Na presojo pripravljena zaščita osebno določljivih podatkov za GDPR, NIS2 in DORA
Opozorilo je v Sarin nabiralnik prispelo v torek ob 22. uri.
Kot vodja informacijske varnosti v hitro rastočem finančnotehnološkem ponudniku SaaS je bila vajena poznih opozoril. To pa je bilo drugačno. Mlajši razvijalec je med testiranjem nove analitične funkcionalnosti izpostavil predprodukcijsko podatkovno bazo prek javne končne točke. Baza naj bi vsebovala testne podatke, vendar jo je nedavna sinhronizacija iz produkcije v predprodukcijsko okolje napolnila z resničnimi osebno določljivimi podatki strank.
Incident je bil hitro zajezen. Nato je sledilo drugo odkritje. Migracijska preglednica z imenom customer_users_final_v7.xlsx je bila kopirana iz istega podatkovnega niza. Vsebovala je imena, e-poštne naslove, dovoljenja vlog, dnevnike uporabe, polja z državo, opombe podpore in komentarje v prostem besedilu, ki nikoli ne bi smeli vstopiti v testni delovni tok. Kopirana je bila na deljeni pogon, prenesel jo je razvijalec, priložena je bila zahtevku in nato pozabljena.
Do polnoči Sara ni več obvladovala tehnične napačne konfiguracije. Obvladovala je problem pripravljenosti na presojo.
Podjetje je že imelo certifikat ISO/IEC 27001:2022. Upravni odbor je pred vstopom na trg EU zahteval zagotovilo glede GDPR. Stranke iz finančnih storitev so pošiljale vprašalnike za skrbni pregled DORA. Odnosi z dobavitelji storitev v oblaku in ponudniki upravljanih storitev so odpirali vprašanja dobavne verige po NIS2. Pravna služba je znala pojasniti obveznosti. Inženiring je lahko pokazal na šifriranje. Produktna ekipa je imela namen varstva zasebnosti že pri načrtovanju. Izjava o uporabnosti je omenjala zasebnost in zaščito osebno določljivih podatkov.
Toda nihče ni mogel v eni sledljivi verigi pokazati, kateri osebno določljivi podatki obstajajo, zakaj se obdelujejo, kdo lahko do njih dostopa, kje so maskirani, kateri dobavitelji pridejo z njimi v stik, kako dolgo se hranijo in kako bi bil incident razvrščen po GDPR, NIS2 ali DORA.
Prav ta vrzel je razlog, zakaj sta ISO/IEC 27701:2025 in ISO/IEC 29151:2022 pomembna. Nista zgolj oznaki zasebnosti. Organizacijam pomagata pretvoriti zaveze glede zasebnosti v na presojo pripravljene kontrole za zaščito osebno določljivih podatkov. ISO/IEC 27701:2025 razširja sistem upravljanja informacijske varnosti po ISO/IEC 27001:2022 na upravljanje informacij o zasebnosti. ISO/IEC 29151:2022 dodaja praktične smernice za zaščito osebno določljivih podatkov skozi njihov življenjski cikel.
Pristop Clarysec vzpostavlja enoten operativni model za zasebnost in varnost, voden z dokazili, ne ločenih silosov skladnosti. Ta model združuje Zenith Blueprint: 30-koračni načrt presojevalca Zenith Blueprint, Zenith Controls: vodnik za medokvirno skladnost Zenith Controls in politike Clarysec v enoten sledljiv sistem za GDPR, ISO/IEC 27001:2022, ISO/IEC 27701:2025, ISO/IEC 29151:2022, NIS2, DORA, zagotovila po NIST in pričakovanja upravljanja COBIT 2019.
Zakaj je zaščita osebno določljivih podatkov zdaj vprašanje presoje na ravni upravnega odbora
Zaščita osebno določljivih podatkov je bila nekoč obravnavana kot odgovornost ekipe za zasebnost. Danes je to vprašanje zaupanja, odpornosti in regulativnih zahtev na ravni upravnega odbora.
GDPR ostaja izhodišče za varstvo osebnih podatkov v Evropi in širše. Opredeljuje osebne podatke, obdelavo, upravljavca, obdelovalca, prejemnika, tretjo osebo, privolitev in kršitev varnosti osebnih podatkov na načine, ki vplivajo na pogodbe SaaS, podporne operacije, analitiko, produktno telemetrijo, upravljanje dobaviteljev in odzivanje na incidente. Njegova načela zahtevajo zakonitost, poštenost, preglednost, omejitev namena, najmanjši obseg podatkov, točnost, omejitev hrambe, celovitost, zaupnost in odgovornost. V presojnem smislu GDPR ne sprašuje le, ali so podatki šifrirani. Sprašuje, ali lahko organizacija dokaže, zakaj podatki obstajajo in kako je skladnost dosežena.
