħdem fuq is-Sistema ta’ Ġestjoni tal-Informazzjoni tal-Privatezza tiegħu. Il-politiki ġew approvati. Ir-reġistru tal-ipproċessar jeżisti. Il-kumpanija għandha pjan ta’ tħejjija għal ISO 27701. Id-DPO għandu flussi tax-xogħol għat-talbiet tas-suġġetti tad-data. It-tim legali aġġorna l-ftehimiet dwar l-ipproċessar tad-data. L-inġinerija tgħid li l-aċċess għall-ambjent tal-produzzjoni huwa ristrett.
L-uffiċjal tal-akkwist jibda b’mod edukat, iżda dirett.
“Grazzi tad-dokumentazzjoni, Maria. Iċ-ċertifikat u l-pakkett tal-politiki huma punt tat-tluq tajjeb. It-tim tagħna tad-diliġenza dovuta se jkun fuq il-post ix-xahar id-dieħel. Iridu jaraw il-proċess DSAR tagħkom fil-prattika, jivverifikaw il-kontrolli tal-minimizzazzjoni tad-data fuq il-kontijiet tat-test tagħna, jirrieżaminaw il-logs tal-aċċess għall-ambjent tal-produzzjoni, u jispezzjonaw evidenza li l-kontrolli tal-privatezza qed jiġu ttestjati, mhux biss dokumentati.”
Fi ftit minuti, Maria tirċievi żewġ messaġġi oħra.
Id-DPO jistaqsi jekk il-karatteristika l-ġdida tal-analitika hijiex koperta mir-reġistru tal-ipproċessar, mill-valutazzjoni tal-bażi legali, mill-iskeda taż-żamma, u mill-obbligi mgħoddija lis-subproċessuri.
Il-maniġer tal-konformità jistaqsi jekk ir-rieżami tat-tħejjija għal ISO 27701:2025 jistax juri li l-kontrolli tal-PIMS qegħdin joperaw b’mod effettiv.
Dan huwa l-mument meta ħafna programmi tal-privatezza jibdew jitħawwdu. L-organizzazzjoni għandha dokumenti tal-privatezza, iżda mhux prova tal-privatezza. Għandha flussi tax-xogħol, iżda mhux evidenza bbażata fuq kampjuni. Għandha kuntratti, iżda reġistri dgħajfa tal-monitoraġġ. Għandha fiduċja interna, iżda l-ebda traċċa tal-awditjar difensibbli.
Dik il-lakuna hija d-differenza bejn konformità fuq il-karta u responsabbiltà li tista’ tintwera.
Il-GDPR jagħmel il-problema espliċita. Il-kontrollur huwa responsabbli għal, u għandu jkun kapaċi juri, il-konformità mal-prinċipji tal-protezzjoni tad-data. Id-data personali għandha tiġi pproċessata b’mod legali, ġust u trasparenti, għal għanijiet speċifikati, limitata għal dak li huwa meħtieġ, preċiża, miżmuma biss sakemm ikun meħtieġ, u protetta permezz ta’ miżuri tekniċi u organizzattivi xierqa.
ISO 27701:2025 jipprovdi lill-organizzazzjonijiet l-istruttura tal-ġestjoni tal-privatezza. ISO/IEC 27001:2022 jipprovdi s-sinsla tal-ISMS għall-kamp ta’ applikazzjoni, it-trattament tar-riskju, il-kontroll operattiv, l-awditjar intern, ir-rieżami mill-ġestjoni u t-titjib kontinwu. Il-GDPR jipprovdi l-piż legali tar-responsabbiltà. NIS2, DORA, NIST CSF 2.0, assigurazzjoni skont l-istil ta’ COBIT 2019, u rieżamijiet tas-sigurtà mill-klijenti jżidu l-pressjoni biex jintwera li l-kontrolli jaħdmu.
Il-pożizzjoni ta’ Clarysec hija sempliċi: l-ittestjar tal-kontrolli tal-privatezza m’għandux ikun ġirja annwali għall-ġbir ta’ screenshots. Għandu jkun sistema ta’ evidenza tal-PIMS li torbot l-attivitajiet ta’ pproċessar, il-kontrolli applikabbli, ir-riskji, il-kampjuni, il-verifiki tekniċi, is-sejbiet, il-CAPA u r-rieżami mill-ġestjoni f’mudell wieħed traċċabbli.
Hawnhekk is-sett ta’ politiki PIMS ta’ Clarysec, Zenith Blueprint: pjan direzzjonali ta’ 30 pass għall-awdituri, u Zenith Controls: il-gwida għall-konformità bejn oqfsa differenti isiru għodod operattivi, mhux materjal fuq l-ixkaffa.
L-ittestjar tal-kontrolli tal-privatezza huwa l-pont bejn il-politika u r-responsabbiltà
Test ta’ kontroll tal-privatezza jwieġeb tliet mistoqsijiet prattiċi:
- Il-kontroll huwa mfassal biex jissodisfa l-obbligu tal-privatezza jew inaqqas ir-riskju tal-privatezza?
- Il-kontroll huwa implimentat fil-proċess, is-sistema, it-tim, il-fornitur jew il-fluss tax-xogħol tal-prodott rilevanti?
- Il-kontroll qed jopera b’mod effettiv tul iż-żmien, b’evidenza li tissodisfa awditur, klijent, regolatur jew kumitat tal-bord?
Kumpanija SaaS tista’ tgħid li tappoġġja talbiet għat-tħassir. Test tad-disinn jiċċekkja jekk il-politika tat-tħassir, il-proċess ta’ verifika tal-identità, il-mudell tas-sjieda, il-koordinazzjoni mal-proċessuri, l-eċċezzjonijiet għaż-żamma u l-immaniġġjar tal-backups humiex definiti. Test tal-effettività operattiva jieħu kampjuni ta’ talbiet għat-tħassir magħluqa, iqabbel it-timestamps, jiċċekkja l-approvazzjonijiet, jirrieżamina l-logs tas-sistema, jivverifika n-notifiki lill-proċessuri downstream, u jikkonferma l-evidenza tal-għeluq.
Il-Politika dwar il-Monitoraġġ, l-Awditjar u t-Titjib tal-PIMS tibdel dan f’rekwiżit awditabbli:
[It-tnejn] L-Awditur Intern/Rieżaminatur tal-Konformità GĦANDU jittestja l-istatus tal-implimentazzjoni tal-kontrolli applikabbli tal-PIMS kontra REG03 matul kull awditu tal-PIMS.
Mit-taqsima “programm tal-awditjar intern tal-PIMS”, klawżola tal-politika 4.2.5.
