Testovanie kontrolných opatrení ochrany súkromia podľa ISO 27701 pre GDPR

Piatkový audit ochrany súkromia, ktorý odhalil skutočný problém
Je piatok 15:40, keď sa Maria, CISO rýchlo rastúcej SaaS spoločnosti, pripája na videohovor s vedúcim obstarávania významného potenciálneho podnikového zákazníka.
Jej tím celé mesiace pracoval na systéme manažérstva informácií o ochrane súkromia. Politiky sú schválené. Register spracovateľských činností existuje. Spoločnosť má plán pripravenosti na ISO 27701. DPO má pracovné postupy pre žiadosti dotknutých osôb. Právne oddelenie aktualizovalo zmluvy o spracúvaní osobných údajov. Vývojový tím uvádza, že prístup do produkčného prostredia je obmedzený.
Pracovník obstarávania začne zdvorilo, ale priamo.
„Ďakujem za dokumentáciu, Maria. Certifikát a balík politík sú dobrý východiskový bod. Náš tím hĺbkového preverenia bude budúci mesiac u vás. Bude chcieť vidieť váš proces vybavovania žiadostí dotknutých osôb v praxi, overiť kontrolné opatrenia minimalizácie údajov na našich testovacích účtoch, preskúmať prístupové logy k produkčnému prostrediu a skontrolovať dôkazy, že kontrolné opatrenia ochrany súkromia sa testujú, nie iba dokumentujú.“
V priebehu niekoľkých minút dostane Maria ďalšie dve správy.
DPO sa pýta, či je nová analytická funkcia zahrnutá v registri spracovateľských činností, posúdení právneho základu, harmonograme uchovávania a povinnostiach prenesených na sprostredkovateľov.
Manažér pre súlad sa pýta, či preskúmanie pripravenosti na ISO 27701:2025 dokáže preukázať, že kontrolné opatrenia PIMS sú prevádzkovo účinné.
Toto je okamih, keď sa mnohé programy ochrany súkromia začínajú otriasať. Organizácia má dokumentáciu ochrany súkromia, ale nemá dôkazy o fungovaní ochrany súkromia. Má pracovné postupy, ale nemá dôkazy založené na vzorkách. Má zmluvy, ale slabé záznamy z monitorovania. Má interné uistenie, ale nemá obhájiteľnú auditnú stopu.
Práve tento rozdiel oddeľuje papierový súlad od preukázateľnej zodpovednosti.
GDPR pomenúva problém explicitne. Prevádzkovateľ zodpovedá za súlad so zásadami ochrany údajov a musí byť schopný tento súlad preukázať. Osobné údaje sa musia spracúvať zákonne, spravodlivo, transparentne, na určené účely, v rozsahu obmedzenom na nevyhnutné údaje, presne, uchovávať iba tak dlho, ako je potrebné, a zabezpečiť primeranými technickými a organizačnými opatreniami.
ISO 27701:2025 poskytuje organizáciám štruktúru riadenia ochrany súkromia. ISO/IEC 27001:2022 poskytuje základ ISMS pre rozsah, ošetrenie rizík, prevádzkové riadenie, interný audit, preskúmanie manažmentom a neustále zlepšovanie. GDPR prináša právnu požiadavku preukázateľnej zodpovednosti. NIS2, DORA, NIST CSF 2.0, uisťovanie v štýle COBIT 2019 a bezpečnostné preskúmania zo strany zákazníkov zvyšujú tlak na preukázanie, že kontrolné opatrenia fungujú.
Pohľad Clarysec je jednoduchý: testovanie kontrolných opatrení ochrany súkromia nemá byť každoročným zhonom za snímkami obrazovky. Má byť dôkazovým systémom PIMS, ktorý prepája spracovateľské činnosti, uplatniteľné kontrolné opatrenia, riziká, vzorky, technické kontrolné mechanizmy, zistenia, CAPA a preskúmanie manažmentom do jedného sledovateľného modelu.
Práve tu sa súbor politík PIMS od Clarysec, Zenith Blueprint: 30-kroková cestovná mapa audítora a Zenith Controls: Sprievodca súladom naprieč rámcami stávajú prevádzkovými nástrojmi, nie materiálom do knižnice.
Testovanie kontrolných opatrení ochrany súkromia je mostom medzi politikou a preukázateľnou zodpovednosťou
Test kontrolného opatrenia ochrany súkromia odpovedá na tri praktické otázky:
- Je kontrolné opatrenie navrhnuté tak, aby splnilo povinnosť v oblasti ochrany súkromia alebo znížilo riziko ochrany súkromia?
- Je kontrolné opatrenie implementované v príslušnom procese, systéme, tíme, u dodávateľa alebo v produktovom pracovnom toku?
- Je kontrolné opatrenie prevádzkovo účinné v čase, s dôkazmi, ktoré by obstáli pred audítorom, zákazníkom, regulátorom alebo výborom predstavenstva?
SaaS spoločnosť môže tvrdiť, že podporuje žiadosti o výmaz. Test účinnosti návrhu kontroluje, či sú definované politika výmazu, proces overovania identity, model vlastníctva, koordinácia so sprostredkovateľmi, výnimky z uchovávania a nakladanie so zálohami. Test prevádzkovej účinnosti vyberá vzorku dokončených žiadostí o výmaz, porovnáva časové pečiatky, kontroluje schválenia, preskúmava systémové logy, overuje následné notifikácie sprostredkovateľom a potvrdzuje dôkazy o uzavretí.