NIS2 zvišuje prag upravljanja kibernetske varnosti za bistvene in pomembne subjekte. Article 21 zahteva ukrepe za upravljanje kibernetskih tveganj, vključno z analizo tveganja, politikami varnosti informacijskih sistemov, obravnavo incidentov, neprekinjenim poslovanjem, varnostjo dobavne verige, varnim razvojem, obravnavo ranljivosti, oceno učinkovitosti kontrol, kibernetsko higieno, kriptografijo, kadrovsko varnostjo, nadzorom dostopa, upravljanjem sredstev, avtentikacijo in varnimi komunikacijami. Article 23 dodaja večstopenjsko poročanje o incidentih, vključno z zgodnjim opozorilom v 24 urah, obvestilom v 72 urah in končnim poročilom v enem mesecu po obvestilu.
DORA spreminja razpravo za finančne subjekte in njihove ponudnike IKT. Uporablja se od 17. januarja 2025 in vzpostavlja usklajen režim digitalne operativne odpornosti, ki zajema upravljanje tveganj IKT, poročanje o večjih incidentih, povezanih z IKT, testiranje odpornosti, tveganja tretjih oseb na področju IKT, pogodbene zahteve in nadzor nad kritičnimi tretjimi ponudniki storitev IKT. Za številne finančne subjekte DORA deluje kot sektorski pravni akt Unije, kjer se prekrivajo obveznosti, enakovredne NIS2. Za ponudnike SaaS in IKT, ki služijo finančnim institucijam, se pritisk DORA pogosto pojavi prek pogodbenih klavzul, presoj strank, zahtev za načrtovanje izstopa, obveznosti podpore pri incidentih in testiranja odpornosti.
ISO/IEC 27001:2022 zagotavlja hrbtenico sistema upravljanja. Zahteva kontekst, zainteresirane strani, obseg, odgovornost vodstva, politike, vloge, oceno tveganja, obravnavo tveganja, Izjavo o uporabnosti, notranjo presojo, vodstveni pregled in nenehno izboljševanje. Priloga A vključuje kontrole, neposredno relevantne za zaščito osebno določljivih podatkov, vključno s 5.34 Zasebnost in zaščita osebno določljivih podatkov, 5.18 pravice dostopa, 8.11 maskiranje podatkov, 5.23 informacijska varnost pri uporabi storitev v oblaku, 8.15 beleženje, 8.33 testne informacije, 8.24 uporaba kriptografije in 8.10 izbris informacij.
Izziv ni v tem, da organizacije nimajo kontrol. Izziv je, da so kontrole razdrobljene. Evidence zasebnosti so pri pravni službi. Pregledi pravic dostopa so pri IT. Skripte za maskiranje so pri inženiringu. Pogodbe z dobavitelji so pri nabavi. Dokazila so v zahtevkih, posnetkih zaslona, preglednicah in e-pošti.
ISO/IEC 27701:2025 in ISO/IEC 29151:2022 pomagata poenotiti ta dokazila okoli upravljanja informacij o zasebnosti in praks za zaščito osebno določljivih podatkov. Clarysec to strukturo pretvori v operativni model.
Od ISMS do PIMS: integrirana veriga kontrol za zasebnost
ISMS po ISO/IEC 27001:2022 odgovarja na temeljno vprašanje: ali je informacijska varnost upravljana, zasnovana na tveganjih, uvedena, spremljana in izboljševana?
Sistem upravljanja informacij o zasebnosti oziroma PIMS to vprašanje razširi na osebne podatke: ali se odgovornosti glede zasebnosti, dejavnosti obdelave osebno določljivih podatkov, tveganja za zasebnost, obveznosti upravljavca in obdelovalca, pravice posameznikov, na katere se nanašajo osebni podatki, ter dokazila o kontrolah zasebnosti upravljajo znotraj istega sistema?
ISO/IEC 27701:2025 razširja ISMS na upravljanje zasebnosti. ISO/IEC 29151:2022 ga dopolnjuje s praktičnimi smernicami za zaščito osebno določljivih podatkov, vključno z omejevanjem zbiranja, upravljanjem razkritij, uporabo maskiranja ali psevdonimizacije, zaščito prenosov, omejevanjem dostopa in usklajevanjem kontrol s tveganji za zasebnost.