Dik il-frażi, “kontra REG03,” hija ċentrali. L-ittestjar mhuwiex intervista bla struttura. REG03 jaġixxi bħala r-referenza tal-applikabbiltà u tal-implimentazzjoni għall-kontrolli tal-PIMS. Juri x’japplika, għaliex japplika, u x’evidenza għandha tkun disponibbli.
L-istess politika żżid:
[It-tnejn] L-Awditur Intern/Rieżaminatur tal-Konformità GĦANDU jirreġistra l-kampjun magħżul tal-evidenza tal-ipproċessar tal-PII f’REG12 matul kull awditu tal-PIMS.
Mit-taqsima “programm tal-awditjar intern tal-PIMS”, klawżola tal-politika 4.2.6.
Dan huwa l-qalba tal-ittestjar tal-kontrolli tal-privatezza ISO 27701:2025. Awditu tal-PIMS mingħajr kampjun huwa konverżazzjoni. Awditu tal-PIMS b’evidenza magħżula, immappjar tal-kontrolli, eċċezzjonijiet, azzjoni korrettiva u traċċabbiltà għar-rieżami mill-ġestjoni huwa responsabbiltà.
Ibda bil-kamp ta’ applikazzjoni, ir-rwol u r-realtà tal-ipproċessar
Ħafna awditi dgħajfa tal-privatezza jfallu qabel jibda l-ittestjar. Jagħżlu kontrolli ġeneriċi mingħajr ma jikkonfermaw liema data personali tiġi pproċessata, fejn tinsab, liema sistemi u fornituri jmissuha, u jekk l-organizzazzjoni taġixxix bħala kontrollur, proċessur, kontrollur konġunt jew subproċessur.
L-obbligi tal-GDPR jiddependu ħafna fuq ir-rwol. Kontrollur li jiddeċiedi għaliex u kif tiġi pproċessata d-data personali għandu obbligi differenti minn proċessur li jaġixxi fuq istruzzjonijiet dokumentati tal-klijent. Is-sensittività tad-data hija importanti wkoll. Data tal-impjegati, data tal-kontijiet tal-klijenti, telemetrija, data finanzjarja, verifika bijometrika, data relatata mas-saħħa, skrining tas-sanzjonijiet, u data dwar reati kriminali ma jġorrux l-istess riskju.
Programm b’saħħtu ta’ ttestjar ISO 27701:2025 jibda b’dixxiplina tal-kamp ta’ applikazzjoni.
| Mistoqsija dwar il-kamp ta’ applikazzjoni | Evidenza li għandha tiġi spezzjonata | Għaliex hija importanti |
|---|---|---|
| Liema attivitajiet ta’ pproċessar tal-PII huma fil-kamp ta’ applikazzjoni? | Reġistru tal-ipproċessar, mappa tal-fluss tad-data, inventarju tas-sistemi, reġistru tal-fornituri | L-ittestjar għandu jieħu kampjuni minn ipproċessar reali, mhux minn dikjarazzjonijiet astratti tal-politika |
| Liema rwol tal-PIMS japplika? | Immappjar tal-kontrollur, proċessur, kontrollur konġunt, subproċessur | L-obbligi tal-GDPR u l-kontrolli tal-PIMS ivarjaw skont ir-rwol |
| Liema obbligi legali, kuntrattwali u regolatorji japplikaw? | Valutazzjoni tal-GDPR, DPAs tal-klijenti, regoli settorjali, valutazzjonijiet tat-trasferiment | Id-disinn tal-kontrolli għandu jirrifletti l-obbligi attwali |
| Liema sistemi u fornituri jipproċessaw PII? | Inventarju tal-assi, inventarju cloud, lista tal-proċessuri, matriċi tal-aċċess | It-testijiet operattivi jeħtieġu evidenza teknika u ta’ partijiet terzi |
| Liema bidliet jaffettwaw l-ipproċessar tal-PII? | Reġistri tal-bidliet fil-prodott, skattaturi tad-DPIA, noti tar-rilaxx, rieżamijiet tal-arkitettura | Il-privatezza mid-disinn għandha tiġi ttestjata qabel it-tnedija, mhux wara l-ilmenti |
ISO/IEC 27001:2022 jappoġġja dan l-approċċ integrat permezz tar-rekwiżiti tiegħu għall-kuntest organizzattiv, ir-rekwiżiti tal-partijiet interessati, l-obbligi legali u kuntrattwali, il-kamp ta’ applikazzjoni tas-sistema ta’ ġestjoni, l-ippjanar operattiv u t-trattament tar-riskju. Għall-privatezza, dan ifisser li l-ipproċessar tal-PII ma jistax jibqa’ spreadsheet maqtugħa mill-bqija. Għandu jkun parti mill-mudell operattiv tal-ISMS u tal-PIMS.
Il-Politika tas-Sistema ta’ Ġestjoni tal-Informazzjoni tal-Privatezza torbot l-ittestjar tal-privatezza direttament mal-governanza:
[Kollha] It-Tmexxija Għolja GĦANDHA tirrieżamina l-prestazzjoni tal-PIMS, l-objettivi tal-privatezza, ir-riskji miftuħa, in-nuqqasijiet ta’ konformità, l-azzjonijiet korrettivi u d-deċiżjonijiet ta’ titjib f’REG12 kull sena.
Mit-taqsima “governanza tal-PIMS”, klawżola tal-politika 6.1.1.
Jekk l-ittestjar jidentifika lakuna fil-privatezza, din mhijiex biss nota ta’ awditjar. Hija input għas-sistema ta’ ġestjoni li għandu jaffettwa t-trattament tar-riskju, il-prijoritajiet, ir-riżorsi u d-deċiżjonijiet tat-tmexxija.
Effettività tad-disinn kontra effettività operattiva
Meta klijent jistaqsi jekk il-kontrolli tal-privatezza humiex ittestjati, normalment ikun qed jirreferi għall-effettività operattiva. Madankollu, l-awdituri jeżaminaw ukoll l-effettività tad-disinn.
