Testiranje kontrol zasebnosti ISO 27701 za odgovornost po GDPR

Petkova presoja zasebnosti, ki je razkrila pravo težavo
Petek je, ura je 15:40, ko se Maria, vodja informacijske varnosti hitro rastočega podjetja SaaS, pridruži videoklicu z vodjo nabave pri velikem potencialnem poslovnem naročniku.
Njena ekipa je več mesecev delala na sistemu upravljanja informacij o zasebnosti. Politike so odobrene. Evidenca dejavnosti obdelave obstaja. Podjetje ima pripravljen načrt za ISO 27701. Pooblaščena oseba za varstvo podatkov (DPO) ima vzpostavljene delovne tokove za zahteve posameznikov glede njihovih podatkov. Pravna služba je posodobila pogodbe o obdelavi osebnih podatkov. Inženiring potrjuje, da je dostop do produkcije omejen.
Vodja nabave začne vljudno, vendar neposredno.
»Hvala za dokumentacijo, Maria. Certifikat in paket politik sta dobro izhodišče. Naša ekipa za skrbni pregled bo naslednji mesec pri vas. Želeli bodo videti vaš postopek DSAR v praksi, preveriti kontrole najmanjšega obsega podatkov na naših testnih računih, pregledati dnevnike dostopa do produkcije in pregledati dokazila, da so kontrole zasebnosti testirane, ne le dokumentirane.«
V nekaj minutah Maria prejme še dve sporočili.
DPO vpraša, ali novo analitično funkcionalnost zajemajo evidenca dejavnosti obdelave, presoja pravne podlage, rok hrambe in prenesene obveznosti obdelovalca.
Vodja skladnosti vpraša, ali lahko pregled pripravljenosti na ISO 27701:2025 dokaže, da kontrole PIMS učinkovito delujejo.
To je trenutek, ko se številni programi zasebnosti zamajejo. Organizacija ima dokumente o zasebnosti, nima pa dokazil o zasebnosti. Ima delovne tokove, nima pa dokazil na podlagi vzorcev. Ima pogodbe, vendar šibke evidence spremljanja. Ima notranje zaupanje, nima pa zagovorljive revizijske sledi.
Ta vrzel je razlika med skladnostjo na papirju in dokazljivo odgovornostjo.
GDPR težavo opredeli izrecno. Upravljavec je odgovoren za skladnost z načeli varstva podatkov in mora biti sposoben to skladnost dokazati. Osebni podatki morajo biti obdelani zakonito, pošteno in pregledno, za določene namene, omejeni na nujno potrebno, točni, hranjeni le toliko časa, kolikor je potrebno, ter zavarovani z ustreznimi tehničnimi in organizacijskimi ukrepi.
ISO 27701:2025 organizacijam zagotavlja strukturo upravljanja zasebnosti. ISO/IEC 27001:2022 zagotavlja hrbtenico ISMS za obseg, obravnavo tveganj, operativni nadzor, notranjo presojo, vodstveni pregled in nenehno izboljševanje. GDPR dodaja pravno breme dokazovanja odgovornosti. NIS2, DORA, NIST CSF 2.0, zagotovila po pristopu COBIT 2019 in varnostni pregledi naročnikov povečujejo pritisk, da je treba dokazati, da kontrole delujejo.
Stališče Clarysec je preprosto: testiranje kontrol zasebnosti ne sme biti letno hitenje za posnetki zaslona. Biti mora sistem dokazil PIMS, ki dejavnosti obdelave, uporabljive kontrole, tveganja, vzorce, tehnična preverjanja, ugotovitve, CAPA in vodstveni pregled poveže v en sledljiv model.
Prav tu nabor politik PIMS Clarysec, Zenith Blueprint: An Auditor’s 30-Step Roadmap in Zenith Controls: The Cross-Compliance Guide postanejo operativna orodja, ne gradivo za knjižno polico.
Testiranje kontrol zasebnosti je most med politiko in odgovornostjo
Test kontrole zasebnosti odgovori na tri praktična vprašanja:
- Ali je kontrola zasnovana tako, da izpolni obveznost glede zasebnosti ali zmanjša tveganje za zasebnost?
- Ali je kontrola implementirana v ustreznem procesu, sistemu, ekipi, pri dobavitelju ali v delovnem toku produkta?
- Ali kontrola skozi čas učinkovito deluje, z dokazili, ki bi zadovoljila presojevalca, naročnika, regulatorja ali odbor upravnega odbora?