| Plast | Ključno vprašanje | Tipična dokazila za presojo |
|---|---|---|
| ISO/IEC 27001:2022 | Ali obstaja upravljan ISMS, ki temelji na tveganjih ter ima izbrane in delujoče kontrole? | Obseg, zainteresirane strani, ocena tveganja, načrt obravnave tveganja, SoA, politike, notranja presoja, vodstveni pregled |
| ISO/IEC 27701:2025 | Ali so odgovornosti glede zasebnosti, tveganja za zasebnost in dejavnosti obdelave osebno določljivih podatkov upravljani znotraj sistema upravljanja? | Vloge na področju zasebnosti, register obdelave, postopki upravljavca in obdelovalca, ocene tveganj za zasebnost, DPIA, postopek za zahteve posameznikov glede podatkov |
| ISO/IEC 29151:2022 | Ali so praktični ukrepi za zaščito osebno določljivih podatkov uvedeni skozi življenjski cikel podatkov? | Razvrščanje osebno določljivih podatkov, omejitve dostopa, maskiranje, psevdonimizacija, kontrole hrambe, varovala pri prenosu, dokazila o incidentih |
| GDPR | Ali lahko organizacija dokaže zakonito, pošteno, pregledno, minimizirano, varno in odgovorno obdelavo? | Evidence pravnih podlag, obvestila o zasebnosti, DPIA, postopek za kršitve, pogodbe z obdelovalci, obravnava pravic |
| NIS2 in DORA | Ali lahko organizacija upravlja tveganja kibernetske varnosti in odpornosti, vključno z incidenti in dobavitelji? | Nadzor vodstva, okvir upravljanja IKT-tveganj, razvrščanje incidentov, odzivni priročniki za poročanje, evidence dobaviteljev, pravice do presoje, testi neprekinjenosti |
Ta večplastni model preprečuje najpogostejšo napako pri skladnosti zasebnosti: obravnavanje osebno določljivih podatkov kot zgolj še ene vrste občutljivih podatkov. Osebno določljivi podatki prinašajo pravne, etične, operativne, pogodbene in ugledne obveznosti. Potrebujejo verigo kontrol, ki se začne z ozaveščenostjo in konča z dokazili.
Začnite z razumevanjem podatkov, ne z diagrami šifriranja
Najpogostejša napaka na področju zasebnosti, ki jo opaža Clarysec, je manjkajoči kontekst. Podjetje ne more zaščititi osebno določljivih podatkov, če ne ve, katere osebno določljive podatke ima, kje se nahajajo, kateremu namenu služijo, kako dolgo se hranijo ali kdo jih lahko doseže.
Zenith Blueprint začne to delo zgodaj v fazi upravljanja tveganj. V koraku 9, Identifikacija sredstev, groženj in ranljivosti, organizacijam nalaga, naj popišejo informacijska sredstva in izrecno označijo osebne podatke:
“Za vsako sredstvo zabeležite ključne podrobnosti: ime/opis, lastnik, lokacija in razvrstitev (občutljivost). Primer sredstva je lahko ‘podatkovna baza strank – v lasti oddelka IT – gostovana v AWS – vsebuje osebne in finančne podatke (visoka občutljivost).’”
Dodaja tudi: “Zagotovite, da so sredstva z osebnimi podatki označena (zaradi relevantnosti za GDPR), kritična storitvena sredstva pa evidentirana (zaradi morebitne uporabljivosti NIS2, če ste v reguliranem sektorju).”
To je temelj za uvedbo ISO/IEC 27701:2025 in ISO/IEC 29151:2022. Praktično zaporedje je preprosto:
- Identificirajte sisteme, podatkovne nize, repozitorije, dnevnike, poročila, varnostne kopije, orodja za podporo, razvojna okolja in dobavitelje, ki obdelujejo osebno določljive podatke.
- Vsakemu sredstvu z osebno določljivimi podatki dodelite lastnika.
- Osebno določljive podatke razvrstite glede na občutljivost, poslovni namen, pravno podlago, vlogo pri obdelavi in zahtevo glede hrambe.
- Vsako sredstvo z osebno določljivimi podatki povežite z grožnjami, ranljivostmi, scenariji tveganj in regulativnimi obveznostmi.
- Izberite kontrole, dodelite dokazila in skozi čas spremljajte delovanje.
Politike Clarysec to naredijo izvedljivo. Politika varstva podatkov in zasebnosti za SME Politika varstva podatkov in zasebnosti - SME določa:
“Koordinator za zasebnost mora vzdrževati register vseh dejavnosti obdelave osebnih podatkov, vključno s kategorijami podatkov, namenom, pravno podlago in roki hrambe”
Iz razdelka ‘zahteve upravljanja’, klavzula politike 5.2.1.
Za večje organizacije Politika varstva podatkov in zasebnosti Politika varstva podatkov in zasebnosti določa strogo pravilo najmanjšega obsega podatkov:
“Zbirajo in obdelujejo se lahko samo podatki, potrebni za določen, legitimen poslovni namen.”
Iz razdelka ‘zahteve za izvajanje politike’, klavzula politike 6.2.1.
Te klavzule odgovornost po GDPR pretvorijo v vsakodnevno izvajanje. Hkrati podpirajo upravljanje informacij o zasebnosti in zaščito osebno določljivih podatkov, ker organizacijo prisilijo, da opredeli, kateri podatki obstajajo, zakaj obstajajo in ali so potrebni.
Tri kontrole, zaradi katerih zaščita osebno določljivih podatkov postane operativna
Tri kontrole iz Priloge A ISO/IEC 27001:2022 pogosto odločajo, ali je zaščita osebno določljivih podatkov presojno zagovorljiva: 5.34 Zasebnost in zaščita osebno določljivih podatkov, 8.11 maskiranje podatkov in 5.18 pravice dostopa.
5.34 Zasebnost in zaščita osebno določljivih podatkov
Kontrola 5.34 je vozlišče upravljanja. V Zenith Controls je 5.34 obravnavana kot preventivna kontrola, ki podpira zaupnost, celovitost in razpoložljivost, s konceptoma kibernetske varnosti Prepoznaj in Zaščiti ter operativnimi zmogljivostmi na področju zaščite informacij in pravne skladnosti.
