Testarea controalelor de confidențialitate ISO 27701 pentru responsabilitatea GDPR

Auditul de vineri privind confidențialitatea care a expus problema reală
Este vineri, ora 15:40, când Maria, CISO al unei companii SaaS aflate în creștere rapidă, intră într-un apel video cu responsabilul principal de achiziții al unui potențial client corporate important.
Echipa ei a lucrat luni întregi la sistemul de management al informațiilor privind confidențialitatea. Politicile sunt aprobate. Registrul activităților de prelucrare există. Compania are un plan de pregătire pentru ISO 27701. DPO-ul are fluxuri pentru cererile persoanelor vizate. Echipa juridică a actualizat acordurile de prelucrare a datelor. Echipa de inginerie spune că accesul la mediul de producție este restricționat.
Responsabilul de achiziții începe politicos, dar direct.
„Mulțumim pentru documentație, Maria. Certificatul și pachetul de politici sunt un punct bun de pornire. Echipa noastră de due diligence va veni la sediu luna viitoare. Va dori să vadă procesul vostru pentru cererile persoanelor vizate în acțiune, să verifice controalele de minimizare a datelor pe conturile noastre de test, să revizuiască jurnalele de acces pentru mediul de producție și să inspecteze dovezi că sunt testate controalele de confidențialitate, nu doar documentate.”
În câteva minute, Maria primește încă două mesaje.
DPO-ul întreabă dacă noua funcționalitate de analiză este acoperită de registrul activităților de prelucrare, evaluarea temeiului juridic, calendarul de retenție și obligațiile transmise în lanț către persoanele împuternicite.
Managerul de conformitate întreabă dacă revizuirea pregătirii pentru ISO 27701:2025 poate demonstra că controalele PIMS funcționează eficace.
Acesta este momentul în care multe programe de confidențialitate se clatină. Organizația are documente privind confidențialitatea, dar nu are dovezi privind confidențialitatea. Are fluxuri de lucru, dar nu dovezi bazate pe eșantioane. Are contracte, dar înregistrări slabe de monitorizare. Are încredere internă, dar nu are o pistă de audit defensabilă.
Această lacună face diferența dintre conformitatea pe hârtie și responsabilitatea demonstrabilă.
GDPR face problema explicită. Operatorul este responsabil pentru respectarea principiilor de protecție a datelor și trebuie să poată demonstra această respectare. Datele cu caracter personal trebuie prelucrate în mod legal, echitabil și transparent, pentru scopuri determinate, limitate la ceea ce este necesar, exacte, păstrate numai atât timp cât este necesar și securizate prin măsuri tehnice și organizatorice adecvate.
ISO 27701:2025 oferă organizațiilor structura de management al confidențialității. ISO/IEC 27001:2022 oferă coloana vertebrală a SMSI pentru domeniul de aplicare, tratarea riscurilor, controlul operațional, auditul intern, analiza efectuată de management și îmbunătățirea continuă. GDPR stabilește sarcina juridică a responsabilității. NIS2, DORA, NIST CSF 2.0, asigurarea de tip COBIT 2019 și revizuirile de securitate solicitate de clienți cresc presiunea de a demonstra că funcționează controalele.
Viziunea Clarysec este simplă: testarea controalelor de confidențialitate nu trebuie să fie o cursă anuală după capturi de ecran. Trebuie să fie un sistem de dovezi PIMS care conectează activitățile de prelucrare, controalele aplicabile, riscurile, eșantioanele, verificările tehnice, constatările, CAPA și analiza efectuată de management într-un model trasabil.
Aici setul de politici PIMS Clarysec, Zenith Blueprint: An Auditor’s 30-Step Roadmap și Zenith Controls: The Cross-Compliance Guide devin instrumente operaționale, nu materiale de bibliotecă.
Testarea controalelor de confidențialitate este puntea dintre politică și responsabilitate
Un test al controalelor de confidențialitate răspunde la trei întrebări practice:
- Este controlul proiectat astfel încât să îndeplinească obligația privind confidențialitatea sau să reducă riscul privind confidențialitatea?
- Este controlul implementat în procesul, sistemul, echipa, furnizorul sau fluxul de produs relevant?
- Funcționează controlul eficace în timp, cu dovezi care ar satisface un auditor, un client, o autoritate de reglementare sau un comitet al organului de conducere?
O companie SaaS poate afirma că acceptă cereri de ștergere. Un test de proiectare verifică dacă sunt definite politica de ștergere, procesul de verificare a identității, modelul de responsabilități, coordonarea persoanei împuternicite, excepțiile de retenție și gestionarea copiilor de siguranță. Un test al eficacității funcționării eșantionează cereri de ștergere finalizate, compară marcajele temporale, verifică aprobările, revizuiește jurnalele de sistem, verifică notificările către persoanele subîmputernicite din aval și confirmă dovezile de închidere.
PIMS Monitoring, Audit and Improvement Policy transformă acest lucru într-o cerință auditabilă:
[Ambele] Revizorul de audit intern / conformitate TREBUIE să testeze starea implementării controalelor PIMS aplicabile față de REG03 în cadrul fiecărui audit PIMS.