Podjetje SaaS lahko navede, da podpira zahteve za izbris. Test zasnove preveri, ali so opredeljeni politika izbrisa, postopek preverjanja identitete, model lastništva, koordinacija z obdelovalci, izjeme pri hrambi in obravnava varnostnih kopij. Test učinkovitosti delovanja vzorči zaključene zahteve za izbris, primerja časovne žige, preveri odobritve, pregleda sistemske dnevnike, preveri obvestila nadaljnjim obdelovalcem in potrdi dokazila o zaključku.
Politika spremljanja, presoje in izboljševanja PIMS to pretvori v preverljivo zahtevo:
[Oboje] Notranji presojevalec / pregledovalec skladnosti MORA med vsako presojo PIMS testirati stanje implementacije uporabljivih kontrol PIMS glede na REG03.
Iz razdelka »program notranjih presoj PIMS«, klavzula politike 4.2.5.
Besedna zveza »glede na REG03« je ključna. Testiranje ni prosto oblikovan intervju. REG03 deluje kot referenca za uporabljivost in implementacijo kontrol PIMS. Prikazuje, kaj se uporablja, zakaj se uporablja in katera dokazila bi morala obstajati.
Ista politika dodaja:
[Oboje] Notranji presojevalec / pregledovalec skladnosti MORA med vsako presojo PIMS v REG12 evidentirati izbrani vzorec dokazil o obdelavi osebnih podatkov.
Iz razdelka »program notranjih presoj PIMS«, klavzula politike 4.2.6.
To je jedro testiranja kontrol zasebnosti po ISO 27701:2025. Presoja PIMS brez vzorca je pogovor. Presoja PIMS z izbranimi dokazili, preslikavo kontrol, izjemami, korektivnimi ukrepi in sledljivostjo do vodstvenega pregleda je odgovornost.
Začnite z obsegom, vlogo in dejansko obdelavo
Večina šibkih presoj zasebnosti odpove še pred začetkom testiranja. Izberejo generične kontrole, ne da bi potrdile, kateri osebni podatki se obdelujejo, kje se nahajajo, kateri sistemi in dobavitelji jih uporabljajo ter ali organizacija nastopa kot upravljavec, obdelovalec, skupni upravljavec ali podobdelovalec.
Obveznosti po GDPR so močno odvisne od vloge. Upravljavec, ki odloča, zakaj in kako se osebni podatki obdelujejo, ima drugačne obveznosti kot obdelovalec, ki ravna po dokumentiranih navodilih naročnika. Pomembna je tudi občutljivost podatkov. Podatki zaposlenih, podatki uporabniških računov strank, telemetrija, finančni podatki, biometrično preverjanje, zdravstveni podatki, preverjanje sankcij in podatki o kaznivih dejanjih nimajo enakega tveganja.
Močan program testiranja po ISO 27701:2025 se začne z discipliniranim določanjem obsega.
| Vprašanje glede obsega | Dokazila za pregled | Zakaj je pomembno |
|---|---|---|
| Katere dejavnosti obdelave osebnih podatkov so v obsegu? | Evidenca dejavnosti obdelave, zemljevid tokov podatkov, popis sistemov, evidenca dobaviteljev | Testiranje mora vzorčiti dejansko obdelavo, ne abstraktnih izjav v politikah |
| Katera vloga PIMS velja? | Preslikava upravljavca, obdelovalca, skupnega upravljavca in podobdelovalca | Obveznosti po GDPR in kontrole PIMS se razlikujejo glede na vlogo |
| Katere pravne, pogodbene in regulativne obveznosti veljajo? | Presoja GDPR, pogodbe DPA z naročniki, sektorska pravila, ocene prenosov | Zasnova kontrol mora odražati dejanske obveznosti |
| Kateri sistemi in dobavitelji obdelujejo osebne podatke? | Evidenca sredstev, popis storitev v oblaku, seznam obdelovalcev, matrika dostopov | Testi delovanja potrebujejo tehnična dokazila in dokazila tretjih oseb |
| Katere spremembe vplivajo na obdelavo osebnih podatkov? | Zapisi o spremembah produkta, sprožilci DPIA, opombe ob izdaji, pregledi arhitekture | Vgrajeno varstvo zasebnosti je treba testirati pred uvedbo, ne po pritožbah |
ISO/IEC 27001:2022 podpira ta integrirani pristop z zahtevami glede konteksta organizacije, zahtev zainteresiranih strani, pravnih in pogodbenih obveznosti, obsega sistema upravljanja, operativnega načrtovanja in obravnave tveganj. Za zasebnost to pomeni, da obdelava osebnih podatkov ne sme obstajati v ločeni preglednici. Biti mora del operativnega modela ISMS in PIMS.