Zenith Controls jasno pokaže odvisnost:
“Popis informacijskih sredstev (5.9) mora vključevati zaloge osebno določljivih podatkov (podatkovne baze strank, kadrovske datoteke). To podpira 5.34, saj zagotovi, da organizacija ve, katere osebno določljive podatke ima in kje se nahajajo, kar je prvi korak k njihovi zaščiti.”
Kontrola 5.34 je odvisna od 5.9 Popis informacij in drugih povezanih sredstev, ker osebno določljivih podatkov ni mogoče zaščititi, če jih ni mogoče najti. Povezana je tudi s 5.23 Informacijska varnost pri uporabi storitev v oblaku, ker večina osebno določljivih podatkov danes živi v oblačnih platformah, orodjih SaaS, analitičnih okoljih in upravljanih storitvah.
Za obdelavo z visokim tveganjem organizacijska Politika varstva podatkov in zasebnosti zahteva:
“Modeliranje groženj in ocene učinka v zvezi z varstvom podatkov (DPIA) so obvezni za sisteme obdelave z visokim tveganjem.”
Iz razdelka ‘zahteve za izvajanje politike’, klavzula politike 6.3.4.
Ta klavzula je ključna. Zasebnost spremeni v dejavnost načrtovanja in upravljanja tveganj, ne v zadnji pravni pregled pred uvedbo.
8.11 Maskiranje podatkov
Kontrola 8.11 je neposreden odgovor na Sarino izpostavitev predprodukcijske podatkovne baze. Zenith Controls opisuje 8.11 kot preventivno kontrolo zaupnosti v okviru zaščite informacij. 8.11 povezuje s 5.12 Razvrščanje informacij, ker so odločitve o maskiranju odvisne od občutljivosti, s 5.34, ker maskiranje podpira zaščito zasebnosti, in z 8.33 Testne informacije, ker testna okolja ne smejo izpostavljati resničnih osebno določljivih podatkov.
Politika maskiranja podatkov in psevdonimizacije Politika maskiranja podatkov in psevdonimizacije pravilo določa izrecno:
“Resnični osebni podatki se ne smejo uporabljati v razvojnih, testnih ali predprodukcijskih okoljih. Namesto njih se morajo uporabljati maskirani ali psevdonimizirani podatki, ustvarjeni iz vnaprej odobrenih predlog preoblikovanja.”
Iz razdelka ‘zahteve za izvajanje politike’, klavzula politike 6.3.
Za SME Politika maskiranja podatkov in psevdonimizacije za SME Politika maskiranja podatkov in psevdonimizacije - SME dodaja ključno varnostno zahtevo in zahtevo glede dokazil:
“Dostop do ključev mora biti šifriran, nadzorovan z dostopom in zabeležen.”
Iz razdelka ‘zahteve za izvajanje politike’, klavzula politike 6.2.1.3.
To je pomembno, ker psevdonimizacija zmanjša tveganje samo, kadar so logika preoblikovanja, ključi in poti ponovne identifikacije nadzorovani.
5.18 Pravice dostopa
Kontrola 5.18 je operativno jedro načela najmanjših privilegijev. Zenith Controls jo obravnava kot preventivno, povezano z zaupnostjo, celovitostjo in razpoložljivostjo ter umeščeno v upravljanje identitet in dostopa. 5.18 povezuje s 5.15 nadzor dostopa, 5.16 upravljanje identitet in 8.2 pravice privilegiranega dostopa.
Politika klasifikacije in označevanja podatkov za SME Politika klasifikacije in označevanja podatkov - SME določa:
“Dostop mora biti omejen na posebej pooblaščene uporabnike s potrebo po seznanitvi.”
Iz razdelka ‘zahteve upravljanja’, klavzula politike 5.2.1.
Organizacijska Politika klasifikacije in označevanja podatkov Politika klasifikacije in označevanja podatkov dodaja osnovno pravilo razvrščanja:
“Vsa informacijska sredstva morajo imeti ob ustvarjanju ali uvajanju jasno dodeljeno razvrstitev. Če izrecna razvrstitev ni določena, morajo biti sredstva privzeto obravnavana kot ‘zaupno’, dokler niso formalno pregledana.”
Iz razdelka ‘zahteve upravljanja’, klavzula politike 5.4.
Skupaj te kontrole tvorijo praktično verigo zaščite osebno določljivih podatkov: poznati podatke, jih razvrstiti, omejiti dostop, jih maskirati tam, kjer polna identiteta ni potrebna, zaščititi ključe, beležiti dostop in hraniti dokazila.
Vzpostavite sledljivost prek Izjave o uporabnosti
Sistem upravljanja zasebnosti je pripravljen na presojo, ko lahko dokaže sledljivost. Zenith Blueprint, faza upravljanja tveganj, korak 13, Načrtovanje obravnave tveganj in Izjava o uporabnosti, opisuje Izjavo o uporabnosti kot povezovalni dokument:
“SoA je v praksi povezovalni dokument: povezuje vašo oceno/obravnavo tveganj z dejanskimi kontrolami, ki jih imate. Z njeno izpolnitvijo hkrati ponovno preverite, ali ste spregledali katero kontrolo.”