Politika monitorovania, auditu a zlepšovania PIMS mení tento prístup na overiteľnú požiadavku:
[Obe] Interný audítor / osoba vykonávajúca preskúmanie súladu MUSÍ počas každého auditu PIMS testovať stav implementácie uplatniteľných kontrolných opatrení PIMS voči REG03.
Zo sekcie „program interného auditu PIMS“, ustanovenie politiky 4.2.5.
Formulácia „voči REG03“ je kľúčová. Testovanie nie je voľne vedený rozhovor. REG03 slúži ako referencia uplatniteľnosti a implementácie kontrolných opatrení PIMS. Ukazuje, čo sa uplatňuje, prečo sa to uplatňuje a aké dôkazy majú existovať.
Tá istá politika dopĺňa:
[Obe] Interný audítor / osoba vykonávajúca preskúmanie súladu MUSÍ počas každého auditu PIMS zaznamenať vybranú vzorku dôkazov o spracúvaní PII v REG12.
Zo sekcie „program interného auditu PIMS“, ustanovenie politiky 4.2.6.
Toto je jadro testovania kontrolných opatrení ochrany súkromia podľa ISO 27701:2025. Audit PIMS bez vzorky je rozhovor. Audit PIMS s vybranými dôkazmi, mapovaním kontrolných opatrení, výnimkami, nápravným opatrením a sledovateľnosťou do preskúmania manažmentom je preukázateľná zodpovednosť.
Začnite rozsahom, rolou a realitou spracúvania
Väčšina slabých auditov ochrany súkromia zlyhá ešte pred začiatkom testovania. Vyberú sa generické kontrolné opatrenia bez potvrdenia, aké osobné údaje sa spracúvajú, kde sa nachádzajú, ktoré systémy a dodávatelia sa ich dotýkajú a či organizácia koná ako prevádzkovateľ, sprostredkovateľ, spoločný prevádzkovateľ alebo ďalší sprostredkovateľ.
Povinnosti podľa GDPR výrazne závisia od roly. Prevádzkovateľ, ktorý rozhoduje, prečo a ako sa osobné údaje spracúvajú, má iné povinnosti než sprostredkovateľ konajúci podľa zdokumentovaných pokynov zákazníka. Dôležitá je aj citlivosť údajov. Údaje zamestnancov, údaje zákazníckych účtov, telemetria, finančné údaje, biometrické overovanie, údaje týkajúce sa zdravia, preverovanie sankčných zoznamov a údaje o trestných činoch nenesú rovnaké riziko.
Silný program testovania podľa ISO 27701:2025 sa začína disciplinovaným vymedzením rozsahu.
| Otázka k rozsahu | Dôkazy na kontrolu | Prečo je to dôležité |
|---|---|---|
| Ktoré činnosti spracúvania PII sú v rozsahu? | Register spracovateľských činností, mapa tokov údajov, evidencia systémov, register dodávateľov | Testovanie musí vyberať vzorky reálneho spracúvania, nie abstraktných vyhlásení v politikách |
| Ktorá rola PIMS sa uplatňuje? | Mapovanie prevádzkovateľa, sprostredkovateľa, spoločného prevádzkovateľa a ďalšieho sprostredkovateľa | Povinnosti podľa GDPR a kontrolné opatrenia PIMS sa líšia podľa roly |
| Aké právne, zmluvné a regulačné povinnosti sa uplatňujú? | Posúdenie GDPR, zákaznícke DPA, odvetvové pravidlá, posúdenia prenosov | Návrh kontrolných opatrení musí odrážať skutočné povinnosti |
| Ktoré systémy a dodávatelia spracúvajú PII? | Inventarizácia aktív, evidencia cloudových služieb, zoznam sprostredkovateľov, matica prístupov | Prevádzkové testy potrebujú technické dôkazy a dôkazy tretích strán |
| Ktoré zmeny ovplyvňujú spracúvanie PII? | Záznamy produktových zmien, spúšťače DPIA, poznámky k vydaniu, preskúmania architektúry | Ochrana súkromia už od návrhu sa musí testovať pred spustením, nie až po sťažnostiach |
ISO/IEC 27001:2022 podporuje tento integrovaný prístup prostredníctvom požiadaviek na kontext organizácie, požiadavky zainteresovaných strán, zákonné a zmluvné povinnosti, rozsah systému manažérstva, prevádzkové plánovanie a ošetrenie rizík. Pri ochrane súkromia to znamená, že spracúvanie PII nemôže zostať v odpojenej tabuľke. Musí byť súčasťou prevádzkového modelu ISMS a PIMS.
Politika systému manažérstva informácií o ochrane súkromia prepája testovanie ochrany súkromia priamo so správou a riadením:
[Všetky] Vrcholový manažment MUSÍ každoročne preskúmať výkonnosť PIMS, ciele ochrany súkromia, otvorené riziká, nezhody, nápravné opatrenia a rozhodnutia o zlepšovaní v REG12.
Zo sekcie „správa a riadenie PIMS“, ustanovenie politiky 6.1.1.
Ak testovanie identifikuje medzeru v ochrane súkromia, nejde iba o poznámku z auditu. Je to vstup do systému manažérstva, ktorý má ovplyvniť ošetrenie rizík, priority, zdroje a rozhodnutia vedenia.
Účinnosť návrhu verzus prevádzková účinnosť
Keď sa zákazník pýta, či sa kontrolné opatrenia ochrany súkromia testujú, zvyčajne má na mysli prevádzkovú účinnosť. Audítori však skúmajú aj účinnosť návrhu.