Politika sistema upravljanja informacij o zasebnosti testiranje zasebnosti neposredno poveže z upravljanjem:
[Vsi] Najvišje vodstvo MORA letno v REG12 pregledati uspešnost PIMS, cilje zasebnosti, odprta tveganja, neskladnosti, korektivne ukrepe in odločitve o izboljšavah.
Iz razdelka »upravljanje PIMS«, klavzula politike 6.1.1.
Če testiranje ugotovi vrzel v zasebnosti, to ni le opomba presoje. Je vhod v sistem upravljanja, ki mora vplivati na obravnavo tveganj, prioritete, vire in odločitve vodstva.
Učinkovitost zasnove v primerjavi z učinkovitostjo delovanja
Ko naročnik vpraša, ali so kontrole zasebnosti testirane, običajno misli na učinkovitost delovanja. Presojevalci pa bodo preverili tudi učinkovitost zasnove.
Kontrola z učinkovito zasnovo je sposobna izpolniti zahtevo, če se izvede, kot je predvideno. Kontrola z učinkovitim delovanjem se dejansko izvaja dosledno in je podprta z dokazili.
| Področje kontrole | Test učinkovitosti zasnove | Test učinkovitosti delovanja |
|---|---|---|
| Zajem privolitve | Preverite politiko, besedilo privolitve, pravila pravne podlage, zahteve uporabniškega vmesnika, delovni tok umika privolitve | Vzorčite evidence privolitev in umike, primerjajte časovne žige, preverite izključitev po umiku |
| Omejitev namena | Preglejte evidenco dejavnosti obdelave, obvestilo o zasebnosti, zahteve produkta, ločevanje privolitev, pravila uporabe podatkov | Vzorčite uporabniške zapise, dnevnike, izvoze in analitične tokove, da potrdite, da se osebni podatki ne uporabljajo znova za neodobrene namene |
| Dostop do osebnih podatkov | Preglejte politiko dostopa, model vlog, postopek za novozaposlene, premeščene in odhajajoče zaposlene ter odobritveni delovni tok | Vzorčite uporabnike z dostopom do osebnih podatkov, preverite odobritev, poslovno potrebo, MFA in nedavni pregled pravic dostopa |
| Uvajanje obdelovalcev | Preglejte merila skrbnega pregleda, klavzule DPA, pravila za podobdelovalce in zaščitne ukrepe za prenose | Vzorčite obdelovalca, pregledajte presojo, pogodbo, varnostni pregled in dokazila o spremljanju podobdelovalcev |
| Hramba in izbris | Preglejte rok hrambe, pravila za izjeme, postopek izbrisa in zmogljivost sistema | Vzorčite izbrisane zapise ali zahteve za izbris, pregledajte dnevnike, zahtevke in potrditve obdelovalcev |
| Obravnava kršitev | Preglejte razvrščanje incidentov, eskalacijo zasebnosti in merila za obveščanje nadzornih organov | Vzorčite zapise incidentov, preverite triažo, utemeljitev odločitve, obvestila in pridobljene izkušnje |
Politika spremljanja presoje in skladnosti namen navede neposredno:
Validirati učinkovitost varnostnih kontrol in kontrol zasebnosti
Iz razdelka »Namen«, klavzula politike 1.1.1.
Različica za MSP ohranja isto načelo zagotavljanja zaupanja v operativnem jeziku. Politika spremljanja presoje in skladnosti - MSP določa:
Ta politika določa pristop organizacije k izvajanju notranjih presoj, pregledov varnostnih kontrol in spremljanju skladnosti. Zagotavlja, da so vse kontrole, politike, sistemi in izvajalci storitev predmet rednega in strukturiranega pregleda.
Iz razdelka »Namen«, klavzula politike 1.1.
Pripravljenost na ISO 27701 ni odvisna od velikosti podjetja. Obdelovalec SaaS s 30 zaposlenimi morda ne potrebuje enakih orodij za presojo kot globalna banka, vendar mora še vedno dokazati, da so dostop, izbris, eskalacija incidentov, upravljanje podobdelovalcev in hramba dokazil pod nadzorom.