Ta koncept je osrednji za pripravljenost na ISO/IEC 27701:2025, ISO/IEC 29151:2022, GDPR, NIS2 in DORA. Vsaka kontrola za osebno določljive podatke mora biti sledljiva od zahteve do tveganja, od tveganja do kontrole, od kontrole do lastnika, od lastnika do dokazila in od dokazila do pregleda.
| Element sledljivosti | Primer za osebno določljive podatke v podpori strankam | Pričakovana dokazila |
|---|---|---|
| Sredstvo z osebno določljivimi podatki | Platforma za podporne zahtevke z imeni strank, e-pošto, dnevniki in priponkami | Vnos v register sredstev, lastnik, lokacija v oblaku, razvrstitev |
| Namen obdelave | Podpora strankam in diagnostika storitve | Register obdelave, pravna podlaga, rok hrambe |
| Scenarij tveganja | Podporni agent ali razvijalec dostopa do prevelike količine podatkov strank | Vnos v register tveganj, verjetnost, vpliv, lastnik |
| Izbor kontrol | 5.34 zaščita osebno določljivih podatkov, 5.18 pravice dostopa, 8.11 maskiranje, 8.15 beleženje, 5.23 upravljanje storitev v oblaku | SoA, politika dostopa, standard maskiranja, konfiguracija beleženja |
| Operativna dokazila | Dostop na podlagi vlog, maskirani izvozi, četrtletni pregled pravic dostopa, opozarjanje pri množičnih prenosih | Zapisi pregledov pravic dostopa, opozorila DLP, dnevniki, dokazila v zahtevkih |
| Regulativna preslikava | Odgovornost in varnost po GDPR, upravljanje tveganj po NIS2, IKT-tveganja in zahteve za dobavitelje po DORA | Matrika skladnosti, odzivni priročnik za incidente, register pogodb z dobavitelji |
| Dokazila o pregledu | Ugotovitev notranje presoje zaprta, ukrep vodstvenega pregleda sprejet | Poročilo o presoji, korektivni ukrep, zapisnik vodstvenega pregleda |
ISO/IEC 27005:2022 podpira ta pristop na podlagi tveganj s poudarkom na zahtevah zainteresiranih strani, skupnih merilih tveganja, odgovornih lastnikih tveganj, ponovljivi oceni tveganja, obravnavi tveganja, izboru kontrol, uskladitvi z Izjavo o uporabnosti, odobritvi preostalega tveganja, spremljanju in nenehnem izboljševanju. Zaščita osebno določljivih podatkov mora biti živ cikel tveganj, ne enkratna dokumentacijska vaja za GDPR.
Odpravite tvegano preglednico in predprodukcijsko podatkovno bazo
Sarin incident se lahko spremeni v ponovljiv paket kontrol, če se sanacija izvede sistematično.
| Korak | Ukrep | Rezultat dokazil Clarysec |
|---|---|---|
| 1 | Predprodukcijsko podatkovno bazo in preglednico registrirajte kot sredstva z osebno določljivimi podatki | Vnosi v evidenco sredstev z lastnikom, lokacijo, razvrstitvijo, kategorijami osebno določljivih podatkov, namenom in hrambo |
| 2 | Posodobite dejavnost obdelave | Vnos v register, ki prikazuje kategorije podatkov, pravno podlago, namen in rok hrambe |
| 3 | Razvrstite datoteke in podatkovne nize | Privzeto uporabljena razvrstitev zaupno ali višja, dokler ni opravljen formalni pregled |
| 4 | Odstranite resnične osebno določljive podatke iz neprodukcijskih okolij | Maskiran ali psevdonimiziran podatkovni niz, ustvarjen iz odobrenih predlog preoblikovanja |
| 5 | Omejite in pregledajte dostop | Dovoljenja na podlagi potrebe po seznanitvi, preklican prekomeren dostop, zapis pregleda pravic dostopa |
| 6 | Zaščitite logiko preoblikovanja in ključe | Šifriran, z nadzorom dostopa omejen in beležen dostop do ključev |
| 7 | Centralno zajemite dokazila | Zapis sredstva, vnos tveganja, pregled dostopa, dokazilo o izbrisu, odobritev maskiranja in zaprtje zahtevka |
| 8 | Posodobite SoA in načrt obravnave tveganja | Scenarij tveganja povezan s 5.34, 5.18, 8.11, 8.15, 8.10, 5.23 in kontrolami dobaviteljev |
| 9 | Odločite, ali je potrebna DPIA | DPIA ali dokumentirana utemeljitev odločitve pri obdelavi z visokim tveganjem |
| 10 | Zabeležite pridobljene izkušnje | Posodobljeno usposabljanje, pravila varnega razvoja, kontrole izvoza, spremljanje DLP in smernice za testne podatke |
Politika spremljanja presoje in skladnosti za SME Politika spremljanja presoje in skladnosti - SME določa:
“Vsa dokazila morajo biti shranjena v centralizirani presojni mapi.”