Kontrolné opatrenie s účinným návrhom je schopné splniť požiadavku, ak sa vykonáva podľa zámeru. Prevádzkovo účinné kontrolné opatrenie sa skutočne vykonáva konzistentne a je podložené dôkazmi.
| Oblasť kontrolného opatrenia | Test účinnosti návrhu | Test prevádzkovej účinnosti |
|---|---|---|
| Získanie súhlasu | Overiť politiku, text súhlasu, pravidlá právneho základu, požiadavky používateľského rozhrania, pracovný tok odvolania súhlasu | Vybrať vzorku záznamov o súhlase a odvolaní súhlasu, porovnať časové pečiatky, overiť vylúčenie z kontaktovania po odvolaní súhlasu |
| Obmedzenie účelu | Preskúmať RoPA, oznámenie o ochrane údajov, produktové požiadavky, oddelenie súhlasu a pravidlá používania údajov | Vybrať vzorku používateľských záznamov, logov, exportov a analytických tokov a potvrdiť, že PII sa opätovne nepoužívajú na neoprávnené účely |
| Prístup k PII | Preskúmať politiku prístupu, model rolí, postup nástupov, presunov a odchodov, schvaľovací pracovný tok | Vybrať vzorku používateľov s prístupom k PII, overiť schválenie, obchodnú potrebu, MFA a nedávnu revíziu prístupových práv |
| Zaradenie sprostredkovateľa | Preskúmať kritériá hĺbkového preverenia, ustanovenia DPA, pravidlá pre ďalších sprostredkovateľov a primerané záruky pri prenose | Vybrať vzorku sprostredkovateľa, skontrolovať posúdenie, zmluvu, bezpečnostné preskúmanie a dôkazy z monitorovania ďalších sprostredkovateľov |
| Uchovávanie a výmaz | Preskúmať harmonogram uchovávania, pravidlá výnimiek, postup výmazu a schopnosť systému | Vybrať vzorku vymazaných záznamov alebo žiadostí o výmaz, skontrolovať logy, požiadavky a potvrdenia sprostredkovateľov |
| Riešenie porušení ochrany údajov | Preskúmať klasifikáciu incidentov, eskaláciu ochrany súkromia a kritériá oznamovania dozornému orgánu | Vybrať vzorku záznamov incidentov, overiť triáž, odôvodnenie rozhodnutí, oznámenia a poučenia |
Politika monitorovania auditov a súladu uvádza účel priamo:
Validovať účinnosť bezpečnostných kontrolných opatrení a kontrolných opatrení ochrany súkromia
Zo sekcie „Účel“, ustanovenie politiky 1.1.1.
Verzia pre MSP zachováva rovnaký princíp uistenia v prevádzkovom jazyku. Politika monitorovania auditov a súladu - MSP uvádza:
Táto politika stanovuje prístup organizácie k vykonávaniu interných auditov, preskúmaní bezpečnostných kontrolných opatrení a monitorovaniu súladu. Zabezpečuje, aby všetky kontrolné opatrenia, politiky, systémy a poskytovatelia služieb podliehali pravidelnému a štruktúrovanému preskúmaniu.
Zo sekcie „Účel“, ustanovenie politiky 1.1.
Pripravenosť na ISO 27701 nie je otázkou veľkosti spoločnosti. SaaS sprostredkovateľ s 30 zamestnancami nemusí potrebovať rovnaké auditné nástroje ako globálna banka, ale stále musí preukázať, že prístup, výmaz, eskalácia incidentov, správa a riadenie ďalších sprostredkovateľov a uchovávanie dôkazov sú riadené.
Dôkazový reťazec Clarysec: REG03, REG12, CAPA a preskúmanie
Clarysec štruktúruje testovanie kontrolných opatrení ochrany súkromia okolo jednoduchého dôkazového reťazca.
REG03 definuje uplatniteľné kontrolné opatrenia PIMS a stav implementácie. REG12 zaznamenáva vzorky, dôkazy, zistenia, medzery v sledovateľnosti, overenie nápravných opatrení a vstupy do preskúmania manažmentom. Záznamy CAPA menia zistenia na zlepšenia založené na koreňovej príčine. Vrcholový manažment preskúmava výkonnosť PIMS, riziká, nezhody, nápravné opatrenia a rozhodnutia o zlepšovaní.
Politika dokumentovaných informácií a správy dôkazov PIMS vyžaduje zachytávanie problémov s kvalitou dôkazov:
[Všetky] Interný audítor / osoba vykonávajúca preskúmanie súladu MUSÍ počas každého plánovaného auditu alebo preskúmania súladu zaznamenať v REG12 medzery v úplnosti, presnosti alebo sledovateľnosti dôkazov.
Zo sekcie „tvorba, pomenúvanie a kvalita dôkazov“, ustanovenie politiky 4.3.4.
Je to dôležité, pretože nie každé zistenie znamená úplné zlyhanie kontrolného opatrenia. Niekedy kontrolné opatrenie fungovalo, ale dôkazy sú neúplné. Niekedy je požiadavka na výmaz uzavretá, ale žiadny systémový log nepreukazuje výmaz. Niekedy register spracovateľských činností uvádza CRM, ale chýba v ňom export do dátového skladu. Niekedy zmluva s dodávateľom existuje, ale priebežné monitorovanie chýba.
Politika monitorovania auditov a súladu vyžaduje aj štruktúrované interné audity:
Interné audity musia postupovať podľa zdokumentovaného postupu, ktorý zahŕňa:
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.
A keď vzniknú zistenia:
Všetky zistenia musia viesť k zdokumentovanému CAPA, ktoré zahŕňa:
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.2.1.