Veriga dokazil Clarysec: REG03, REG12, CAPA in pregled
Clarysec strukturira testiranje kontrol zasebnosti okoli preproste verige dokazil.
REG03 določa uporabljive kontrole PIMS in stanje implementacije. REG12 evidentira vzorce, dokazila, ugotovitve, vrzeli v sledljivosti, preverjanje korektivnih ukrepov in vhode za vodstveni pregled. Zapisi CAPA ugotovitve pretvorijo v izboljšave, utemeljene na temeljnem vzroku. Najvišje vodstvo pregleduje uspešnost PIMS, tveganja, neskladnosti, korektivne ukrepe in odločitve o izboljšavah.
Politika dokumentiranih informacij in upravljanja dokazil PIMS zahteva zajem težav s kakovostjo dokazil:
[Vsi] Notranji presojevalec / pregledovalec skladnosti MORA med vsako načrtovano presojo ali pregledom skladnosti v REG12 evidentirati vrzeli v popolnosti, točnosti ali sledljivosti dokazil.
Iz razdelka »ustvarjanje, poimenovanje in kakovost dokazil«, klavzula politike 4.3.4.
To je pomembno, ker vsaka ugotovitev ni popolna odpoved kontrole. Včasih je kontrola delovala, vendar so dokazila nepopolna. Včasih je zahtevek za izbris zaključen, vendar noben sistemski dnevnik ne dokazuje izbrisa. Včasih evidenca dejavnosti obdelave navaja CRM, vendar izpusti izvoz v podatkovno skladišče. Včasih pogodba z dobaviteljem obstaja, vendar ni tekočega spremljanja.
Politika spremljanja presoje in skladnosti zahteva tudi strukturirane notranje presoje:
Notranje presoje morajo slediti dokumentiranemu postopku, ki vključuje:
Iz razdelka »zahteve za implementacijo politike«, klavzula politike 6.1.1.
In kadar pride do ugotovitev:
Vse ugotovitve morajo voditi v dokumentiran CAPA, ki vključuje:
Iz razdelka »zahteve za implementacijo politike«, klavzula politike 6.2.1.
Politika upravljanja tveganj - MSP krepi disciplino zaključevanja:
Dokončanje in učinkovitost ukrepov obravnave tveganja morata biti preverjena.
Iz razdelka »zahteve za implementacijo politike«, klavzula politike 6.3.2.
Politika spremljanja, presoje in izboljševanja PIMS zapre zanko:
[Vsi] Notranji presojevalec / pregledovalec skladnosti MORA v REG12 preveriti učinkovitost korektivnega ukrepa v 30 dneh od sporočenega zaključka korektivnega ukrepa.
Iz razdelka »neskladnost in korektivni ukrep«, klavzula politike 4.4.7.
To je razlika med odpravo zahtevka in izboljšanjem sistema upravljanja.
Praktični test 1: zahteve za izbris in odgovornost po GDPR
Zahteve za izbris so eden najjasnejših načinov za testiranje, ali odgovornost za zasebnost deluje v praksi.
Predpostavimo, da srednje veliko podjetje SaaS nastopa kot upravljavec in obdelovalec. Upravlja podatke zaposlenih, trženjske podatke in podatke za obračun. V imenu poslovnih naročnikov obdeluje podatke končnih uporabnikov naročnikov. Organizacija želi testirati, ali so kontrole izbrisa pripravljene za presojo ISO 27701:2025 in zagotavljanje zaupanja naročnikom glede GDPR.
Korak 1: Izberite dejavnost obdelave iz REG03
Izberite dejavnost obdelave z dejanskim tveganjem za zasebnost, na primer »podatki profilov končnih uporabnikov naročnikov, obdelani na platformi SaaS«. Potrdite, ali organizacija nastopa kot upravljavec, obdelovalec ali oboje. Določite povezane kontrole za obravnavo zahtev za uveljavljanje pravic, preverjanje navodil obdelovalcu, hrambo, izbris, nadzor dostopa, beleženje, obravnavo varnostnih kopij in koordinacijo z dobavitelji.
Korak 2: Določite natančen testni cilj
Uporaben testni cilj je konkreten in usmerjen v dokazila:
»Preveriti, da so zahteve za izbris podatkov profilov končnih uporabnikov naročnikov prejete, avtenticirane ali preverjene glede navodil, izvedene v opredeljenem delovnem toku, zabeležene, tehnično zaključene v produkcijskih sistemih, po potrebi posredovane ustreznim podobdelovalcem in zaključene z dokazili.«
Korak 3: Vzemite reprezentativen vzorec
Izberite pet zahtev za izbris iz zadnjega četrtletja. Vključite eno rutinsko zahtevo, eno zahtevo, ki vključuje administratorja naročnika, eno zahtevo po navodilu obdelovalcu, eno zahtevo z izjemo glede hrambe in eno zahtevo, ki se nanaša na obravnavo varnostnih kopij.