Iz razdelka ‘zahteve za izvajanje politike’, klavzula politike 6.2.1.
Politika informacijske varnosti Politika informacijske varnosti širše pričakovanje glede presoje izraža izrecno:
“Vse uvedene kontrole morajo biti preverljive, podprte z dokumentiranimi postopki in ohranjenimi dokazili o delovanju.”
Iz razdelka ‘zahteve za izvajanje politike’, klavzula politike 6.6.1.
Ti dve klavzuli sta razlika med tem, da kontrolo imate, in tem, da jo lahko dokažete.
Medokvirna preslikava za en nabor kontrol za osebno določljive podatke
Zaščito osebno določljivih podatkov je lažje zagovarjati, kadar je preslikana med okviri, preden to zahteva presojevalec.
| Tema zaščite osebno določljivih podatkov | Relevantnost za GDPR | Relevantnost za ISO/IEC 27001:2022, ISO/IEC 27701:2025 in ISO/IEC 29151:2022 | Relevantnost za NIS2 | Relevantnost za DORA | Presojni pogled NIST in COBIT 2019 |
|---|---|---|---|---|---|
| Popis osebno določljivih podatkov in register obdelave | Odgovornost, pravna podlaga, omejitev namena, omejitev hrambe | Kontekst ISMS, 5.9 evidenca sredstev, upravljanje informacij o zasebnosti, zaščita osebno določljivih podatkov | Upravljanje sredstev in analiza tveganja | Zavedanje o sredstvih IKT ter odvisnostih storitev | Dokazila funkcije Prepoznaj in upravljanje informacijskih sredstev |
| Pravice dostopa in načelo najmanjših privilegijev | Celovitost in zaupnost, dostop omejen glede na vlogo | 5.15 nadzor dostopa, 5.16 upravljanje identitet, 5.18 pravice dostopa, 8.2 pravice privilegiranega dostopa | Nadzor dostopa, kadrovska varnost, avtentikacija | Kontrole IKT-tveganj in nadzor privilegiranega dostopa | Uveljavljanje dostopa, lastništvo, odgovornost in spremljanje |
| Maskiranje in psevdonimizacija | Najmanjši obseg podatkov, varstvo podatkov že pri načrtovanju, varnost obdelave | 5.12 razvrščanje, 5.34 zaščita osebno določljivih podatkov, 8.11 maskiranje podatkov, 8.33 testne informacije | Kibernetska higiena in varen razvoj | Varno testiranje, zmanjševanje izgube podatkov, operativna odpornost | Testiranje tehničnih varovalnih ukrepov in zanesljivo delovanje kontrol |
| Razvrščanje incidentov in poročanje | Ocena in obveščanje o kršitvi varnosti osebnih podatkov | Načrtovanje incidentov, ocena dogodkov, odziv, zbiranje dokazov | Zgodnje opozorilo v 24 urah, obvestilo v 72 urah, končno poročilo | Razvrščanje in poročanje o večjih incidentih, povezanih z IKT | Merila za eskalacijo, dnevniki odločitev, temeljni vzrok, sanacija |
| Obdelava pri dobaviteljih in v oblaku | Obveznosti obdelovalca, prenosi, pogodbe | 5.21 dobavna veriga IKT, 5.23 storitve v oblaku, 5.31 pravne in pogodbene zahteve | Varnost dobavne verige | Tveganje tretjih oseb na področju IKT, pravice do presoje, izstop in prehod | Upravljanje tretjih oseb, zagotavljanje zaupanja in odgovornost vodstva |
Tu je Zenith Controls posebej uporaben. Za 5.34 preslika zaščito osebno določljivih podatkov na evidenco sredstev, maskiranje podatkov in upravljanje storitev v oblaku. Za 8.11 preslika maskiranje na razvrščanje, zaščito zasebnosti in testne informacije. Za 5.18 preslika pravice dostopa na nadzor dostopa, upravljanje identitet in privilegirani dostop. Ta razmerja ekipi omogočajo pojasniti ne le, da kontrola obstaja, temveč tudi, zakaj obstaja in katere sosednje kontrole morajo delovati skupaj z njo.
Kako različni presojevalci testirajo isto kontrolo za osebno določljive podatke
Ena sama kontrola, na primer 8.11 Maskiranje podatkov, bo pregledana različno glede na presojni pogled.