Din secțiunea „Programul de audit intern PIMS”, clauza de politică 4.2.5.
Această formulare, „față de REG03”, este esențială. Testarea nu este un interviu nestructurat. REG03 acționează ca referință pentru aplicabilitatea și implementarea controalelor PIMS. Arată ce se aplică, de ce se aplică și ce trebuie susținut prin dovezi.
Aceeași politică adaugă:
[Ambele] Revizorul de audit intern / conformitate TREBUIE să înregistreze în REG12 eșantionul selectat de dovezi privind prelucrarea PII în cadrul fiecărui audit PIMS.
Din secțiunea „Programul de audit intern PIMS”, clauza de politică 4.2.6.
Acesta este nucleul testării controalelor de confidențialitate ISO 27701:2025. Un audit PIMS fără eșantion este o conversație. Un audit PIMS cu dovezi selectate, mapare a controalelor, excepții, acțiuni corective și trasabilitate către analiza efectuată de management reprezintă responsabilitate.
Începeți cu domeniul de aplicare, rolul și realitatea prelucrării
Cele mai multe audituri slabe privind confidențialitatea eșuează înainte de începerea testării. Acestea selectează controale generice fără a confirma ce date cu caracter personal sunt prelucrate, unde se află, ce sisteme și furnizori le ating și dacă organizația acționează ca operator, persoană împuternicită, operator asociat sau persoană subîmputernicită.
Obligațiile GDPR depind semnificativ de rol. Un operator care decide de ce și cum sunt prelucrate datele cu caracter personal are obligații diferite față de o persoană împuternicită care acționează pe baza instrucțiunilor documentate ale clientului. Sensibilitatea datelor contează, de asemenea. Datele angajaților, datele conturilor clienților, datele de telemetrie, datele financiare, verificarea biometrică, datele privind sănătatea, verificările în liste de sancțiuni și datele privind infracțiunile nu au același nivel de risc.
Un program solid de testare ISO 27701:2025 începe cu disciplină în definirea domeniului de aplicare.
| Întrebare de definire a domeniului de aplicare | Dovezi de inspectat | De ce contează |
|---|---|---|
| Ce activități de prelucrare PII intră în domeniul de aplicare? | Registrul activităților de prelucrare, maparea fluxurilor de date, inventarul sistemelor, Registrul furnizorilor | Testarea trebuie să eșantioneze prelucrări reale, nu declarații abstracte din politici |
| Ce rol PIMS se aplică? | Mapare pentru operator, persoană împuternicită, operator asociat, persoană subîmputernicită | Obligațiile GDPR și controalele PIMS diferă în funcție de rol |
| Ce obligații juridice, contractuale și de reglementare se aplică? | Evaluare GDPR, acorduri de prelucrare a datelor cu clienții, reguli sectoriale, evaluări ale transferurilor | Proiectarea controlului trebuie să reflecte obligațiile efective |
| Ce sisteme și furnizori prelucrează PII? | Inventarul activelor, inventarul cloud, lista persoanelor împuternicite, matricea de acces | Testele de funcționare necesită dovezi tehnice și dovezi de la terți |
| Ce schimbări afectează prelucrarea PII? | Înregistrări ale modificărilor de produs, declanșatori DPIA, note de lansare, revizuiri de arhitectură | Protecția datelor începând cu momentul proiectării trebuie testată înainte de lansare, nu după reclamații |
ISO/IEC 27001:2022 susține această abordare integrată prin cerințele sale privind contextul organizațional, cerințele părților interesate, obligațiile legale și contractuale, domeniul de aplicare al sistemului de management, planificarea operațională și tratarea riscurilor. Pentru confidențialitate, aceasta înseamnă că prelucrarea PII nu poate rămâne într-un tabel izolat. Trebuie să facă parte din modelul operațional SMSI și PIMS.
Privacy Information Management System Policy conectează testarea confidențialității direct la guvernanță:
[Toți] Conducerea de vârf TREBUIE să revizuiască anual în REG12 performanța PIMS, obiectivele privind confidențialitatea, riscurile deschise, neconformitățile, acțiunile corective și deciziile de îmbunătățire.
Din secțiunea „Guvernanță PIMS”, clauza de politică 6.1.1.
Dacă testarea identifică o lacună privind confidențialitatea, aceasta nu este doar o notă de audit. Este o intrare a sistemului de management care trebuie să influențeze tratarea riscurilor, prioritățile, resursele și deciziile conducerii.
Eficacitatea proiectării versus eficacitatea funcționării
Când un client întreabă dacă sunt testate controalele de confidențialitate, de obicei se referă la eficacitatea funcționării. Auditorii vor examina însă și eficacitatea proiectării.