Zenith Blueprint v fazi Audit, Review & Improvement, korak 26: Audit Execution, poudarja vzorčenje in zbiranje dokazil:
✓ Opravite razgovor z ustreznim osebjem: osebe, odgovorne za procese, prosite, naj pojasnijo, kako izpolnjujejo zahteve. Na primer, lastnika tveganja vprašajte o zadnji oceni tveganja ali kadrovsko službo vprašajte, kako se novi zaposleni usposabljajo na področju varnosti (za pokritje kontrole 6.3 o ozaveščenosti).
✓ Preglejte dokumentacijo: preverite, da dokumenti in evidence obstajajo ter so ažurni.
✓ Opazujte prakse: če je mogoče, izvedite neposredno opazovanje.
✓ Vzorčite in izvedite naključne preglede: vsega ni mogoče preveriti, zato uporabite vzorčenje.
Iz faze Audit, Review & Improvement, korak 26: Audit Execution (Conducting an Internal Audit).
Korak 4: Preglejte dokazila za vsak vzorec
Za vsako vzorčeno zahtevo zberite sprejemni zahtevek, razvrstitev vloge, preverjanje identitete ali odobritev naročnika, sistemski dnevnik izbrisa, odločitev o izjemi glede hrambe, pojasnilo obravnave varnostnih kopij, obvestilo podobdelovalcu, zaključno komunikacijo, časovne žige in odobritev pregledovalca.
Korak 5: Evidentirajte rezultate v REG12
V REG12 evidentirajte vzorec, vir dokazil, rezultat kontrole, izjemo in vrzel v sledljivosti. Če je bil izbris izveden, vendar produkcijski dnevnik ne obstaja, je kontrola morda delovala, dokazila pa so šibka. Če je bila zahteva zakasnjena zaradi nejasne odgovornosti dobavitelja, se ugotovitev lahko nanaša na upravljanje tretjih oseb in pogodbene prenesene obveznosti.
Korak 6: Ustvarite CAPA in preverite učinkovitost
Če je temeljni vzrok nejasno lastništvo med podporo, pravno službo in inženiringom, lahko CAPA vključuje spremenjen delovni tok, posodobljen RACI, obvezna polja dokazil in mesečne vzorčne preglede izbrisov.
Zenith Blueprint v fazi Audit, Review & Improvement, korak 29, pojasnjuje pričakovanje glede zaključevanja:
Načrtujte, kako boste preverili učinkovitost vsakega korektivnega ukrepa. To lahko pomeni načrtovanje nadaljnje presoje ali preverjanja. Če je bil na primer vaš korektivni ukrep usposobiti IT osebje o nadzoru dostopa, lahko načrtujete pregled novih računov čez en mesec, da preverite, ali imajo vsi ustrezne odobritve (preverjanje).
Iz faze Audit, Review & Improvement, korak 29: Continual Improvement (Corrective Actions & Lessons Learned).
Pri izbrisu bi preverjanje lahko pomenilo vzorčenje naslednjih petih zahtev za izbris po uvedbi spremenjenega delovnega toka. Šele nato naj se CAPA zaključi.
Praktični test 2: omejitev namena in najmanjši obseg podatkov
Drugi test z visoko dodano vrednostjo je omejitev namena. To je posebej koristno pred skrbnim pregledom naročnika, uvedbo analitike, obogatitvijo z AI, širitvijo podatkovnega skladišča ali spremembami avtomatizacije trženja.