Politika riadenia rizík - MSP posilňuje disciplínu uzatvárania:
Dokončenie a účinnosť opatrení na ošetrenie rizík sa musia overiť.
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.3.2.
Politika monitorovania, auditu a zlepšovania PIMS uzatvára spätnú väzbu:
[Všetky] Interný audítor / osoba vykonávajúca preskúmanie súladu MUSÍ overiť účinnosť nápravného opatrenia v REG12 do 30 dní od nahláseného uzavretia nápravného opatrenia.
Zo sekcie „nezhoda a nápravné opatrenie“, ustanovenie politiky 4.4.7.
Toto je rozdiel medzi opravením požiadavky a zlepšením systému manažérstva.
Praktický test 1: žiadosti o výmaz a preukázateľná zodpovednosť podľa GDPR
Žiadosti o výmaz patria medzi najjasnejšie spôsoby, ako otestovať, či preukázateľná zodpovednosť za ochranu súkromia funguje v praxi.
Predpokladajme, že SaaS spoločnosť strednej veľkosti koná ako prevádzkovateľ aj sprostredkovateľ. Riadi údaje zamestnancov, marketingové údaje a fakturačné údaje. Spracúva údaje koncových používateľov zákazníkov v mene podnikových zákazníkov. Organizácia chce otestovať, či sú kontrolné opatrenia výmazu pripravené na audit ISO 27701:2025 a zákaznícke uistenie podľa GDPR.
Krok 1: Vyberte spracovateľskú činnosť z REG03
Vyberte spracovateľskú činnosť so skutočným rizikom ochrany súkromia, napríklad „profilové údaje koncových používateľov zákazníka spracúvané v SaaS platforme“. Potvrďte, či organizácia koná ako prevádzkovateľ, sprostredkovateľ alebo oboje. Identifikujte súvisiace kontrolné opatrenia pre spracovanie práv, validáciu pokynu sprostredkovateľovi, uchovávanie, výmaz, riadenie prístupu, logovanie, nakladanie so zálohami a koordináciu dodávateľov.
Krok 2: Definujte presný cieľ testu
Užitočný cieľ testu je konkrétny a založený na dôkazoch:
„Overiť, že žiadosti o výmaz profilových údajov koncových používateľov zákazníka sú prijaté, autentifikované alebo validované ako pokyn, spracované v rámci definovaného pracovného toku, zalogované, technicky dokončené v produkčných systémoch, podľa potreby kaskádovo prenesené na relevantných ďalších sprostredkovateľov a uzavreté s dôkazmi.“
Krok 3: Vyberte reprezentatívnu vzorku
Vyberte päť žiadostí o výmaz z posledného štvrťroka. Zahrňte jednu bežnú žiadosť, jednu žiadosť zahŕňajúcu administrátora zákazníka, jednu žiadosť na základe pokynu sprostredkovateľovi, jednu žiadosť s výnimkou z uchovávania a jednu žiadosť, ktorá sa dotýka nakladania so zálohami.
Zenith Blueprint vo fáze Audit, preskúmanie a zlepšovanie, krok 26: vykonanie auditu, zdôrazňuje vzorkovanie a zber dôkazov:
✓ Pohovorte s relevantným personálom: Požiadajte osoby zodpovedné za procesy, aby vysvetlili, ako spĺňajú požiadavky. Napríklad sa opýtajte vlastníka rizika na posledné posúdenie rizík alebo sa opýtajte HR, ako sa noví zamestnanci školia v oblasti bezpečnosti (na pokrytie kontroly 6.3 o povedomí).
✓ Preskúmajte dokumentáciu: Skontrolujte, či dokumenty a záznamy existujú a sú aktuálne.
✓ Pozorujte prax: Ak je to možné, vykonajte priame pozorovanie.
✓ Vyberte vzorku a vykonajte namátkovú kontrolu: Nemôžete skontrolovať všetko, preto použite vzorkovanie.
Z fázy Audit, preskúmanie a zlepšovanie, krok 26: vykonanie auditu (vykonávanie interného auditu).
Krok 4: Skontrolujte dôkazy pre každú vzorku
Pre každú vybranú žiadosť zhromaždite vstupnú požiadavku, klasifikáciu roly, overenie identity alebo povolenie zákazníka, systémový log výmazu, rozhodnutie o výnimke z uchovávania, vysvetlenie nakladania so zálohami, oznámenie ďalšiemu sprostredkovateľovi, komunikáciu o uzavretí, časové pečiatky a schválenie osobou vykonávajúcou preskúmanie.
Krok 5: Zaznamenajte výsledky v REG12
Zaznamenajte vzorku, zdroj dôkazov, výsledok kontroly, výnimku a medzeru v sledovateľnosti v REG12. Ak k výmazu došlo, ale neexistuje žiadny produkčný log, kontrolné opatrenie mohlo fungovať, ale dôkazy sú slabé. Ak sa žiadosť oneskorila, pretože zodpovednosť dodávateľa nebola jasná, zistenie sa môže týkať správy a riadenia tretích strán a zmluvného prenesenia povinností.
Krok 6: Vytvorte CAPA a overte účinnosť
Ak je koreňovou príčinou nejasné vlastníctvo medzi podporou, právnym oddelením a vývojovým tímom, CAPA môže zahŕňať upravený pracovný tok, aktualizované RACI, povinné dôkazové polia a mesačné kontroly vzoriek výmazu.