Un control eficace prin proiectare este capabil să îndeplinească cerința dacă este executat conform intenției. Un control eficace în funcționare este executat efectiv în mod consecvent și este susținut prin dovezi.
| Zonă de control | Testarea eficacității proiectării | Testarea eficacității funcționării |
|---|---|---|
| Captarea consimțământului | Verificarea politicii, a textului consimțământului, a regulilor privind temeiul juridic, a cerințelor UI și a fluxului de retragere | Eșantionarea înregistrărilor privind consimțământul și retragerile, compararea marcajelor temporale, verificarea excluderii după retragere |
| Limitarea scopului | Revizuirea RoPA, a notei de informare privind confidențialitatea, a cerințelor de produs, a separării consimțământului și a regulilor de utilizare a datelor | Eșantionarea înregistrărilor utilizatorilor, jurnalelor, exporturilor și fluxurilor de analiză pentru a confirma că PII nu sunt reutilizate în scopuri neautorizate |
| Acces la PII | Revizuirea politicii de acces, a modelului de roluri, a procedurii pentru angajări, transferuri și plecări și a fluxului de aprobare | Eșantionarea utilizatorilor cu acces la PII, verificarea aprobării, a necesității de business, a MFA și a celei mai recente revizuiri a accesului |
| Onboardingul persoanei împuternicite | Revizuirea criteriilor de due diligence, a clauzelor DPA, a regulilor privind persoanele subîmputernicite și a garanțiilor pentru transfer | Eșantionarea unei persoane împuternicite, inspectarea evaluării, contractului, revizuirii de securitate și dovezilor de monitorizare a persoanelor subîmputernicite |
| Retenție și ștergere | Revizuirea calendarului de retenție, a regulilor de excepție, a procedurii de ștergere și a capabilității sistemului | Eșantionarea înregistrărilor șterse sau a cererilor de ștergere, inspectarea jurnalelor, tichetelor și confirmărilor persoanei împuternicite |
| Gestionarea încălcărilor | Revizuirea clasificării incidentelor, a escaladării privind confidențialitatea și a criteriilor de notificare a autorității | Eșantionarea înregistrărilor incidentelor, verificarea triajului, raționamentului decizional, notificărilor și lecțiilor învățate |
Politica de audit și monitorizare a conformității afirmă direct scopul:
Validarea eficacității controalelor de securitate și confidențialitate
Din secțiunea „Scop”, clauza de politică 1.1.1.
Versiunea pentru IMM păstrează același principiu de asigurare în limbaj operațional. Politica de audit și monitorizare a conformității - IMM precizează:
Această politică stabilește abordarea organizației privind desfășurarea auditurilor interne, a revizuirilor controalelor de securitate și a monitorizării conformității. Aceasta asigură că toate controalele, politicile, sistemele și furnizorii de servicii sunt supuși unei revizuiri periodice și structurate.
Din secțiunea „Scop”, clauza de politică 1.1.
Pregătirea pentru ISO 27701 nu depinde de dimensiunea companiei. O persoană împuternicită SaaS cu 30 de angajați poate să nu aibă nevoie de aceleași instrumente de audit ca o bancă globală, dar trebuie totuși să demonstreze că accesul, ștergerea, escaladarea incidentelor, guvernanța persoanelor subîmputernicite și păstrarea dovezilor sunt controlate.
Lanțul de dovezi Clarysec: REG03, REG12, CAPA și analiza efectuată de management
Clarysec structurează testarea controalelor de confidențialitate în jurul unui lanț simplu de dovezi.
REG03 definește controalele PIMS aplicabile și starea implementării. REG12 înregistrează eșantioane, dovezi, constatări, lacune de trasabilitate, verificarea acțiunilor corective și intrările pentru analiza efectuată de management. Înregistrările CAPA transformă constatările în îmbunătățiri bazate pe analiza cauzei principale. Conducerea de vârf revizuiește performanța PIMS, riscurile, neconformitățile, acțiunile corective și deciziile de îmbunătățire.
PIMS Documented Information and Evidence Management Policy impune captarea problemelor privind calitatea dovezilor:
[Toți] Revizorul de audit intern / conformitate TREBUIE să înregistreze în REG12 lacunele privind caracterul complet, exactitatea sau trasabilitatea dovezilor în timpul fiecărui audit sau al fiecărei revizuiri de conformitate programate.
Din secțiunea „Crearea, denumirea și calitatea dovezilor”, clauza de politică 4.3.4.
Acest lucru contează deoarece nu fiecare constatare reprezintă un eșec total al controlului. Uneori controlul a funcționat, dar dovezile sunt incomplete. Uneori un tichet de ștergere este închis, dar niciun jurnal de sistem nu dovedește ștergerea. Uneori registrul activităților de prelucrare menționează CRM-ul, dar omite exportul către depozitul de date. Uneori există un contract cu furnizorul, dar monitorizarea continuă lipsește.
Politica de audit și monitorizare a conformității impune, de asemenea, audituri interne structurate:
Auditurile interne trebuie să urmeze o procedură documentată care include:
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.1.1.
Iar atunci când apar constatări:
Toate constatările trebuie să conducă la o CAPA documentată care include:
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.2.1.
Politica de management al riscurilor - IMM consolidează disciplina închiderii:
Finalizarea și eficacitatea acțiunilor de tratament trebuie verificate.