| Vrsta presojevalca | Primarni poudarek | Dokazila, ki jih bo pričakoval |
|---|---|---|
| Presojevalec ISO/IEC 27001:2022 in ISO/IEC 27701:2025 | Integracija ISMS in PIMS, obravnava tveganja, točnost SoA | Ocena tveganja, vnos SoA, politika maskiranja, evidence sprememb, rezultati notranje presoje |
| Pregledovalec po GDPR ali nadzorni organ za varstvo podatkov | Varstvo podatkov že pri načrtovanju, najmanjši obseg podatkov, odgovornost | Register obdelave, pravna podlaga, DPIA, dokazila o psevdonimizaciji, logika hrambe |
| Ocenjevalec po NIS2 | Varen razvoj, preprečevanje incidentov, upravljanje | Postopek varnega razvoja, usposabljanje razvijalcev, dokazila o sanaciji incidenta, pregled učinkovitosti kontrol |
| Stranka ali presojevalec po DORA | Digitalna operativna odpornost IKT in tveganje tretjih oseb | Dokazila o testiranju kritičnih aplikacij, pogodbene klavzule z dobavitelji, obveznosti podpore pri incidentih, načrtovanje obnovitve in izstopa |
| Pregledovalec po NIST ali COBIT 2019 | Zasnova kontrol, delovanje, lastništvo, spremljanje | Lastnik kontrole, kazalniki, repozitorij dokazil, poročanje vodstvu, korektivni ukrepi |
Presojevalec ISO/IEC 27001:2022 začne z logiko sistema upravljanja. Ali so osebno določljivi podatki znotraj obsega? Ali so zahteve zainteresiranih strani identificirane? Ali so tveganja za zasebnost ocenjena z opredeljenimi merili? Ali so kontrole izbrane z obravnavo tveganj? Ali je SoA točna? Ali notranje presoje in vodstveni pregledi zajemajo kontrole, povezane z osebno določljivimi podatki?
Pregledovalec zasebnosti začne z odgovornostjo. Kateri osebni podatki se obdelujejo? Kakšna je pravna podlaga? Ali so posamezniki, na katere se nanašajo osebni podatki, obveščeni? Ali je obdelava omejena na določen namen? Ali so dejavnosti z visokim tveganjem ocenjene? Ali so obdelovalci upravljani?
Ocenjevalec, osredotočen na NIS2, začne z upravljanjem in obvladovanjem kibernetskih tveganj. Ali vodstvo odobrava in nadzoruje ukrepe? Ali so obravnava incidentov, neprekinjeno poslovanje, varnost dobaviteljev, nadzor dostopa, upravljanje sredstev, varen razvoj in ocena učinkovitosti kontrol integrirani?
Stranka ali presojevalec po DORA sprašuje, ali je upravljanje IKT-tveganj dokumentirano, upravljano na ravni upravnega odbora, sorazmerno in podprto s pogodbami. Če se osebno določljivi podatki obdelujejo v storitvah, ki podpirajo finančne subjekte, pričakujte vprašanja o pomoči pri incidentih, lokacijah obdelave podatkov, obnovitvi, pravicah do presoje, ravneh storitev, prenehanju in izstopu.
Pregledovalec po COBIT 2019 ali pristopu ISACA preverja usklajenost upravljanja. Kdo je lastnik tveganja osebno določljivih podatkov? Kateri organ upravljanja prejema poročila? Ali so odgovornosti dodeljene? Ali so dobavitelji spremljani? Ali se odstopanja spremljajo? Ali se kazalniki uporabljajo pri odločanju? Ali je preostalo tveganje formalno sprejeto?
En model dokazil lahko zadosti vsem tem pogledom, vendar le, če je kontrolni sistem že od začetka zasnovan za sledljivost.
Pogoste ugotovitve presoje v programih zaščite osebno določljivih podatkov
Organizacije, ki se pripravljajo na ISO/IEC 27701:2025 ali ISO/IEC 29151:2022 brez integriranega nabora orodij, pogosto naletijo na iste ugotovitve.
| Ugotovitev | Zakaj je pomembna | Sanacija s Clarysec |
|---|---|---|
| Popis osebno določljivih podatkov izključuje dnevnike, varnostne kopije, analitične izvoze ali podporne priponke | Skritih osebno določljivih podatkov ni mogoče zanesljivo zaščititi ali izbrisati | Razširite evidenco sredstev iz koraka 9 in register obdelave na vse lokacije osebno določljivih podatkov |
| Testna okolja uporabljajo produkcijske podatke | Resnični osebno določljivi podatki so izpostavljeni tam, kjer niso potrebni | Uveljavite politiko maskiranja in odobrene predloge preoblikovanja |
| Pregledi pravic dostopa so splošni in se ne osredotočajo na repozitorije osebno določljivih podatkov | Prekomeren dostop ostane nezaznan | Preslikajte 5.18 pravice dostopa na lastnike sredstev z osebno določljivimi podatki in dokazila o periodičnih pregledih |
| Pravna podlaga je dokumentirana, vendar ni povezana s sistemi ali hrambo | Odgovornosti po GDPR ni mogoče dokazati | V register obdelave in evidenco sredstev dodajte polja za pravno podlago in hrambo |
| Pogodbe z dobavitelji ne vsebujejo lokacije podatkov, pomoči pri incidentih, pravic do presoje ali določil o izstopu | Vrzel v zagotovilu glede dobaviteljev po DORA, NIS2 in GDPR ostaja | Uskladite skrbni pregled dobaviteljev in pogodbe z upravljanjem tretjih oseb IKT in storitev v oblaku |
| Odzivni priročniki za incidente ne razlikujejo varnostnih incidentov od kršitev varnosti osebnih podatkov | Roki poročanja so lahko zamujeni | Vzpostavite drevesa razvrščanja za sprožilce poročanja po GDPR, NIS2 in DORA |
| Dokazila so razpršena po zahtevkih, pogonih, posnetkih zaslona in e-pošti | Pripravljenost na presojo odpove, tudi kadar kontrole delujejo | Uporabite centralizirane presojne mape in standarde poimenovanja dokazil |
Te ugotovitve niso administrativne težave. So težave operativnega modela. ISO/IEC 27701:2025 in ISO/IEC 29151:2022 jih ne bosta odpravila, če upravljanje zasebnosti, varnostne kontrole in upravljanje dokazil niso vgrajeni v običajne delovne tokove.