Zenith Blueprint vo fáze Audit, preskúmanie a zlepšovanie, krok 29, vysvetľuje očakávanie uzavretia:
Naplánujte, ako budete overovať účinnosť každého nápravného opatrenia. Môže to znamenať naplánovanie následného auditu alebo kontroly. Ak bolo napríklad vaším nápravným opatrením zaškoliť IT personál v oblasti riadenia prístupu, môžete naplánovať preskúmanie nových účtov o jeden mesiac, aby ste zistili, či všetky majú riadne schválenia (overenie).
Z fázy Audit, preskúmanie a zlepšovanie, krok 29: neustále zlepšovanie (nápravné opatrenia a poučenia).
Pri výmaze môže overenie znamenať výber ďalších piatich žiadostí o výmaz po spustení upraveného pracovného toku. Až potom má byť CAPA uzavreté.
Praktický test 2: obmedzenie účelu a minimalizácia údajov
Druhým testom s vysokou hodnotou je obmedzenie účelu. Je obzvlášť užitočný pred zákazníckym hĺbkovým preverovaním, spustením analytiky, obohacovaním pomocou AI, rozšírením dátového skladu alebo zmenami marketingovej automatizácie.
SaaS platforma Márie zhromažďuje údaje používateľov zákazníkov na poskytovanie služby. Cieľom kontrolného opatrenia je zabezpečiť, aby sa PII používali iba na určené a oprávnené účely a aby sa opätovne nepoužívali na marketingovú analytiku, pokiaľ používateľ neposkytol výslovný, samostatný súhlas tam, kde sa vyžaduje.
| Typ dôkazu | Konkrétne artefakty |
|---|---|
| Dokumentácia | Politika ochrany údajov a súkromia, RoPA, zákaznícka DPA, oznámenia o ochrane údajov, záznamy správy súhlasov |
| Technická konfigurácia | Pravidlá nakladania s údajmi v aplikácii, databázové schémy, konfigurácie API, nastavenia ETL úloh |
| Logy a záznamy | Prístupové logy aplikácie, logy databázových dotazov, história zmien súhlasu, záznamy exportov kampaní |
| Personálne dôkazy | Rozhovory s vlastníkom produktu, vedúcim vývojárom, administrátorom databázy a vlastníkom ochrany súkromia |
Silný prevádzkový test sa nekončí pri politike. Vyberá vzorky používateľov, ktorí súhlasili s marketingom, aj používateľov, ktorí nesúhlasili. Sleduje, či sa stav súhlasu správne premieta do kľúčových aplikačných databáz, tabuliek dátového skladu, nástrojov kampaní, dashboardov a exportov. Ak sa používatelia bez súhlasu objavia v marketingovom publiku, organizácia má konkrétnu nezhodu.
Verzia Politiky monitorovania auditov a súladu pre MSP poskytuje správne nastavenie myslenia prostredníctvom príkladu technického testovania:
Technické overovanie kontrolných opatrení (napr. stav zálohovania, konfigurácia riadenia prístupu, záznamy o záplatách)
Zo sekcie „Požiadavky na implementáciu politiky“, ustanovenie politiky 6.1.1.2.
Pri ochrane súkromia technické overovanie kontrolných opatrení zahŕňa kontroly synchronizácie súhlasu, exporty riadenia prístupu, logy výmazu, nastavenia šifrovania, testy maskovania údajov, upozornenia DLP, obmedzenia zálohovania, monitorovacie udalosti a dôkazy dodávateľov.
Mapovanie testovania ochrany súkromia na ISO/IEC 27001:2022 a súlad naprieč rámcami Clarysec
Kontrolné opatrenia ochrany súkromia nefungujú izolovane. Ochrana PII závisí od inventarizácie aktív, klasifikácie, riadenia prístupu, správy a riadenia cloudu, maskovania údajov, prenosu informácií, logovania, monitorovania, výmazu, ochrany záznamov, dohľadu nad dodávateľmi a nezávislého preskúmania.
V Zenith Controls: Sprievodca súladom naprieč rámcami je kontrola 5.34 prílohy A ISO/IEC 27001:2022, Ochrana súkromia a ochrana PII, mapovaná ako preventívne kontrolné opatrenie zosúladené s dôvernosťou, integritou a dostupnosťou, s konceptmi kybernetickej bezpečnosti Identify a Protect a s prevádzkovými schopnosťami v oblasti ochrany informácií, právnych záležitostí a súladu.
Jej vzťah k inventarizácii je priamy:
Inventarizácia informačných aktív (5.9) má zahŕňať úložiská PII (zákaznícke databázy, HR súbory). Podporuje to 5.34 tým, že organizácia vie, aké PII má a kde sa nachádzajú, čo je prvý krok k ich ochrane.
Zo Zenith Controls, Ochrana súkromia a ochrana PII, kontrola 5.34.
Pri auditnom testovaní to znamená, že audítor ochrany súkromia nemá začínať iba oznámením o ochrane údajov. Má začať evidenciou PII, registrom spracovateľských činností, tokmi údajov, inventarizáciou aktív a evidenciou dodávateľov. Ak je evidencia neúplná, následné kontrolné opatrenia ochrany súkromia nemôžu byť plne spoľahlivé.
Sprievodca tiež mapuje kontrolu 5.34 prílohy A ISO/IEC 27001:2022 na súvisiace kontroly, ako sú 5.9 Inventarizácia informácií a ďalších súvisiacich aktív, 5.12 Klasifikácia informácií, 5.14 Prenos informácií, 5.15 Riadenie prístupu, 5.16 Správa identít, 5.23 Informačná bezpečnosť pri používaní cloudových služieb, 5.33 Ochrana záznamov, 8.11 Maskovanie údajov, 8.12 Prevencia úniku údajov a 8.10 Výmaz informácií.