Kontroll effettiv fid-disinn huwa kapaċi jissodisfa r-rekwiżit jekk jitwettaq kif maħsub. Kontroll effettiv fl-operat jitwettaq b’mod konsistenti u jkun sostnut b’evidenza.
| Qasam tal-kontroll | Test tal-effettività tad-disinn | Test tal-effettività operattiva |
|---|---|---|
| Ġbir tal-kunsens | Ivverifika l-politika, it-test tal-kunsens, ir-regoli tal-bażi legali, ir-rekwiżiti tal-UI, il-fluss tax-xogħol tal-irtirar | Ħu kampjuni minn reġistri tal-kunsens u tal-irtirar, qabbel it-timestamps, ivverifika s-soppressjoni wara l-irtirar |
| Limitazzjoni tal-għan | Irrieżamina r-RoPA, l-avviż ta’ privatezza, ir-rekwiżiti tal-prodott, is-separazzjoni tal-kunsens, ir-regoli dwar l-użu tad-data | Ħu kampjuni minn reġistri tal-utenti, logs, esportazzjonijiet u flussi tal-analitika biex tikkonferma li l-PII ma terġax tintuża għal għanijiet mhux awtorizzati |
| Aċċess għall-PII | Irrieżamina l-politika tal-aċċess, il-mudell tar-rwoli, il-proċedura ta’ dħul-trasferiment-tluq, il-fluss tax-xogħol ta’ approvazzjoni | Ħu kampjuni minn utenti b’aċċess għall-PII, ivverifika l-approvazzjoni, il-ħtieġa tan-negozju, l-MFA u r-rieżami riċenti tal-aċċess |
| Onboarding tal-proċessuri | Irrieżamina l-kriterji tad-diliġenza dovuta, il-klawżoli tad-DPA, ir-regoli tas-subproċessuri, is-salvagwardji tat-trasferiment | Ħu kampjun ta’ proċessur, spezzjona l-evalwazzjoni, il-kuntratt, ir-rieżami tas-sigurtà u l-evidenza tal-monitoraġġ tas-subproċessuri |
| Żamma u tħassir | Irrieżamina l-iskeda taż-żamma, ir-regoli tal-eċċezzjonijiet, il-proċedura tat-tħassir, il-kapaċità tas-sistema | Ħu kampjuni minn reġistri mħassra jew talbiet għat-tħassir, spezzjona logs, tickets u konfermi tal-proċessuri |
| Immaniġġjar ta’ ksur | Irrieżamina l-klassifikazzjoni tal-inċidenti, l-eskalazzjoni tal-privatezza, il-kriterji tan-notifika lill-awtorità | Ħu kampjuni minn reġistri tal-inċidenti, ivverifika t-triage, ir-raġunament tad-deċiżjoni, in-notifiki u t-tagħlimiet meħuda |
Il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità tiddikjara l-għan b’mod dirett:
Ivverifika l-effettività tal-kontrolli tas-sigurtà u tal-privatezza
Mit-taqsima “Għan”, klawżola tal-politika 1.1.1.
Il-verżjoni SME żżomm l-istess prinċipju ta’ assigurazzjoni b’lingwaġġ operattiv. Il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità - SME tgħid:
Din il-politika tistabbilixxi l-approċċ tal-organizzazzjoni għat-twettiq ta’ awditi interni, rieżamijiet tal-kontrolli tas-sigurtà u monitoraġġ tal-konformità. Tiżgura li l-kontrolli, il-politiki, is-sistemi u l-fornituri tas-servizzi kollha jkunu soġġetti għal rieżami regolari u strutturat.
Mit-taqsima “Għan”, klawżola tal-politika 1.1.
It-tħejjija għal ISO 27701 mhijiex dwar id-daqs tal-kumpanija. Proċessur SaaS ta’ 30 persuna jista’ ma jkollux bżonn l-istess għodod ta’ awditjar bħal bank globali, iżda xorta għandu juri li l-aċċess, it-tħassir, l-eskalazzjoni tal-inċidenti, il-governanza tas-subproċessuri u ż-żamma tal-evidenza huma kkontrollati.
Il-katina tal-evidenza ta’ Clarysec: REG03, REG12, CAPA u rieżami
Clarysec tistruttura l-ittestjar tal-kontrolli tal-privatezza madwar katina sempliċi ta’ evidenza.
REG03 jiddefinixxi l-kontrolli applikabbli tal-PIMS u l-istatus tal-implimentazzjoni. REG12 jirreġistra kampjuni, evidenza, sejbiet, lakuni fit-traċċabbiltà, verifika tal-azzjonijiet korrettivi, u inputs għar-rieżami mill-ġestjoni. Ir-reġistri CAPA jibdlu s-sejbiet f’titjib ibbażat fuq analiżi tal-kawża ewlenija. It-Tmexxija Għolja tirrieżamina l-prestazzjoni tal-PIMS, ir-riskji, in-nuqqasijiet ta’ konformità, l-azzjonijiet korrettivi u d-deċiżjonijiet ta’ titjib.
Il-Politika dwar l-Informazzjoni Dokumentata u l-Ġestjoni tal-Evidenza tal-PIMS teħtieġ li kwistjonijiet ta’ kwalità tal-evidenza jiġu rreġistrati:
[Kollha] L-Awditur Intern/Rieżaminatur tal-Konformità GĦANDU jirreġistra lakuni fil-kompletezza, il-preċiżjoni jew it-traċċabbiltà tal-evidenza f’REG12 matul kull awditu skedat jew rieżami tal-konformità.
Mit-taqsima “ħolqien, ismijiet u kwalità tal-evidenza”, klawżola tal-politika 4.3.4.
Dan huwa importanti għaliex mhux kull sejba hija falliment totali tal-kontroll. Xi drabi l-kontroll ħadem, iżda l-evidenza mhijiex kompluta. Xi drabi ticket tat-tħassir jingħalaq, iżda l-ebda log tas-sistema ma jipprova t-tħassir. Xi drabi r-reġistru tal-ipproċessar isemmi s-CRM, iżda jħalli barra l-esportazzjoni lejn id-data warehouse. Xi drabi jeżisti kuntratt ma’ fornitur, iżda jkun nieqes il-monitoraġġ kontinwu.
Il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità teħtieġ ukoll awditi interni strutturati:
L-awditi interni għandhom isegwu proċedura dokumentata li tinkludi:
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1.
U meta jkun hemm sejbiet:
Is-sejbiet kollha għandhom jirriżultaw f’CAPA dokumentata li tinkludi:
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.2.1.
Il-Politika tal-Ġestjoni tar-Riskju - SME issaħħaħ id-dixxiplina tal-għeluq:
It-tlestija u l-effettività tal-azzjonijiet ta’ trattament għandhom jiġu vverifikati.
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.3.2.
Il-Politika dwar il-Monitoraġġ, l-Awditjar u t-Titjib tal-PIMS tagħlaq iċ-ċiklu:
[Kollha] L-Awditur Intern/Rieżaminatur tal-Konformità GĦANDU jivverifika l-effettività tal-azzjoni korrettiva f’REG12 fi żmien 30 jum mill-għeluq irrappurtat tal-azzjoni korrettiva.