Mariina platforma SaaS zbira uporabniške podatke naročnikov za izvajanje storitve. Cilj kontrole je zagotoviti, da se osebni podatki uporabljajo samo za določene in legitimne namene ter se ne uporabijo znova za trženjsko analitiko, razen če je uporabnik dal izrecno, ločeno privolitev, kadar je to potrebno.
| Vrsta dokazil | Konkretni artefakti |
|---|---|
| Dokumentacija | Politika varstva podatkov in zasebnosti, evidenca dejavnosti obdelave, DPA z naročnikom, obvestila o zasebnosti, evidence upravljanja privolitev |
| Tehnična konfiguracija | Pravila ravnanja s podatki v aplikaciji, sheme podatkovnih baz, konfiguracije aplikacijskih programskih vmesnikov, nastavitve opravil ETL |
| Dnevniki in zapisi | Dnevniki dostopa do aplikacije, dnevniki poizvedb v podatkovni bazi, zgodovina sprememb privolitev, evidence izvozov za kampanje |
| Dokazila osebja | Razgovori z lastnikom produkta, vodilnim razvijalcem, administratorjem podatkovne baze in lastnikom zasebnosti |
Močan test delovanja se ne ustavi pri politiki. Vzorči uporabnike, ki so privolili v trženje, in uporabnike, ki niso. Sledi, ali se stanje privolitve pravilno odraža v ključnih aplikacijskih podatkovnih bazah, tabelah podatkovnega skladišča, orodjih za kampanje, nadzornih ploščah in izvozih. Če se uporabniki brez privolitve pojavijo v trženjski ciljni skupini, ima organizacija konkretno neskladnost.
Različica Politike spremljanja presoje in skladnosti za MSP poda pravo miselnost s primerom tehničnega testiranja:
Preverjanje tehničnih kontrol (npr. stanje varnostnega kopiranja, konfiguracija nadzora dostopa, evidence popravkov)
Iz razdelka »zahteve za implementacijo politike«, klavzula politike 6.1.1.2.
Za zasebnost preverjanje tehničnih kontrol vključuje preverjanje sinhronizacije privolitev, izvoze nadzora dostopa, dnevnike brisanja, nastavitve šifriranja, teste maskiranja podatkov, opozorila DLP, omejitve varnostnega kopiranja, dogodke spremljanja in dokazila dobaviteljev.
Preslikava testiranja zasebnosti na ISO/IEC 27001:2022 in navzkrižno skladnost Clarysec
Kontrole zasebnosti ne delujejo izolirano. Varstvo osebnih podatkov je odvisno od evidence sredstev, razvrščanja, nadzora dostopa, upravljanja storitev v oblaku, maskiranja podatkov, prenosa informacij, beleženja, spremljanja, izbrisa, zaščite zapisov, nadzora nad dobavitelji in neodvisnega pregleda.
V Zenith Controls: The Cross-Compliance Guide je kontrola ISO/IEC 27001:2022 Priloge A 5.34, Zasebnost in varstvo osebnih podatkov, preslikana kot preventivna kontrola, usklajena z zaupnostjo, celovitostjo in razpoložljivostjo, s konceptoma kibernetske varnosti Identify in Protect ter operativnimi zmožnostmi na področju varstva informacij ter prava in skladnosti.
Njena povezava z evidenco je neposredna:
Evidenca informacijskih sredstev (5.9) mora vključevati zbirke osebnih podatkov (podatkovne baze strank, kadrovske datoteke). To podpira 5.34, ker zagotavlja, da organizacija ve, katere osebne podatke ima in kje se nahajajo, kar je prvi korak k njihovemu varovanju.
Iz Zenith Controls, Zasebnost in varstvo osebnih podatkov, kontrola 5.34.
Za presojno testiranje to pomeni, da presojevalec zasebnosti ne sme začeti samo z obvestilom o zasebnosti. Začeti mora s popisom osebnih podatkov, evidenco dejavnosti obdelave, tokovi podatkov, evidenco sredstev in evidenco dobaviteljev. Če evidenca ni popolna, nadaljnje kontrole zasebnosti ne morejo biti v celoti zanesljive.
Vodnik kontrol ISO/IEC 27001:2022 Priloge A 5.34 preslika tudi na povezane kontrole, kot so 5.9 Evidenca informacij in drugih povezanih sredstev, 5.12 Razvrščanje informacij, 5.14 Prenos informacij, 5.15 Nadzor dostopa, 5.16 Upravljanje identitet, 5.23 Informacijska varnost pri uporabi storitev v oblaku, 5.33 Zaščita zapisov, 8.11 Maskiranje podatkov, 8.12 Preprečevanje uhajanja podatkov in 8.10 Izbris informacij.