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.3.2.
PIMS Monitoring, Audit and Improvement Policy închide bucla:
[Toți] Revizorul de audit intern / conformitate TREBUIE să verifice în REG12 eficacitatea acțiunii corective în termen de 30 de zile de la raportarea închiderii acțiunii corective.
Din secțiunea „Neconformitate și acțiune corectivă”, clauza de politică 4.4.7.
Aceasta este diferența dintre remedierea unui tichet și îmbunătățirea unui sistem de management.
Test practic 1: cereri de ștergere și responsabilitate GDPR
Cererile de ștergere sunt una dintre cele mai clare modalități de a testa dacă responsabilitatea privind confidențialitatea funcționează în practică.
Presupuneți că o companie SaaS mid-market acționează atât ca operator, cât și ca persoană împuternicită. Aceasta controlează date ale angajaților, de marketing și de facturare. Prelucrează date ale utilizatorilor finali ai clienților în numele clienților corporate. Organizația dorește să testeze dacă sunt pregătite controalele de ștergere pentru auditul ISO 27701:2025 și pentru asigurarea privind GDPR solicitată de clienți.
Pasul 1: Selectați activitatea de prelucrare din REG03
Alegeți o activitate de prelucrare cu risc real privind confidențialitatea, cum ar fi „date de profil ale utilizatorilor finali ai clienților prelucrate în platforma SaaS”. Confirmați dacă organizația acționează ca operator, persoană împuternicită sau ambele. Identificați controalele asociate pentru gestionarea drepturilor, validarea instrucțiunilor persoanei împuternicite, retenție, ștergere, controlul accesului, jurnalizare, gestionarea copiilor de siguranță și coordonarea furnizorilor.
Pasul 2: Definiți un obiectiv de testare precis
Un obiectiv de testare util este specific și orientat spre dovezi:
„Verificați că cererile de ștergere pentru datele de profil ale utilizatorilor finali ai clienților sunt primite, autentificate sau validate față de instrucțiuni, executate în fluxul definit, jurnalizate, finalizate tehnic în sistemele de producție, transmise către persoanele subîmputernicite relevante acolo unde este necesar și închise cu dovezi.”
Pasul 3: Extrageți un eșantion reprezentativ
Selectați cinci cereri de ștergere din ultimul trimestru. Includeți o cerere de rutină, o cerere care implică un administrator al clientului, o cerere bazată pe instrucțiunea persoanei împuternicite, o cerere cu excepție de retenție și o cerere care atinge gestionarea copiilor de siguranță.
Zenith Blueprint, în faza Audit, Review & Improvement, Pasul 26: Audit Execution, subliniază eșantionarea și colectarea dovezilor:
✓ Intervievați personalul relevant: cereți persoanelor responsabile de procese să explice cum îndeplinesc cerințele. De exemplu, întrebați proprietarul de risc despre ultima evaluare a riscurilor sau întrebați HR cum sunt instruiți noii angajați în securitate (pentru a acoperi controlul 6.3 privind conștientizarea).
✓ Revizuiți documentația: verificați că documentele și înregistrările există și sunt actuale.
✓ Observați practicile: dacă este posibil, realizați o observare directă.
✓ Eșantionați și efectuați verificări punctuale: nu puteți verifica totul, așa că utilizați eșantionarea.
Din faza Audit, Review & Improvement, Pasul 26: Audit Execution (Conducting an Internal Audit).
Pasul 4: Inspectați dovezile pentru fiecare eșantion
Pentru fiecare cerere eșantionată, colectați tichetul de primire, clasificarea rolului, verificarea identității sau autorizarea clientului, jurnalul de ștergere din sistem, decizia privind excepția de retenție, explicația privind gestionarea copiilor de siguranță, notificarea persoanei subîmputernicite, comunicarea de închidere, marcajele temporale și aprobarea revizorului.
Pasul 5: Înregistrați rezultatele în REG12
Înregistrați în REG12 eșantionul, sursa dovezilor, rezultatul controlului, excepția și lacuna de trasabilitate. Dacă ștergerea a avut loc, dar nu există niciun jurnal de producție, controlul poate să fi funcționat, însă dovezile sunt slabe. Dacă cererea a fost întârziată deoarece responsabilitatea furnizorului nu era clară, constatarea poate implica guvernanța terților și obligațiile contractuale transmise în lanț.
Pasul 6: Creați CAPA și verificați eficacitatea
Dacă analiza cauzei principale indică o responsabilitate neclară între suport, juridic și inginerie, CAPA poate include un flux revizuit, o matrice RACI actualizată, câmpuri obligatorii pentru dovezi și verificări lunare pe eșantioane de ștergere.
Zenith Blueprint, în faza Audit, Review & Improvement, Pasul 29, explică așteptarea privind închiderea:
Planificați modul în care veți verifica eficacitatea fiecărei acțiuni corective. Aceasta poate însemna programarea unui audit sau a unei verificări ulterioare. De exemplu, dacă acțiunea corectivă a fost instruirea personalului IT privind controlul accesului, puteți planifica revizuirea conturilor noi peste o lună pentru a vedea dacă toate au aprobările corespunzătoare (verificare).