Mit-taqsima “Nuqqas ta’ konformità u azzjoni korrettiva”, klawżola tal-politika 4.4.7.
Din hija d-differenza bejn li tagħlaq ticket u li ttejjeb sistema ta’ ġestjoni.
Test prattiku 1: talbiet għat-tħassir u responsabbiltà taħt il-GDPR
It-talbiet għat-tħassir huma wieħed mill-aktar modi ċari biex jiġi ttestjat jekk ir-responsabbiltà tal-privatezza taħdimx fil-prattika.
Assumi li kumpanija SaaS ta’ daqs medju fis-suq taġixxi kemm bħala kontrollur kif ukoll bħala proċessur. Tikkontrolla data tal-impjegati, tal-marketing u tal-kontijiet. Tipproċessa data tal-utenti finali tal-klijenti f’isem klijenti korporattivi. L-organizzazzjoni trid tittestja jekk il-kontrolli tat-tħassir humiex lesti għal awditu ISO 27701:2025 u għal assigurazzjoni tal-privatezza għall-klijenti taħt il-GDPR.
Pass 1: Agħżel l-attività ta’ pproċessar minn REG03
Agħżel attività ta’ pproċessar b’riskju reali għall-privatezza, bħal “data tal-profili tal-utenti finali tal-klijenti pproċessata fil-pjattaforma SaaS.” Ikkonferma jekk l-organizzazzjoni taġixxix bħala kontrollur, proċessur, jew it-tnejn. Identifika l-kontrolli marbuta mal-immaniġġjar tad-drittijiet, il-verifika tal-istruzzjonijiet tal-proċessur, iż-żamma, it-tħassir, il-kontroll tal-aċċess, il-logging, l-immaniġġjar tal-backups u l-koordinazzjoni mal-fornituri.
Pass 2: Iddefinixxi objettiv preċiż tat-test
Objettiv utli tat-test ikun speċifiku u mmexxi mill-evidenza:
“Ivverifika li t-talbiet għat-tħassir tad-data tal-profili tal-utenti finali tal-klijenti jiġu riċevuti, awtentikati jew ivverifikati bħala istruzzjoni valida, imwettqa fil-fluss tax-xogħol definit, illoggjati, ikkompletati teknikament fis-sistemi tal-produzzjoni, mgħoddija lis-subproċessuri rilevanti fejn meħtieġ, u magħluqa b’evidenza.”
Pass 3: Oħroġ kampjun rappreżentattiv
Agħżel ħames talbiet għat-tħassir mill-aħħar kwart. Inkludi talba ta’ rutina, talba li tinvolvi amministratur tal-klijent, talba b’istruzzjoni minn proċessur, talba b’eċċezzjoni taż-żamma, u talba li tmiss l-immaniġġjar tal-backups.
Il-Zenith Blueprint, fil-fażi ta’ Awditjar, Rieżami u Titjib, Pass 26: Eżekuzzjoni tal-awditjar, jenfasizza t-teħid ta’ kampjuni u l-ġbir tal-evidenza:
✓ Intervista persunal rilevanti: Staqsi lin-nies responsabbli għall-proċessi biex jispjegaw kif jissodisfaw ir-rekwiżiti. Pereżempju, staqsi lis-sid tar-riskju dwar l-aħħar valutazzjoni tar-riskju, jew staqsi lir-Riżorsi Umani kif impjegati ġodda jitħarrġu fis-sigurtà (biex tkopri l-kontroll 6.3 dwar is-sensibilizzazzjoni).
✓ Irrieżamina d-dokumentazzjoni: Iċċekkja li d-dokumenti u r-reġistri jeżistu u huma aġġornati.
✓ Osserva l-prattiki: Jekk possibbli, agħmel osservazzjoni diretta.
✓ Ħu kampjuni u agħmel kontrolli spot: Ma tistax tiċċekkja kollox, għalhekk uża t-teħid ta’ kampjuni.
Mill-fażi ta’ Awditjar, Rieżami u Titjib, Pass 26: Eżekuzzjoni tal-awditjar (Twettiq ta’ awditu intern).
Pass 4: Spezzjona l-evidenza għal kull kampjun
Għal kull talba fil-kampjun, iġbor it-ticket tad-dħul, il-klassifikazzjoni tar-rwol, il-verifika tal-identità jew l-awtorizzazzjoni tal-klijent, il-log tat-tħassir tas-sistema, id-deċiżjoni dwar eċċezzjoni taż-żamma, l-ispjegazzjoni tal-immaniġġjar tal-backups, in-notifika lis-subproċessur, il-komunikazzjoni tal-għeluq, it-timestamps, u s-sign-off tar-rieżaminatur.
Pass 5: Irreġistra r-riżultati f’REG12
Irreġistra l-kampjun, is-sors tal-evidenza, ir-riżultat tal-kontroll, l-eċċezzjoni u l-lakuna fit-traċċabbiltà f’REG12. Jekk it-tħassir seħħ iżda ma jeżisti l-ebda log tal-produzzjoni, il-kontroll seta’ opera iżda l-evidenza hija dgħajfa. Jekk it-talba ġiet ittardjata għaliex ir-responsabbiltà tal-fornitur ma kinitx ċara, is-sejba tista’ tinvolvi governanza ta’ partijiet terzi u obbligi kuntrattwali mgħoddija downstream.
Pass 6: Oħloq CAPA u vverifika l-effettività
Jekk il-kawża ewlenija tkun sjieda mhux ċara bejn l-appoġġ, it-tim legali u l-inġinerija, il-CAPA tista’ tinkludi fluss tax-xogħol rivedut, RACI aġġornat, oqsma obbligatorji tal-evidenza, u kontrolli mensili fuq kampjuni tat-tħassir.
Il-Zenith Blueprint, fil-fażi ta’ Awditjar, Rieżami u Titjib, Pass 29, jispjega l-aspettattiva tal-għeluq:
Ippjana kif se tivverifika l-effettività ta’ kull azzjoni korrettiva. Dan jista’ jfisser skedar ta’ awditu jew kontroll ta’ segwitu. Pereżempju, jekk l-azzjoni korrettiva tiegħek kienet li tħarreġ il-persunal tal-IT dwar il-kontroll tal-aċċess, tista’ tippjana li tirrieżamina kontijiet ġodda fi żmien xahar biex tara jekk kollha għandhomx approvazzjonijiet xierqa (verifika).