Kaj naj vodstvo vpraša pred naslednjo presojo
Pred prizadevanji za pripravljenost na ISO/IEC 27701:2025, uvedbo ISO/IEC 29151:2022 ali oceno stranke po GDPR, NIS2 ali DORA naj vodstvo zastavi deset neposrednih vprašanj:
- Ali imamo popoln register dejavnosti obdelave osebno določljivih podatkov, vključno s kategorijami podatkov, namenom, pravno podlago in hrambo?
- Ali so sredstva z osebno določljivimi podatki označena v evidenci sredstev, vključno z dnevniki, varnostnimi kopijami, izvozi, analitičnimi orodji in podpornimi priponkami?
- Ali se razvrstitve podatkov dodelijo ob ustvarjanju ali uvajanju, pri čemer se nepregledana sredstva privzeto obravnavajo kot zaupna?
- Ali lahko dokažemo, da je dostop do osebno določljivih podatkov omejen na pooblaščene uporabnike s potrebo po seznanitvi?
- Ali razvojna, testna in predprodukcijska okolja uporabljajo maskirane ali psevdonimizirane podatke namesto resničnih osebnih podatkov?
- Ali so predloge maskiranja odobrene, ključi zaščiteni, dostop nadzorovan in zabeležen?
- Ali SoA povezuje tveganja osebno določljivih podatkov s kontrolami in regulativnimi obveznostmi?
- Ali so pogodbe za storitve v oblaku in dobavitelje pregledane glede lokacije podatkov, varnosti, podpore pri incidentih, pravic do presoje, obnovitve in izstopa?
- Ali lahko naš proces incidentov razvrsti kršitve varnosti osebnih podatkov po GDPR, pomembne incidente po NIS2 in večje incidente, povezane z IKT, po DORA?
- Ali so dokazila shranjena centralno in hranjena tako, da jim lahko presojevalec sledi?
Če je odgovor na katero koli od teh vprašanj nejasen, organizacija še ni pripravljena na presojo.
Poskrbite, da bo zaščita osebno določljivih podatkov dokazljiva
Sarin pozni incident bi se lahko spremenil v razdrobljeno lovljenje skladnosti. Namesto tega lahko postane izhodišče za močnejši operativni model: ISMS po ISO/IEC 27001:2022, razširjen na zasebnost prek ISO/IEC 27701:2025, okrepljen s praksami ISO/IEC 29151:2022 in preslikan na GDPR, NIS2, DORA, zagotovila po NIST in pričakovanja upravljanja COBIT 2019.
To je resnična vrednost na presojo pripravljene zaščite osebno določljivih podatkov. Ne temelji na tem, da pravo preglednico najdete tik pred prihodom presojevalca. Temelji na sistemu, ki že ve, kje so osebno določljivi podatki, zakaj obstajajo, kako so zaščiteni, kdo je odgovoren, kateri dobavitelji so vključeni in kje so dokazila.
Za strukturiranje uvedbe začnite z Zenith Blueprint: 30-koračni načrt presojevalca Zenith Blueprint. Uporabite Zenith Controls: vodnik za medokvirno skladnost Zenith Controls za preslikavo zaščite osebno določljivih podatkov prek ISO/IEC 27001:2022, GDPR, NIS2, DORA, zagotovil po NIST in pričakovanj upravljanja COBIT 2019. Delo operacionalizirajte s politikami Clarysec, vključno s Politiko varstva podatkov in zasebnosti Politika varstva podatkov in zasebnosti, Politiko maskiranja podatkov in psevdonimizacije Politika maskiranja podatkov in psevdonimizacije, Politiko klasifikacije in označevanja podatkov Politika klasifikacije in označevanja podatkov, Politiko spremljanja presoje in skladnosti za SME Politika spremljanja presoje in skladnosti - SME ter Politiko informacijske varnosti Politika informacijske varnosti.
Če se približuje vaša naslednja presoja stranke, pregled po GDPR, projekt pripravljenosti na NIS2 ali ocena dobavitelja po DORA, ne čakajte, da vrzeli razkrije kršitev. Prenesite nabore orodij Clarysec, zahtevajte predstavitev ali načrtujte oceno zaščite osebno določljivih podatkov ter vzpostavite program zasebnosti, ki ni le skladen, temveč tudi zagovorljiv.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