Osobitne relevantné sú dve ďalšie kontroly prílohy A ISO/IEC 27001:2022:
| Kontrola ISO/IEC 27001:2022 | Relevantnosť pre testovanie ochrany súkromia | Príklad dôkazov |
|---|---|---|
| 5.34 Ochrana súkromia a ochrana PII | Potvrdzuje, že požiadavky na ochranu súkromia a PII sú implementované na základe zákonov, predpisov a zmlúv | Register spracovateľských činností, DPIA, záznamy právneho základu, dôkazy DSR, logy uchovávania |
| 5.35 Nezávislé preskúmanie informačnej bezpečnosti | Poskytuje objektívne overenie, že bezpečnostné opatrenia vrátane kontrolných opatrení relevantných pre ochranu súkromia sú nezávisle preskúmavané | Správy z interného auditu, výsledky externého preskúmania, vzorky REG12, záznamy CAPA |
| 5.36 Súlad s politikami, pravidlami a normami informačnej bezpečnosti | Potvrdzuje priebežný súlad s internými pravidlami a normami | Preskúmania súladu s politikami, kontroly prístupov, výsledky monitorovania, logy výnimiek |
Politika ochrany údajov a súkromia vyžaduje:
Interný audit súladu v oblasti ochrany súkromia sa musí vykonať každoročne alebo pri významných organizačných či regulačných zmenách. Rozsah auditu musí zahŕňať:
Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.4.
Ďalej zahŕňa:
Účinnosť technických a organizačných opatrení
Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.4.1.
Politika ochrany údajov a súkromia - MSP zachováva rovnaké očakávanie prakticky:
Pravidelné audity ochrany súkromia alebo kontroly kontrolných opatrení sa musia vykonávať a zaznamenávať
Zo sekcie „Požiadavky na správu a riadenie“, ustanovenie politiky 5.3.3.
Prečo je preukázateľná zodpovednosť podľa GDPR dnes otázkou kybernetického riadenia
Dôkazy o ochrane súkromia už nepožadujú iba audítori ochrany súkromia. Tie isté dôkazy môže požadovať audítor ISO 27701:2025, audítor ISO/IEC 27001:2022, osoba vykonávajúca preskúmanie GDPR, príslušný orgán podľa NIS2, zákazník regulovaný podľa DORA, posudzovateľ NIST CSF alebo výbor predstavenstva pre riziká.
NIS2 Article 21 vyžaduje, aby základné a dôležité subjekty implementovali primerané a proporcionálne technické, prevádzkové a organizačné opatrenia na riadenie kybernetických rizík. Article 21(2)(f) výslovne zahŕňa politiky a postupy na posudzovanie účinnosti opatrení na riadenie kybernetických rizík. NIS2 zároveň ukladá riadiacim orgánom zodpovednosť za schvaľovanie opatrení na riadenie kybernetických rizík a dohľad nad nimi.
DORA sa na finančné subjekty uplatňuje od 17. januára 2025 a stanovuje podrobný rámec digitálnej prevádzkovej odolnosti. Vyžaduje riadenie rizík IKT, dohľad riadiaceho orgánu, interný audit, nápravu kritických zistení, klasifikáciu a hlásenie incidentov, testovanie odolnosti, riadenie rizík IKT tretích strán, zmluvné kontrolné opatrenia, registre zmluvných vzťahov k IKT službám a stratégie ukončenia. Poskytovatelia IKT, ktorí obsluhujú finančné subjekty, majú očakávať dôkazové požiadavky vyplývajúce z DORA prostredníctvom zákazníckeho uistenia.
NIST CSF 2.0 poskytuje užitočnú prekladovú vrstvu. Jeho funkcia GOVERN očakáva, že organizácie rozumejú očakávaniam zainteresovaných strán, závislostiam a právnym, regulačným, zmluvným povinnostiam, povinnostiam ochrany súkromia a občianskych slobôd. Jeho prístup Profiles pomáha porovnať aktuálne výstupy s cieľovými výstupmi, identifikovať medzery a uprednostniť akčné plány.
| Tlak požiadaviek | Čo má testovanie kontrolných opatrení ochrany súkromia vytvárať | Opora v Clarysec |
|---|---|---|
| Preukázateľná zodpovednosť podľa GDPR | Dôkazy, že zásady, právny základ, práva, bezpečnosť, uchovávanie a povinnosti sprostredkovateľov sú preukázateľne splnené | Politiky PIMS, REG03, REG12, CAPA |
| Pripravenosť na ISO 27701:2025 | Otestované kontrolné opatrenia PIMS, uplatniteľnosť podľa rolí, kvalita dôkazov, interný audit, preskúmanie manažmentom | Politika monitorovania, auditu a zlepšovania PIMS |
| Uistenie podľa ISO/IEC 27001:2022 | Sledovateľnosť ošetrenia rizík, odôvodnenie SoA, prevádzkové riadenie, audit, preskúmanie, zlepšovanie | Zenith Blueprint, sprievodca súladom naprieč rámcami Zenith Controls |
| Správa a riadenie podľa NIS2 | Posúdenie účinnosti, pripravenosť na incidenty, kontrolné opatrenia dodávateľov, dohľad manažmentu | Mapovanie kontrol 5.35 a 5.36 prílohy A ISO/IEC 27001:2022 |
| Uistenie podľa DORA | Testovanie kontrolných opatrení IKT, testovanie odolnosti, dôkazy tretích strán, záznamy životného cyklu incidentov | Model auditných dôkazov mapovaný naprieč rámcami |
| NIST CSF 2.0 | Aktuálny profil, cieľový profil, analýza medzier, prioritizované zlepšovanie | Zenith Blueprint kroky 24, 26, 29 |
Zenith Blueprint posilňuje sledovateľnosť v kroku 24:
Vaše SoA má byť konzistentné s registrom rizík a plánom ošetrenia rizík. Dvakrát skontrolujte, že každá kontrola, ktorú ste zvolili ako ošetrenie rizika, je v SoA označená ako „Uplatniteľná“. Naopak, ak je kontrola v SoA označená ako „Uplatniteľná“, mali by ste pre ňu mať odôvodnenie – zvyčajne namapované riziko, právnu/regulačnú požiadavku alebo obchodnú potrebu.