Mill-fażi ta’ Awditjar, Rieżami u Titjib, Pass 29: Titjib kontinwu (Azzjonijiet korrettivi u tagħlimiet meħuda).
Għat-tħassir, il-verifika tista’ tfisser teħid ta’ kampjuni mill-ħames talbiet għat-tħassir li jmiss wara li l-fluss tax-xogħol rivedut jidħol fis-seħħ. Il-CAPA għandha tingħalaq biss wara dan.
Test prattiku 2: limitazzjoni tal-għan u minimizzazzjoni tad-data
It-tieni test ta’ valur għoli huwa l-limitazzjoni tal-għan. Dan huwa partikolarment utli qabel diliġenza dovuta mill-klijenti, tnedijiet tal-analitika, arrikkiment bl-AI, espansjoni tad-data warehouse, jew bidliet fl-awtomazzjoni tal-marketing.
Il-pjattaforma SaaS ta’ Maria tiġbor data tal-utenti tal-klijenti għat-twassil tas-servizz. L-objettiv tal-kontroll huwa li jiġi żgurat li l-PII tintuża biss għal għanijiet speċifikati u leġittimi, u ma terġax tintuża għall-analitika tal-marketing sakemm l-utent ma jkunx ta kunsens espliċitu u separat fejn meħtieġ.
| Tip ta’ evidenza | Artifacts speċifiċi |
|---|---|
| Dokumentazzjoni | Politika dwar il-Protezzjoni tad-Data u l-Privatezza, RoPA, DPA tal-klijent, avviżi ta’ privatezza, reġistri tal-ġestjoni tal-kunsens |
| Konfigurazzjoni teknika | Regoli tal-immaniġġjar tad-data tal-applikazzjoni, skemi tad-database, konfigurazzjonijiet tal-API, settings tax-xogħlijiet ETL |
| Logs u reġistri | Logs tal-aċċess tal-applikazzjoni, logs tal-queries tad-database, storja tal-bidliet fil-kunsens, reġistri tal-esportazzjoni tal-kampanji |
| Evidenza tal-persunal | Intervisti mas-sid tal-prodott, l-iżviluppatur ewlieni, l-amministratur tad-database, is-sid tal-privatezza |
Test operattiv b’saħħtu ma jieqafx mal-politika. Jieħu kampjuni minn utenti li għażlu li jirċievu marketing u minn utenti li ma għamlux hekk. Jitraċċa jekk l-istatus tal-kunsens huwiex rifless b’mod korrett fid-databases ewlenin tal-applikazzjoni, fit-tabelli tad-data warehouse, fl-għodod tal-kampanji, fid-dashboards u fl-esportazzjonijiet. Jekk utenti li ma tawx kunsens jidhru f’udjenza ta’ marketing, l-organizzazzjoni għandha nuqqas ta’ konformità konkret.
Il-Politika tal-Awditjar u l-Monitoraġġ tal-Konformità SME tagħti l-mentalità t-tajba permezz ta’ eżempju ta’ ttestjar tekniku:
Verifika teknika tal-kontrolli (eż. status tal-backup, konfigurazzjoni tal-kontroll tal-aċċess, reġistri tal-patches)
Mit-taqsima “Rekwiżiti għall-implimentazzjoni tal-politika”, klawżola tal-politika 6.1.1.2.
Għall-privatezza, il-verifika teknika tal-kontrolli tinkludi kontrolli tas-sinkronizzazzjoni tal-kunsens, esportazzjonijiet tal-kontroll tal-aċċess, logs tat-tħassir, settings tal-iċċifrar, testijiet tal-masking tad-data, twissijiet DLP, restrizzjonijiet tal-backups, avvenimenti ta’ monitoraġġ u evidenza tal-fornituri.
Immappjar tal-ittestjar tal-privatezza għal ISO/IEC 27001:2022 u l-konformità bejn oqfsa differenti ta’ Clarysec
Il-kontrolli tal-privatezza ma jaħdmux f’iżolament. Il-protezzjoni tal-PII tiddependi fuq l-inventarju tal-assi, il-klassifikazzjoni, il-kontroll tal-aċċess, il-governanza tal-cloud, il-masking tad-data, it-trasferiment tal-informazzjoni, il-logging, il-monitoraġġ, it-tħassir, il-protezzjoni tar-reġistri, is-sorveljanza tal-fornituri u r-rieżami indipendenti.
Fi Zenith Controls: il-gwida għall-konformità bejn oqfsa differenti, il-kontroll 5.34 tal-Anness A ta’ ISO/IEC 27001:2022, Privatezza u protezzjoni tal-PII, huwa mmappjat bħala kontroll preventiv allinjat mal-kunfidenzjalità, l-integrità u d-disponibbiltà, mal-kunċetti taċ-ċibersigurtà Identify u Protect, u mal-kapaċitajiet operattivi fil-Protezzjoni tal-Informazzjoni flimkien ma’ Legali u Konformità.
Ir-relazzjoni tiegħu mal-inventarju hija diretta:
Inventarju tal-assi tal-informazzjoni (5.9) għandu jinkludi holdings ta’ data PII (databases tal-klijenti, fajls tar-Riżorsi Umani). Dan isostni 5.34 billi jiżgura li l-organizzazzjoni tkun taf x’PII għandha u fejn tinsab, li huwa l-ewwel pass biex tipproteġiha.
Minn Zenith Controls, Privatezza u Protezzjoni tal-PII, kontroll 5.34.
Għall-ittestjar tal-awditjar, dan ifisser li l-awditur tal-privatezza m’għandux jibda bl-avviż ta’ privatezza waħdu. Għandu jibda bl-inventarju tal-PII, ir-reġistru tal-ipproċessar, il-flussi tad-data, l-inventarju tal-assi u l-inventarju tal-fornituri. Jekk l-inventarju mhuwiex komplut, il-kontrolli downstream tal-privatezza ma jistgħux ikunu kompletament affidabbli.
Il-gwida timmappja wkoll il-kontroll 5.34 tal-Anness A ta’ ISO/IEC 27001:2022 ma’ kontrolli relatati bħal 5.9 Inventarju tal-informazzjoni u assi oħra assoċjati, 5.12 Klassifikazzjoni tal-informazzjoni, 5.14 Trasferiment tal-informazzjoni, 5.15 Kontroll tal-aċċess, 5.16 Ġestjoni tal-Identità, 5.23 Sigurtà tal-informazzjoni għall-użu ta’ servizzi cloud, 5.33 Protezzjoni tar-reġistri, 8.11 Masking tad-data, 8.12 Prevenzjoni tat-tnixxija ta’ data, u 8.10 Tħassir tal-informazzjoni.