Posebej pomembni sta še dve dodatni kontroli ISO/IEC 27001:2022 Priloge A:
| Kontrola ISO/IEC 27001:2022 | Pomen za testiranje zasebnosti | Primer dokazil |
|---|---|---|
| 5.34 Zasebnost in varstvo osebnih podatkov | Potrjuje, da so zahteve glede zasebnosti in varstva osebnih podatkov implementirane na podlagi zakonov, predpisov in pogodb | Evidenca dejavnosti obdelave, DPIA, evidence pravnih podlag, dokazila DSR, dnevniki hrambe |
| 5.35 Neodvisni pregled informacijske varnosti | Zagotavlja objektivno preveritev, da so varnostne ureditve, vključno s kontrolami, pomembnimi za zasebnost, neodvisno pregledane | Poročila notranjih presoj, rezultati zunanjih pregledov, vzorci REG12, zapisi CAPA |
| 5.36 Skladnost s politikami, pravili in standardi za informacijsko varnost | Potrjuje stalno skladnost z notranjimi pravili in standardi | Pregledi upoštevanja politik, preverjanja dostopa, rezultati spremljanja, dnevniki izjem |
Politika varstva podatkov in zasebnosti zahteva:
Notranja presoja skladnosti zasebnosti se mora izvesti letno ali ob večjih organizacijskih oziroma regulativnih spremembah. Obseg presoje mora vključevati:
Iz razdelka »zahteve upravljanja«, klavzula politike 5.4.
Dodatno vključuje:
Učinkovitost tehničnih in organizacijskih ukrepov
Iz razdelka »zahteve upravljanja«, klavzula politike 5.4.1.
Politika varstva podatkov in zasebnosti - MSP isto pričakovanje ohrani praktično:
Redne presoje zasebnosti ali preverjanja kontrol morajo biti izvedeni in evidentirani
Iz razdelka »zahteve upravljanja«, klavzula politike 5.3.3.
Zakaj je odgovornost po GDPR zdaj vprašanje kibernetskega upravljanja
Dokazil o zasebnosti ne zahtevajo več samo presojevalci zasebnosti. Ista dokazila lahko zahteva presojevalec ISO 27701:2025, presojevalec ISO/IEC 27001:2022, pregledovalec GDPR, pristojni organ po NIS2, naročnik, reguliran po DORA, ocenjevalec NIST CSF ali odbor za tveganja pri upravnem odboru.
NIS2 Article 21 od bistvenih in pomembnih subjektov zahteva uvedbo ustreznih in sorazmernih tehničnih, operativnih in organizacijskih ukrepov za upravljanje tveganj kibernetske varnosti. Article 21(2)(f) izrecno vključuje politike in postopke za presojo učinkovitosti ukrepov za upravljanje tveganj kibernetske varnosti. NIS2 določa tudi odgovornost organov upravljanja za odobritev in nadzor ukrepov za upravljanje tveganj kibernetske varnosti.
DORA se za finančne subjekte uporablja od 17. januarja 2025 in določa podroben okvir digitalne operativne odpornosti. Zahteva upravljanje tveganj IKT, nadzor organa upravljanja, notranjo revizijo, odpravo kritičnih ugotovitev, razvrščanje incidentov in poročanje, testiranje odpornosti, upravljanje tveganj tretjih ponudnikov storitev IKT, pogodbene kontrole, registre dogovorov o storitvah IKT in izhodne strategije. Ponudniki IKT, ki izvajajo storitve za finančne subjekte, morajo pričakovati zahteve po dokazilih, ki izhajajo iz DORA, prek zagotavljanja zaupanja naročnikom.
NIST CSF 2.0 zagotavlja uporaben prevajalni sloj. Njegova funkcija GOVERN pričakuje, da organizacije razumejo pričakovanja zainteresiranih strani, odvisnosti ter pravne, regulativne, pogodbene obveznosti, obveznosti glede zasebnosti in državljanskih svoboščin. Pristop s profili pomaga primerjati trenutne rezultate s ciljnimi rezultati, prepoznati vrzeli in določiti prednostne načrte ukrepov.