Din faza Audit, Review & Improvement, Pasul 29: Continual Improvement (Corrective Actions & Lessons Learned).
Pentru ștergere, verificarea poate însemna eșantionarea următoarelor cinci cereri de ștergere după intrarea în producție a fluxului revizuit. Doar atunci CAPA trebuie închisă.
Test practic 2: limitarea scopului și minimizarea datelor
Un al doilea test cu valoare ridicată privește limitarea scopului. Acesta este deosebit de util înainte de due diligence din partea clienților, lansări de analiză, îmbogățire cu IA, extinderea depozitului de date sau schimbări de automatizare a marketingului.
Platforma SaaS a Mariei colectează date ale utilizatorilor clienților pentru furnizarea serviciului. Obiectivul controlului este să asigure că PII sunt utilizate numai pentru scopuri determinate și legitime și nu sunt reutilizate pentru analiza de marketing decât dacă utilizatorul a acordat consimțământ explicit și separat acolo unde este necesar.
| Tip de dovezi | Artefacte specifice |
|---|---|
| Documentație | Politica de protecție a datelor și confidențialitate, RoPA, DPA cu clientul, note de informare privind confidențialitatea, înregistrări privind gestionarea consimțământului |
| Configurație tehnică | Reguli de gestionare a datelor în aplicație, scheme de baze de date, configurații API, setări ale sarcinilor ETL |
| Jurnale și înregistrări | Jurnale de acces ale aplicației, jurnale de interogări ale bazei de date, istoric al modificărilor consimțământului, înregistrări ale exporturilor de campanie |
| Dovezi privind personalul | Interviuri cu proprietarul de produs, dezvoltatorul principal, administratorul bazei de date, responsabilul pentru confidențialitate |
Un test solid al funcționării nu se oprește la politică. Acesta eșantionează utilizatori care au optat pentru marketing și utilizatori care nu au optat. Urmărește dacă starea consimțământului este reflectată corect în bazele de date principale ale aplicației, tabelele depozitului de date, instrumentele de campanie, tablourile de bord și exporturi. Dacă utilizatorii care nu și-au dat consimțământul apar într-o audiență de marketing, organizația are o neconformitate concretă.
Versiunea IMM a Politicii de audit și monitorizare a conformității oferă mentalitatea corectă printr-un exemplu de testare tehnică:
Verificarea controlului tehnic (de exemplu, starea backup-ului, configurația controlului accesului, înregistrări ale patch-urilor)
Din secțiunea „Cerințe de implementare a politicii”, clauza de politică 6.1.1.2.
Pentru confidențialitate, verificarea controlului tehnic include verificări ale sincronizării consimțământului, exporturi ale controlului accesului, jurnale de ștergere, setări de criptare, teste de mascare a datelor, alerte DLP, constrângeri privind copiile de siguranță, evenimente de monitorizare și dovezi ale furnizorilor.
Maparea testării confidențialității la ISO/IEC 27001:2022 și la conformitatea între cadre Clarysec
Controalele de confidențialitate nu funcționează izolat. Protecția PII depinde de inventarul activelor, clasificare, controlul accesului, guvernanța cloud, mascarea datelor, transferul informațiilor, jurnalizare, monitorizare, ștergere, protecția înregistrărilor, supravegherea furnizorilor și revizuire independentă.
În Zenith Controls: The Cross-Compliance Guide, controlul 5.34 din Anexa A ISO/IEC 27001:2022, Privacy and protection of PII, este mapat ca un control preventiv aliniat la confidențialitate, integritate și disponibilitate, cu conceptele de securitate cibernetică Identify și Protect și cu capabilități operaționale în protecția informațiilor, juridic și conformitate.
Relația sa cu inventarul este directă:
Un inventar al activelor informaționale (5.9) trebuie să includă deținerile de date PII (baze de date ale clienților, fișiere HR). Acesta susține 5.34 prin asigurarea faptului că organizația știe ce PII are și unde se află, acesta fiind primul pas pentru protejarea lor.
Din Zenith Controls, Privacy and Protection of PII, controlul 5.34.
Pentru testarea de audit, aceasta înseamnă că auditorul de confidențialitate nu trebuie să înceapă doar cu nota de informare privind confidențialitatea. Trebuie să înceapă cu inventarul PII, registrul activităților de prelucrare, fluxurile de date, inventarul activelor și inventarul furnizorilor. Dacă inventarul este incomplet, controalele ulterioare privind confidențialitatea nu pot fi pe deplin fiabile.
Ghidul mapează, de asemenea, controlul 5.34 din Anexa A ISO/IEC 27001:2022 la controale conexe, precum 5.9 Inventarul informațiilor și al altor active asociate, 5.12 Clasificarea informațiilor, 5.14 Transferul informațiilor, 5.15 Controlul accesului, 5.16 Managementul identității, 5.23 Securitatea informațiilor pentru utilizarea serviciilor cloud, 5.33 Protecția înregistrărilor, 8.11 Mascarea datelor, 8.12 Prevenirea scurgerilor de date și 8.10 Ștergerea informațiilor.