Żewġ kontrolli addizzjonali tal-Anness A ta’ ISO/IEC 27001:2022 huma partikolarment rilevanti:
| Kontroll ISO/IEC 27001:2022 | Rilevanza għall-ittestjar tal-privatezza | Eżempju ta’ evidenza |
|---|---|---|
| 5.34 Privatezza u protezzjoni tal-PII | Jikkonferma li r-rekwiżiti tal-privatezza u tal-protezzjoni tal-PII huma implimentati abbażi ta’ liġijiet, regolamenti u kuntratti | Reġistru tal-ipproċessar, DPIAs, reġistri tal-bażi legali, evidenza tad-DSR, logs taż-żamma |
| 5.35 Rieżami indipendenti tas-sigurtà tal-informazzjoni | Jipprovdi verifika oġġettiva li l-arranġamenti tas-sigurtà, inklużi kontrolli rilevanti għall-privatezza, jiġu riveduti b’mod indipendenti | Rapporti tal-awditjar intern, riżultati ta’ rieżamijiet esterni, kampjuni ta’ REG12, reġistri CAPA |
| 5.36 Konformità mal-politiki, ir-regoli u l-istandards għas-sigurtà tal-informazzjoni | Jikkonferma konformità kontinwa mar-regoli u l-istandards interni | Rieżamijiet tal-konformità mal-politiki, kontrolli tal-aċċess, riżultati tal-monitoraġġ, logs tal-eċċezzjonijiet |
Il-Politika dwar il-Protezzjoni tad-Data u l-Privatezza teħtieġ:
Awditu intern tal-konformità tal-privatezza għandu jitwettaq kull sena jew meta jseħħu bidliet organizzattivi jew regolatorji maġġuri. Il-kamp ta’ applikazzjoni tal-awditu għandu jinkludi:
Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.4.
Tinkludi wkoll:
Effettività tal-miżuri tekniċi u organizzattivi
Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.4.1.
Il-Politika dwar il-Protezzjoni tad-Data u l-Privatezza - SME iżżomm l-istess aspettattiva b’mod prattiku:
Awditi tal-privatezza jew kontrolli tal-kontrolli għandhom jitwettqu u jiġu rreġistrati regolarment
Mit-taqsima “Rekwiżiti ta’ governanza”, klawżola tal-politika 5.3.3.
Għaliex ir-responsabbiltà taħt il-GDPR issa hija kwistjoni ta’ governanza ċibernetika
L-evidenza tal-privatezza m’għadhiex tintalab biss mill-awdituri tal-privatezza. L-istess prova tista’ tintalab minn awditur ISO 27701:2025, awditur ISO/IEC 27001:2022, rieżaminatur tal-GDPR, awtorità kompetenti ta’ NIS2, klijent regolat minn DORA, valutatur NIST CSF, jew kumitat tar-riskju tal-bord.
NIS2 Article 21 jeħtieġ li entitajiet essenzjali u importanti jimplimentaw miżuri tekniċi, operattivi u organizzattivi xierqa u proporzjonati għall-ġestjoni tar-riskju taċ-ċibersigurtà. Article 21(2)(f) jinkludi b’mod espliċitu politiki u proċeduri biex tiġi evalwata l-effettività tal-miżuri għall-ġestjoni tar-riskju taċ-ċibersigurtà. NIS2 jagħmel ukoll lill-korpi maniġerjali responsabbli għall-approvazzjoni u s-sorveljanza tal-miżuri għall-ġestjoni tar-riskju taċ-ċibersigurtà.
DORA japplika mis-17 ta’ Jannar 2025 għall-entitajiet finanzjarji u jistabbilixxi qafas dettaljat ta’ reżiljenza operattiva diġitali. Jeħtieġ ġestjoni tar-riskju tal-ICT, sorveljanza mill-korp maniġerjali, awditjar intern, rimedju ta’ sejbiet kritiċi, klassifikazzjoni u rappurtar tal-inċidenti, ittestjar tar-reżiljenza, ġestjoni tar-riskju tal-ICT ta’ partijiet terzi, kontrolli kuntrattwali, reġistri tal-arranġamenti tas-servizzi tal-ICT, u strateġiji ta’ ħruġ. Il-fornituri tal-ICT li jservu entitajiet finanzjarji għandhom jistennew talbiet għal evidenza mmexxija minn DORA permezz tal-assigurazzjoni għall-klijenti.
NIST CSF 2.0 jipprovdi saff utli ta’ traduzzjoni. Il-funzjoni GOVERN tiegħu tistenna li l-organizzazzjonijiet jifhmu l-aspettattivi tal-partijiet interessati, id-dipendenzi, u l-obbligi legali, regolatorji, kuntrattwali, ta’ privatezza u ta’ libertajiet ċivili. L-approċċ tal-Profiles tiegħu jgħin biex jitqabblu r-riżultati attwali mar-riżultati fil-mira, jiġu identifikati lakuni, u jiġu prijoritizzati pjanijiet ta’ azzjoni.
| Pressjoni tar-rekwiżit | X’għandu jipproduċi l-ittestjar tal-kontrolli tal-privatezza | Punt ta’ ankraġġ ta’ Clarysec |
|---|---|---|
| Responsabbiltà taħt il-GDPR | Evidenza li l-prinċipji, il-bażi legali, id-drittijiet, is-sigurtà, iż-żamma u l-obbligi tal-proċessuri huma ssodisfati b’mod dimostrabbli | Politiki PIMS, REG03, REG12, CAPA |
| Tħejjija għal ISO 27701:2025 | Kontrolli tal-PIMS ittestjati, applikabbiltà bbażata fuq ir-rwoli, kwalità tal-evidenza, awditjar intern, rieżami mill-ġestjoni | Politika dwar il-Monitoraġġ, l-Awditjar u t-Titjib tal-PIMS |
| Assigurazzjoni ISO/IEC 27001:2022 | Traċċabbiltà tat-trattament tar-riskju, raġunament tas-SoA, kontroll operattiv, awditjar, rieżami, titjib | Zenith Blueprint, gwida ta’ Zenith Controls għall-konformità bejn oqfsa differenti |
| Governanza NIS2 | Evalwazzjoni tal-effettività, tħejjija għall-inċidenti, kontrolli tal-fornituri, sorveljanza mill-maniġment | Immappjar tal-kontrolli 5.35 u 5.36 tal-Anness A ta’ ISO/IEC 27001:2022 |
| Assigurazzjoni DORA | Ittestjar tal-kontrolli tal-ICT, ittestjar tar-reżiljenza, evidenza ta’ partijiet terzi, reġistri taċ-ċiklu tal-ħajja tal-inċidenti | Mudell ta’ evidenza tal-awditjar immappjat bejn oqfsa differenti |
| NIST CSF 2.0 | Profil attwali, profil fil-mira, analiżi tal-lakuni, titjib ipprijoritizzat | Zenith Blueprint Passi 24, 26, 29 |
Il-Zenith Blueprint isaħħaħ it-traċċabbiltà fil-Pass 24:
Is-SoA tiegħek għandu jkun konsistenti mar-Reġistru tar-Riskji u l-Pjan ta’ Trattament tar-Riskju tiegħek. Iċċekkja darbtejn li kull kontroll li għażilt bħala trattament tar-riskju huwa mmarkat “Applikabbli” fis-SoA. Bil-maqlub, jekk kontroll huwa mmarkat “Applikabbli” fis-SoA, għandu jkollok raġunament għalih – ġeneralment riskju mmappjat, rekwiżit legali/regolatorju, jew ħtieġa tan-negozju.