Z fázy Audit, preskúmanie a zlepšovanie, krok 24: audit, preskúmanie a zlepšovanie.
Pri testovaní kontrolných opatrení ochrany súkromia sa rovnaký princíp uplatňuje na uplatniteľnosť PIMS. Každé uplatniteľné kontrolné opatrenie ochrany súkromia má byť sledovateľné k riziku spracúvania, zákonnej povinnosti, požiadavke zákazníka alebo obchodnej potrebe. Každý test má byť sledovateľný späť k tomuto kontrolnému opatreniu.
Ako rôzni audítori posúdia to isté kontrolné opatrenie
Silný program testovania ochrany súkromia predvída pohľad audítora. To isté kontrolné opatrenie výmazu, riadenia prístupu alebo zapojenia sprostredkovateľa bude interpretované odlišne podľa kontextu preskúmania.
| Pohľad audítora | Pravdepodobná auditná otázka | Očakávané dôkazy |
|---|---|---|
| Audítor ISO 27701:2025 | Sú kontrolné opatrenia PIMS podľa rolí implementované, hodnotené a zlepšované? | Uplatniteľnosť REG03, vzorky REG12, register spracovateľských činností, mapovanie politík, výsledky auditu |
| Audítor ISO/IEC 27001:2022 | Je kontrolné opatrenie súvisiace s ochranou súkromia integrované do ošetrenia rizík, SoA, prevádzkového riadenia, interného auditu a preskúmania manažmentom? | Register rizík, odôvodnenie SoA, plán ošetrenia, dôkazy ku kontrolnému opatreniu, zápisnice z preskúmania manažmentom |
| Osoba vykonávajúca preskúmanie GDPR | Dokáže prevádzkovateľ preukázať súlad so zásadami a povinnosťami GDPR? | Právny základ, oznámenia, logy DSR, DPIA, zmluvy, záznamy o porušeniach ochrany údajov, dôkazy o uchovávaní |
| Posudzovateľ NIST CSF | Pozná organizácia svoje povinnosti, definuje cieľové výstupy, meria medzery a zlepšuje sa? | Aktuálny a cieľový profil, plán medzier, prioritizácia rizík, záznamy správy a riadenia |
| Zákazník alebo regulátor orientovaný na DORA | Sú kontrolné opatrenia IKT testované, incidenty klasifikované, dodávatelia monitorovaní a kritické služby odolné? | Program testovania, záznamy incidentov, register dodávateľov, zmluvy, plány ukončenia |
| Audítor v štýle ISACA alebo COBIT 2019 | Sú ciele, vlastníctvo, metriky, uzatváranie problémov a dohľad nad správou a riadením účinné? | RACI, KPI, logy problémov, overenie CAPA, reportovanie manažmentu |
Práve preto je REG12 taký hodnotný. Mení súlad ochrany súkromia na overiteľné dôkazy správy a riadenia.
Bežné zistenia pri testovaní kontrolných opatrení PIMS
Clarysec opakovane vidí rovnaké zistenia z auditov ochrany súkromia v organizáciách pripravujúcich sa na certifikáciu ISO 27701:2025, zákaznícke uistenie podľa GDPR alebo podnikové hĺbkové preverovanie.
Register spracovateľských činností nezodpovedá realite systémov
Register spracovateľských činností uvádza CRM a platformy podpory, ale vývojári pridali analytické exporty, logy observability, nástroje AI a tabuľky dátového skladu.
Reakcia testu: vyberte vzorku systémov z inventarizácie aktív a evidencie cloudových služieb a zosúlaďte ich s registrom spracovateľských činností. Ako auditné odôvodnenie použite vzťah medzi kontrolami 5.9 a 5.34 prílohy A ISO/IEC 27001:2022.
Prístup k PII je schválený, ale pravidelne sa nepreskúmava
Počiatočné schválenia existujú, ale revízie privilegovaných prístupov nezahŕňajú nástroje vydávania sa podpory za používateľa, produkčné databázy, BI dashboardy ani núdzové účty.
Reakcia testu: vyberte vzorku aktívnych používateľov s prístupom k PII a porovnajte rolu, obchodnú potrebu, schválenie, stav MFA, posledné prihlásenie a dôkazy o preskúmaní.
Zmluvy so sprostredkovateľmi existujú, ale monitorovanie je slabé
DPA je podpísaná, ale dotazník dodávateľa je starý. Nikto nepreskúmal zmeny ďalších sprostredkovateľov, lokality údajov, bezpečnostný stav ani povinnosti oznamovania incidentov.