Două controale suplimentare din Anexa A ISO/IEC 27001:2022 sunt deosebit de relevante:
| Control ISO/IEC 27001:2022 | Relevanță pentru testarea confidențialității | Exemple de dovezi |
|---|---|---|
| 5.34 Privacy and protection of PII | Confirmă că cerințele privind confidențialitatea și protecția PII sunt implementate pe baza legilor, reglementărilor și contractelor | Registrul activităților de prelucrare, DPIA, înregistrări privind temeiul juridic, dovezi DSR, jurnale de retenție |
| 5.35 Revizuirea independentă a securității informației | Oferă validare obiectivă că aranjamentele de securitate, inclusiv controalele relevante pentru confidențialitate, sunt revizuite independent | Rapoarte de audit intern, rezultate ale revizuirilor externe, eșantioane REG12, înregistrări CAPA |
| 5.36 Conformitatea cu politicile, regulile și standardele pentru securitatea informației | Confirmă conformitatea continuă cu regulile și standardele interne | Revizuiri ale conformității cu politicile, verificări de acces, rezultate ale monitorizării, registre de excepții |
Politica de protecție a datelor și confidențialitate impune:
Un audit intern al conformității privind confidențialitatea trebuie efectuat anual sau la schimbări organizaționale ori de reglementare majore. Domeniul auditului trebuie să includă:
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.4.
Aceasta include în continuare:
Eficacitatea măsurilor tehnice și organizatorice
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.4.1.
Politica de protecție a datelor și confidențialitate - IMM păstrează aceeași așteptare într-o formă practică:
Trebuie efectuate și jurnalizate audituri periodice privind confidențialitatea sau verificări ale controalelor
Din secțiunea „Cerințe de guvernanță”, clauza de politică 5.3.3.
De ce responsabilitatea GDPR este acum o problemă de guvernanță cibernetică
Dovezile privind confidențialitatea nu mai sunt solicitate doar de auditorii de confidențialitate. Aceleași dovezi pot fi solicitate de un auditor ISO 27701:2025, un auditor ISO/IEC 27001:2022, un revizor GDPR, o autoritate competentă NIS2, un client reglementat de DORA, un evaluator NIST CSF sau un comitet de risc al organului de conducere.
NIS2 Article 21 impune entităților esențiale și importante să implementeze măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru managementul riscurilor de securitate cibernetică. Article 21(2)(f) include în mod explicit politici și proceduri pentru evaluarea eficacității măsurilor de management al riscurilor de securitate cibernetică. NIS2 face, de asemenea, organele de conducere responsabile pentru aprobarea și supravegherea măsurilor de management al riscurilor de securitate cibernetică.
DORA se aplică de la 17 ianuarie 2025 entităților financiare și stabilește un cadru detaliat pentru reziliența operațională digitală. Impune managementul riscurilor TIC, supravegherea de către organul de conducere, audit intern, remedierea constatărilor critice, clasificarea și raportarea incidentelor, testarea rezilienței, managementul riscurilor TIC asociate terților, controale contractuale, registre ale acordurilor privind serviciile TIC și strategii de ieșire. Furnizorii TIC care deservesc entități financiare trebuie să se aștepte la solicitări de dovezi determinate de DORA prin programe de asigurare solicitate de clienți.
NIST CSF 2.0 oferă un strat util de traducere. Funcția sa GOVERN așteaptă ca organizațiile să înțeleagă așteptările părților interesate, dependențele și obligațiile juridice, de reglementare, contractuale, de confidențialitate și privind libertățile civile. Abordarea sa prin profiluri ajută la compararea rezultatelor curente cu rezultatele țintă, identificarea lacunelor și prioritizarea planurilor de acțiune.
| Presiunea cerinței | Ce trebuie să producă testarea controalelor de confidențialitate | Ancoră Clarysec |
|---|---|---|
| Responsabilitate GDPR | Dovezi că principiile, temeiul juridic, drepturile, securitatea, retenția și obligațiile persoanei împuternicite sunt îndeplinite demonstrabil | Politici PIMS, REG03, REG12, CAPA |
| Pregătire pentru ISO 27701:2025 | Controale PIMS testate, aplicabilitate bazată pe roluri, calitatea dovezilor, audit intern, analiza efectuată de management | PIMS Monitoring, Audit and Improvement Policy |
| Asigurare ISO/IEC 27001:2022 | Trasabilitatea tratării riscurilor, justificarea SoA, control operațional, audit, analiză, îmbunătățire | Zenith Blueprint, Zenith Controls cross-compliance guide |
| Guvernanță NIS2 | Evaluarea eficacității, pregătirea pentru incidente, controale ale furnizorilor, supraveghere managerială | Maparea controalelor 5.35 și 5.36 din Anexa A ISO/IEC 27001:2022 |
| Asigurare DORA | Testarea controalelor TIC, testarea rezilienței, dovezi de la terți, înregistrări ale ciclului de viață al incidentelor | Model de dovezi de audit mapat între cadre |
| NIST CSF 2.0 | Profil curent, Profil țintă, analiza lacunelor, îmbunătățire prioritizată | Zenith Blueprint Pașii 24, 26, 29 |
Zenith Blueprint consolidează trasabilitatea în Pasul 24:
SoA trebuie să fie consecventă cu Registrul de riscuri și Planul de tratament al riscurilor. Verificați de două ori că fiecare control ales ca tratament al riscului este marcat „Aplicabil” în SoA. Invers, dacă un control este marcat „Aplicabil” în SoA, trebuie să aveți o justificare pentru el – de regulă, un risc mapat, o cerință legală/de reglementare sau o nevoie de business.