Mill-fażi ta’ Awditjar, Rieżami u Titjib, Pass 24: Awditjar, Rieżami u Titjib.
Għall-ittestjar tal-kontrolli tal-privatezza, l-istess prinċipju japplika għall-applikabbiltà tal-PIMS. Kull kontroll tal-privatezza applikabbli għandu jkun traċċabbli għal riskju tal-ipproċessar, obbligu legali, rekwiżit tal-klijent jew ħtieġa tan-negozju. Kull test għandu jkun traċċabbli lura għal dak il-kontroll.
Kif awdituri differenti jiġġudikaw l-istess kontroll
Programm b’saħħtu ta’ ttestjar tal-privatezza jantiċipa l-lenti tal-awditur. L-istess kontroll tat-tħassir, kontroll tal-aċċess jew kontroll tal-onboarding tal-proċessur jiġi interpretat b’mod differenti skont il-kuntest tar-rieżami.
| Lenti tal-awditur | Mistoqsija probabbli tal-awditjar | Evidenza li se jistennew |
|---|---|---|
| Awditur ISO 27701:2025 | Il-kontrolli tal-PIMS ibbażati fuq ir-rwoli huma implimentati, evalwati u mtejba? | Applikabbiltà REG03, kampjuni REG12, reġistru tal-ipproċessar, immappjar tal-politiki, riżultati tal-awditjar |
| Awditur ISO/IEC 27001:2022 | Il-kontroll relatat mal-privatezza huwa integrat fit-trattament tar-riskju, fis-SoA, fil-kontroll operattiv, fl-awditjar intern u fir-rieżami mill-ġestjoni? | Reġistru tar-Riskji, raġunament tas-SoA, pjan ta’ trattament, evidenza tal-kontroll, minuti tar-rieżami mill-ġestjoni |
| Rieżaminatur tal-GDPR | Il-kontrollur jista’ juri konformità mal-prinċipji u l-obbligi tal-GDPR? | Bażi legali, avviżi, logs tad-DSR, DPIAs, kuntratti, reġistri tal-ksur tad-data personali, evidenza taż-żamma |
| Valutatur NIST CSF | L-organizzazzjoni taf l-obbligi tagħha, tiddefinixxi riżultati fil-mira, tkejjel lakuni u ttejjeb? | Profil attwali u fil-mira, pjan tal-lakuni, prijoritizzazzjoni tar-riskju, reġistri tal-governanza |
| Klijent jew regolatur orjentat lejn DORA | Il-kontrolli tal-ICT huma ttestjati, l-inċidenti klassifikati, il-fornituri mmonitorjati, u s-servizzi kritiċi reżiljenti? | Programm tal-ittestjar, reġistri tal-inċidenti, reġistru tal-fornituri, kuntratti, pjanijiet ta’ ħruġ |
| Awditur skont l-istil ta’ ISACA jew COBIT 2019 | L-objettivi, is-sjieda, il-metriċi, l-għeluq tal-kwistjonijiet u s-sorveljanza tal-governanza huma effettivi? | RACI, KPIs, logs tal-kwistjonijiet, verifika CAPA, rappurtar lill-maniġment |
Għalhekk REG12 huwa tant siewi. Jibdel il-konformità tal-privatezza f’evidenza ta’ governanza li tista’ tiġi awditjata.
Sejbiet komuni fl-ittestjar tal-kontrolli tal-PIMS
Clarysec ripetutament tara l-istess sejbiet ta’ awditjar tal-privatezza f’organizzazzjonijiet li qed iħejju għal ċertifikazzjoni ISO 27701:2025, assigurazzjoni tal-privatezza għall-klijenti taħt il-GDPR, jew diliġenza dovuta korporattiva.
Ir-reġistru tal-ipproċessar ma jaqbilx mar-realtà tas-sistemi
Ir-reġistru tal-ipproċessar jelenka s-CRM u l-pjattaformi tal-appoġġ, iżda l-inġiniera żiedu esportazzjonijiet tal-analitika, logs tal-osservabbiltà, għodod tal-AI u tabelli tad-data warehouse.
Rispons għat-test: ħu kampjuni ta’ sistemi mill-inventarju tal-assi u l-inventarju cloud, imbagħad irrikonċiljahom mar-reġistru tal-ipproċessar. Uża r-relazzjoni bejn il-kontrolli 5.9 u 5.34 tal-Anness A ta’ ISO/IEC 27001:2022 bħala r-raġunament tal-awditjar.
L-aċċess għall-PII huwa approvat, iżda mhux rivedut perjodikament
Jeżistu approvazzjonijiet inizjali, iżda r-rieżamijiet tal-aċċess privileġġjat ma jinkludux għodod ta’ impersonazzjoni għall-appoġġ, databases tal-produzzjoni, dashboards BI jew kontijiet ta’ emerġenza.
Rispons għat-test: ħu kampjuni minn utenti attivi b’aċċess għall-PII u qabbel ir-rwol, il-ħtieġa tan-negozju, l-approvazzjoni, l-istatus tal-MFA, l-aħħar login u l-evidenza tar-rieżami.
Jeżistu kuntratti tal-proċessuri, iżda l-monitoraġġ huwa dgħajjef
Id-DPA huwa ffirmat, iżda l-kwestjonarju tal-fornitur huwa qadim. Ħadd ma rrieżamina bidliet fis-subproċessuri, il-postijiet tad-data, il-pożizzjoni tas-sigurtà, jew l-obbligi tan-notifika tal-inċidenti.