Reakcia testu: vyberte vzorku kritických sprostredkovateľov a skontrolujte hĺbkové preverenie, zmluvné ustanovenia, zmeny ďalších sprostredkovateľov, primerané záruky pri prenose a záznamy z monitorovania. Podporuje to GDPR, očakávania NIS2 v dodávateľskom reťazci a očakávania DORA v oblasti rizík tretích strán.
Reakcia na incidenty existuje, ale klasifikácia ochrany súkromia je nekonzistentná
Bezpečnostné incidenty sa logujú, ale dopad na ochranu súkromia sa neposudzuje vždy. Kritériá porušenia ochrany údajov podľa GDPR nie sú konzistentne dokumentované. Povinnosti oznamovania zákazníkom sa riešia neformálne.
Reakcia testu: vyberte vzorku incidentov zahŕňajúcich sprístupnenie údajov a skontrolujte klasifikáciu, eskaláciu ochrany súkromia, právne preskúmanie, rozhodnutia o oznámení, uchovanie dôkazov, koreňovú príčinu a poučenia.
CAPA je uzavreté bez overenia účinnosti
Postup sa aktualizuje a zistenie sa uzavrie. Nikto netestuje, či sa nasledujúca vzorka zlepšila.
Reakcia testu: overte účinnosť nápravného opatrenia v REG12 do 30 dní od nahláseného uzavretia, ako to vyžaduje Politika monitorovania, auditu a zlepšovania PIMS.
90-dňový sprint testovania kontrolných opatrení ochrany súkromia
Pre organizácie smerujúce k pripravenosti na ISO 27701:2025, zákazníckemu hĺbkovému preverovaniu alebo preskúmaniu preukázateľnej zodpovednosti podľa GDPR odporúča Clarysec zameraný 90-dňový sprint.
| Časový plán | Zameranie | Výstupy |
|---|---|---|
| Dni 1 až 15 | Rozsah a dôkazový model | Roly PIMS, register spracovateľských činností, uplatniteľnosť REG03, prioritné riziká, zákonné povinnosti, závislosti od dodávateľov, pravidlá pomenúvania dôkazov |
| Dni 16 až 35 | Testovanie návrhu | Preskúmanie politík, RACI, oznámenia o ochrane údajov, právny základ, spúšťače DPIA, pracovné toky DSR, klasifikácia incidentov, harmonogramy uchovávania, kontrolné opatrenia dodávateľov |
| Dni 36 až 65 | Prevádzkové testovanie | Vzorky pre prístup, výmaz, incidenty, sprostredkovateľov, prenosy, uchovávanie, školenia, technické monitorovanie, dôkazy REG12 |
| Dni 66 až 80 | CAPA a ošetrenie rizík | Koreňová príčina, nápravné opatrenie, vlastník, lehota plnenia, zostatkové riziko, metóda overenia |
| Dni 81 až 90 | Pripravenosť na preskúmanie manažmentom | Balík výkonnosti PIMS, ciele, otvorené riziká, nezhody, nápravné opatrenia, problémy dodávateľov, rozhodnutia o zlepšovaní |
Na konci sprintu má byť organizácia schopná odpovedať na otázky, ktoré audítori skutočne kladú:
- Aké PII spracúvate?
- V akej role?
- Ktoré kontrolné opatrenia sa uplatňujú?
- Prečo sú uplatniteľné?
- Aké dôkazy preukazujú, že sú implementované?
- Aká vzorka preukazuje, že fungujú?
- Aké medzery boli zistené?
- Aké nápravné opatrenia boli prijaté?
- Kto overil účinnosť?
- Čo vrcholový manažment preskúmal a o čom rozhodol?
Od papierovej ochrany súkromia k preukázateľnej zodpovednosti
Certifikát ISO 27701 je hodnotný, ale nie je konečnou destináciou. Zákazníci, regulátori, predstavenstvá a audítori čoraz viac očakávajú dôkaz, že kontrolné opatrenia ochrany súkromia sú navrhnuté, implementované, monitorované, opravované a riadené.
Súlad v oblasti ochrany súkromia zlyháva, keď sa považuje za dokumentačný projekt. Kontrolu ustojí vtedy, keď sa stane otestovaným dôkazovým systémom.
Clarysec pomáha organizáciám prejsť od deklarovaného súladu k preukázateľnej zodpovednosti tým, že prepája politiky PIMS, uplatniteľnosť REG03, vzorky dôkazov REG12, overenie CAPA, preskúmanie manažmentom a mapovanie naprieč rámcami prostredníctvom Zenith Blueprint: 30-kroková cestovná mapa audítora a Zenith Controls: Sprievodca súladom naprieč rámcami.
Ak sa vaša organizácia pripravuje na certifikáciu ISO 27701:2025, preskúmanie preukázateľnej zodpovednosti podľa GDPR, zákaznícke uistenie v oblasti ochrany súkromia, dôkazy správy a riadenia podľa NIS2 alebo hĺbkové preverovanie dodávateľov vyplývajúce z DORA, začnite zameraným workshopom testovania kontrolných opatrení ochrany súkromia.
Clarysec vám môže pomôcť namapovať uplatniteľnosť REG03, vybudovať auditné vzorky REG12, otestovať prioritné kontrolné opatrenia PIMS, zosúladiť zistenia s CAPA a pripraviť výstupy preskúmania manažmentom, ktoré obstoja pri kontrole.
Váš ďalší audit ochrany súkromia nemá byť zhon za snímkami obrazovky. Má byť presvedčivou ukážkou, že ochrana súkromia funguje, je podložená dôkazmi, preskúmavaná a neustále zlepšovaná.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council