Din faza Audit, Review & Improvement, Pasul 24: Audit, Review & Improvement.
Pentru testarea controalelor de confidențialitate, același principiu se aplică aplicabilității PIMS. Fiecare control de confidențialitate aplicabil trebuie să fie trasabil la un risc de prelucrare, o obligație legală, o cerință a clientului sau o nevoie de business. Fiecare test trebuie să fie trasabil la acel control.
Cum vor evalua auditori diferiți același control
Un program solid de testare a confidențialității anticipează perspectiva auditorului. Același control de ștergere, control al accesului sau control de onboarding al persoanei împuternicite va fi interpretat diferit în funcție de contextul revizuirii.
| Perspectiva auditorului | Întrebare probabilă de audit | Dovezi așteptate |
|---|---|---|
| Auditor ISO 27701:2025 | Sunt controalele PIMS bazate pe roluri implementate, evaluate și îmbunătățite? | Aplicabilitate REG03, eșantioane REG12, registrul activităților de prelucrare, mapare la politici, rezultate de audit |
| Auditor ISO/IEC 27001:2022 | Este controlul legat de confidențialitate integrat în tratarea riscurilor, SoA, control operațional, audit intern și analiza efectuată de management? | Registrul de riscuri, justificare SoA, plan de tratament, dovezi ale controlului, procese-verbale ale analizei efectuate de management |
| Revizor GDPR | Poate operatorul demonstra conformitatea cu principiile și obligațiile GDPR? | Temei juridic, note de informare, jurnale DSR, DPIA, contracte, înregistrări privind încălcările securității datelor, dovezi de retenție |
| Evaluator NIST CSF | Cunoaște organizația obligațiile, definește rezultate țintă, măsoară lacune și se îmbunătățește? | Profil curent și Profil țintă, plan privind lacunele, prioritizarea riscurilor, înregistrări de guvernanță |
| Client sau autoritate orientată DORA | Sunt testate controalele TIC, sunt clasificate incidentele, sunt monitorizați furnizorii și sunt reziliente serviciile critice? | Program de testare, înregistrări ale incidentelor, Registrul furnizorilor, contracte, planuri de ieșire |
| Auditor ISACA sau de tip COBIT 2019 | Sunt eficace obiectivele, responsabilitățile, metricile, închiderea problemelor și supravegherea guvernanței? | RACI, KPI, jurnale de probleme, verificarea CAPA, raportare către management |
Acesta este motivul pentru care REG12 este atât de valoros. Transformă conformitatea privind confidențialitatea în dovezi de guvernanță care pot fi auditate.
Constatări frecvente în testarea controalelor PIMS
Clarysec observă recurent aceleași constatări de audit privind confidențialitatea la organizațiile care se pregătesc pentru certificarea ISO 27701:2025, asigurarea privind GDPR solicitată de clienți sau due diligence enterprise.
Registrul activităților de prelucrare nu corespunde realității sistemelor
Registrul activităților de prelucrare listează CRM-ul și platformele de suport, dar inginerii au adăugat exporturi de analiză, jurnale de observabilitate, instrumente IA și tabele în depozitul de date.
Răspuns de testare: eșantionați sisteme din inventarul activelor și inventarul cloud, apoi reconciliați-le cu registrul activităților de prelucrare. Utilizați relația dintre controalele 5.9 și 5.34 din Anexa A ISO/IEC 27001:2022 ca justificare de audit.
Accesul la PII este aprobat, dar nu este revizuit periodic
Aprobările inițiale există, dar revizuirea drepturilor de acces privilegiat nu include instrumentele de impersonare pentru suport, bazele de date de producție, tablourile de bord BI sau conturile de urgență.
Răspuns de testare: eșantionați utilizatori activi cu acces la PII și comparați rolul, necesitatea de business, aprobarea, starea MFA, ultima autentificare și dovezile revizuirii.
Contractele cu persoanele împuternicite există, dar monitorizarea este slabă
DPA este semnat, dar chestionarul furnizorului este vechi. Nimeni nu a revizuit schimbările privind persoanele subîmputernicite, locațiile datelor, profilul de risc al securității sau obligațiile de notificare a incidentelor.