Rispons għat-test: ħu kampjuni minn proċessuri kritiċi u spezzjona d-diliġenza dovuta, il-klawżoli kuntrattwali, il-bidliet fis-subproċessuri, is-salvagwardji tat-trasferiment u r-reġistri tal-monitoraġġ. Dan jappoġġja l-GDPR, l-aspettattivi ta’ NIS2 dwar il-katina tal-provvista, u l-aspettattivi ta’ DORA dwar ir-riskju ta’ partijiet terzi.
Jeżisti rispons għall-inċidenti, iżda l-klassifikazzjoni tal-privatezza mhijiex konsistenti
L-inċidenti tas-sigurtà jiġu lloggjati, iżda l-impatt fuq il-privatezza mhux dejjem jiġi evalwat. Il-kriterji tal-ksur taħt il-GDPR mhumiex dokumentati b’mod konsistenti. Id-dmirijiet tan-notifika lill-klijenti jiġu mmaniġġjati b’mod informali.
Rispons għat-test: ħu kampjuni minn inċidenti li jinvolvu espożizzjoni tad-data u spezzjona l-klassifikazzjoni, l-eskalazzjoni tal-privatezza, ir-rieżami legali, id-deċiżjonijiet tan-notifika, il-preservazzjoni tal-evidenza, il-kawża ewlenija u t-tagħlimiet meħuda.
Il-CAPA tingħalaq mingħajr verifika tal-effettività
Proċedura tiġi aġġornata u s-sejba tingħalaq. Ħadd ma jittestja jekk il-kampjun li jmiss tjiebx.
Rispons għat-test: ivverifika l-effettività tal-azzjoni korrettiva f’REG12 fi żmien 30 jum mill-għeluq irrappurtat, kif meħtieġ mill-Politika dwar il-Monitoraġġ, l-Awditjar u t-Titjib tal-PIMS.
Sprint ta’ 90 jum għall-ittestjar tal-kontrolli tal-privatezza
Għal organizzazzjonijiet li qed jimxu lejn tħejjija għal ISO 27701:2025, diliġenza dovuta mill-klijenti, jew rieżami tar-responsabbiltà taħt il-GDPR, Clarysec tirrakkomanda sprint iffukat ta’ 90 jum.
| Skeda ta’ żmien | Fokus | Riżultati |
|---|---|---|
| Jiem 1 sa 15 | Kamp ta’ applikazzjoni u mudell tal-evidenza | Rwoli tal-PIMS, reġistru tal-ipproċessar, applikabbiltà REG03, riskji prijoritarji, obbligi legali, dipendenzi fuq fornituri, regoli tal-ismijiet tal-evidenza |
| Jiem 16 sa 35 | Ittestjar tad-disinn | Rieżami tal-politiki, RACI, avviżi ta’ privatezza, bażi legali, skattaturi tad-DPIA, flussi tax-xogħol tad-DSR, klassifikazzjoni tal-inċidenti, skedi taż-żamma, kontrolli tal-fornituri |
| Jiem 36 sa 65 | Ittestjar operattiv | Kampjuni għall-aċċess, it-tħassir, l-inċidenti, il-proċessuri, it-trasferimenti, iż-żamma, it-taħriġ, il-monitoraġġ tekniku, evidenza REG12 |
| Jiem 66 sa 80 | CAPA u trattament tar-riskju | Kawża ewlenija, azzjoni korrettiva, sid, data ta’ skadenza, riskju residwu, metodu ta’ verifika |
| Jiem 81 sa 90 | Tħejjija għar-rieżami mill-ġestjoni | Pakkett tal-prestazzjoni tal-PIMS, objettivi, riskji miftuħa, nuqqasijiet ta’ konformità, azzjonijiet korrettivi, kwistjonijiet tal-fornituri, deċiżjonijiet ta’ titjib |
Sa tmiem is-sprint, l-organizzazzjoni għandha tkun kapaċi twieġeb il-mistoqsijiet li l-awdituri fil-fatt jistaqsu:
- X’PII tipproċessaw?
- F’liema rwol?
- Liema kontrolli japplikaw?
- Għaliex huma applikabbli?
- X’evidenza turi li huma implimentati?
- Liema kampjun juri li joperaw?
- Liema lakuni nstabu?
- Liema azzjonijiet korrettivi ttieħdu?
- Min ivverifika l-effettività?
- X’irrieżaminat u ddeċidiet it-Tmexxija Għolja?
Minn privatezza fuq il-karta għal responsabbiltà li tista’ tintwera
Ċertifikat ISO 27701 huwa siewi, iżda mhuwiex id-destinazzjoni finali. Il-klijenti, ir-regolaturi, il-bordijiet u l-awdituri dejjem aktar jistennew prova li l-kontrolli tal-privatezza huma mfassla, implimentati, immonitorjati, korretti u mmexxija b’governanza.
Il-konformità tal-privatezza tfalli meta tiġi trattata bħala proġett ta’ dokumentazzjoni. Tiflaħ għall-iskrutinju meta ssir sistema ta’ evidenza ttestjata.
Clarysec tgħin lill-organizzazzjonijiet jimxu minn konformità ddikjarata għal responsabbiltà dimostrabbli billi torbot politiki PIMS, applikabbiltà REG03, kampjuni ta’ evidenza REG12, verifika CAPA, rieżami mill-ġestjoni u immappjar bejn oqfsa differenti permezz ta’ Zenith Blueprint: pjan direzzjonali ta’ 30 pass għall-awdituri u Zenith Controls: il-gwida għall-konformità bejn oqfsa differenti.
Jekk l-organizzazzjoni tiegħek qed tħejji għal ċertifikazzjoni ISO 27701:2025, rieżami tar-responsabbiltà taħt il-GDPR, assigurazzjoni tal-privatezza għall-klijenti, evidenza ta’ governanza NIS2, jew diliġenza dovuta tal-fornituri mmexxija minn DORA, ibda b’workshop iffukat għall-ittestjar tal-kontrolli tal-privatezza.
Clarysec tista’ tgħinek timmappja l-applikabbiltà REG03, tibni kampjuni ta’ awditjar REG12, tittestja kontrolli prijoritarji tal-PIMS, tallinja s-sejbiet mal-CAPA, u tħejji outputs tar-rieżami mill-ġestjoni li jifilħu għall-iskrutinju.
L-awditu tal-privatezza li jmiss tiegħek m’għandux ikun ġirja għall-ġbir ta’ screenshots. Għandu jkun dimostrazzjoni kunfidenti li l-privatezza qed topera, hija sostnuta b’evidenza, tiġi riveduta u titjieb kontinwament.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council