Răspuns de testare: eșantionați persoane împuternicite critice și inspectați due diligence, clauzele contractuale, schimbările privind persoanele subîmputernicite, garanțiile pentru transfer și înregistrările de monitorizare. Aceasta susține GDPR, așteptările NIS2 privind lanțul de aprovizionare și așteptările DORA privind riscul asociat terților.
Răspunsul la incidente există, dar clasificarea privind confidențialitatea este inconsecventă
Incidentele de securitate sunt jurnalizate, dar impactul asupra confidențialității nu este întotdeauna evaluat. Criteriile GDPR pentru încălcări nu sunt documentate consecvent. Obligațiile de notificare a clienților sunt gestionate informal.
Răspuns de testare: eșantionați incidente care implică expunere de date și inspectați clasificarea, escaladarea privind confidențialitatea, revizuirea juridică, deciziile de notificare, păstrarea dovezilor, cauza principală și lecțiile învățate.
CAPA este închisă fără verificarea eficacității
O procedură este actualizată și constatarea este închisă. Nimeni nu testează dacă următorul eșantion s-a îmbunătățit.
Răspuns de testare: verificați eficacitatea acțiunii corective în REG12 în termen de 30 de zile de la raportarea închiderii, conform cerinței din PIMS Monitoring, Audit and Improvement Policy.
Un sprint de 90 de zile pentru testarea controalelor de confidențialitate
Pentru organizațiile care avansează către pregătirea pentru ISO 27701:2025, due diligence din partea clienților sau revizuirea responsabilității GDPR, Clarysec recomandă un sprint concentrat de 90 de zile.
| Calendar | Focus | Rezultate |
|---|---|---|
| Zilele 1-15 | Domeniu de aplicare și model de dovezi | Roluri PIMS, registrul activităților de prelucrare, aplicabilitate REG03, riscuri prioritare, obligații legale, dependențe față de furnizori, reguli de denumire a dovezilor |
| Zilele 16-35 | Testarea proiectării | Revizuirea politicilor, RACI, note de informare privind confidențialitatea, temei juridic, declanșatori DPIA, fluxuri DSR, clasificarea incidentelor, calendare de retenție, controale ale furnizorilor |
| Zilele 36-65 | Testarea funcționării | Eșantioane pentru acces, ștergere, incidente, persoane împuternicite, transferuri, retenție, instruire, monitorizare tehnică, dovezi REG12 |
| Zilele 66-80 | CAPA și tratarea riscurilor | Cauza principală, acțiune corectivă, responsabil, termen-limită, risc rezidual, metodă de verificare |
| Zilele 81-90 | Pregătire pentru analiza efectuată de management | Pachet de performanță PIMS, obiective, riscuri deschise, neconformități, acțiuni corective, probleme ale furnizorilor, decizii de îmbunătățire |
La finalul sprintului, organizația trebuie să poată răspunde la întrebările pe care auditorii le adresează efectiv:
- Ce PII prelucrați?
- În ce rol?
- Ce controale se aplică?
- De ce sunt aplicabile?
- Ce dovezi demonstrează că sunt implementate?
- Ce eșantion demonstrează că funcționează?
- Ce lacune au fost identificate?
- Ce acțiuni corective au fost luate?
- Cine a verificat eficacitatea?
- Ce a revizuit și a decis conducerea de vârf?
De la confidențialitate pe hârtie la responsabilitate demonstrabilă
Un certificat ISO 27701 este valoros, dar nu este destinația finală. Clienții, autoritățile de reglementare, organele de conducere și auditorii se așteaptă tot mai mult la dovezi că sunt proiectate, implementate, monitorizate, corectate și guvernate controalele de confidențialitate.
Conformitatea privind confidențialitatea eșuează atunci când este tratată ca un proiect de documentare. Rezistă examinării atunci când devine un sistem de dovezi testat.
Clarysec ajută organizațiile să treacă de la conformitate declarată la responsabilitate demonstrabilă prin conectarea politicilor PIMS, aplicabilității REG03, eșantioanelor de dovezi REG12, verificării CAPA, analizei efectuate de management și mapării între cadre prin Zenith Blueprint: An Auditor’s 30-Step Roadmap și Zenith Controls: The Cross-Compliance Guide.
Dacă organizația dumneavoastră se pregătește pentru certificarea ISO 27701:2025, revizuirea responsabilității GDPR, asigurarea privind confidențialitatea solicitată de clienți, dovezi de guvernanță NIS2 sau due diligence al furnizorilor determinat de DORA, începeți cu un workshop concentrat de testare a controalelor de confidențialitate.
Clarysec vă poate ajuta să mapați aplicabilitatea REG03, să construiți eșantioane de audit REG12, să testați controalele PIMS prioritare, să aliniați constatările la CAPA și să pregătiți rezultate pentru analiza efectuată de management care rezistă examinării.
Următorul audit privind confidențialitatea nu ar trebui să fie o cursă după capturi de ecran. Ar trebui să fie o demonstrație sigură că managementul confidențialității funcționează, este susținut prin dovezi, este revizuit și este îmbunătățit continuu.
Frequently Asked Questions
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council