| Pritisk zahtev | Kaj mora ustvariti testiranje kontrol zasebnosti | Sidrišče Clarysec |
|---|---|---|
| Odgovornost po GDPR | Dokazila, da so načela, pravna podlaga, pravice, varnost, hramba in obveznosti obdelovalca dokazljivo izpolnjeni | Politike PIMS, REG03, REG12, CAPA |
| Pripravljenost na ISO 27701:2025 | Testirane kontrole PIMS, uporabljivost na podlagi vlog, kakovost dokazil, notranja presoja, vodstveni pregled | Politika spremljanja, presoje in izboljševanja PIMS |
| Zagotovilo ISO/IEC 27001:2022 | Sledljivost obravnave tveganj, utemeljitev SoA, operativni nadzor, presoja, pregled, izboljševanje | Zenith Blueprint, vodnik navzkrižne skladnosti Zenith Controls |
| Upravljanje po NIS2 | Ocena učinkovitosti, pripravljenost na incidente, kontrole dobaviteljev, nadzor vodstva | Preslikava kontrol ISO/IEC 27001:2022 Priloge A 5.35 in 5.36 |
| Zagotovilo DORA | Testiranje kontrol IKT, testiranje odpornosti, dokazila tretjih oseb, zapisi življenjskega cikla incidentov | Navzkrižno preslikan model presojnih dokazil |
| NIST CSF 2.0 | Trenutni profil, ciljni profil, analiza vrzeli, prednostno izboljševanje | Zenith Blueprint koraki 24, 26, 29 |
Zenith Blueprint v koraku 24 krepi sledljivost:
Vaša SoA mora biti skladna z registrom tveganj in načrtom obravnave tveganj. Dvakrat preverite, da je vsaka kontrola, ki ste jo izbrali kot obravnavo tveganja, v SoA označena kot »Applicable«. Nasprotno, če je kontrola v SoA označena kot »Applicable«, morate imeti zanjo utemeljitev – običajno preslikano tveganje, pravno/regulativno zahtevo ali poslovno potrebo.
Iz faze Audit, Review & Improvement, korak 24: Audit, Review & Improvement.
Pri testiranju kontrol zasebnosti isto načelo velja za uporabljivost PIMS. Vsaka uporabljiva kontrola zasebnosti mora biti sledljiva do tveganja obdelave, zakonske obveznosti, zahteve naročnika ali poslovne potrebe. Vsak test mora biti sledljiv nazaj do te kontrole.
Kako različni presojevalci presojajo isto kontrolo
Močan program testiranja zasebnosti predvidi zorni kot presojevalca. Ista kontrola izbrisa, kontrola dostopa ali kontrola uvajanja obdelovalcev bo različno interpretirana glede na kontekst pregleda.
| Zorni kot presojevalca | Verjetno presojno vprašanje | Pričakovana dokazila |
|---|---|---|
| Presojevalec ISO 27701:2025 | Ali so kontrole PIMS na podlagi vlog implementirane, ocenjene in izboljšane? | Uporabljivost REG03, vzorci REG12, evidenca dejavnosti obdelave, preslikava politik, rezultati presoj |
| Presojevalec ISO/IEC 27001:2022 | Ali je kontrola, povezana z zasebnostjo, vključena v obravnavo tveganj, SoA, operativni nadzor, notranjo presojo in vodstveni pregled? | Register tveganj, utemeljitev SoA, načrt obravnave tveganj, dokazila o kontroli, zapisniki vodstvenega pregleda |
| Pregledovalec GDPR | Ali lahko upravljavec dokaže skladnost z načeli in obveznostmi GDPR? | Pravna podlaga, obvestila, dnevniki DSR, DPIA, pogodbe, register kršitev varnosti osebnih podatkov, dokazila o hrambi |
| Ocenjevalec NIST CSF | Ali organizacija pozna obveznosti, določa ciljne rezultate, meri vrzeli in izboljšuje? | Trenutni in ciljni profil, načrt vrzeli, določanje prioritet tveganj, evidence upravljanja |
| Naročnik ali regulator, usmerjen v DORA | Ali so kontrole IKT testirane, incidenti razvrščeni, dobavitelji spremljani in kritične storitve odporne? | Program testiranja, zapisi incidentov, evidenca dobaviteljev, pogodbe, izhodni načrti |
| Presojevalec po pristopu ISACA ali COBIT 2019 | Ali so cilji, lastništvo, metrike, zaključevanje odprtih zadev in nadzor upravljanja učinkoviti? | RACI, KPI, dnevniki odprtih zadev, preverjanje CAPA, poročanje vodstvu |
Zato je REG12 tako dragocen. Skladnost zasebnosti pretvori v presojno ustrezna dokazila upravljanja.
Pogoste ugotovitve pri testiranju kontrol PIMS
Clarysec pri organizacijah, ki se pripravljajo na certifikacijo ISO 27701:2025, zagotavljanje zaupanja naročnikom glede GDPR ali skrbni pregled v poslovnem okolju, ponavljajoče vidi enake ugotovitve presoj zasebnosti.
Evidenca dejavnosti obdelave se ne ujema z dejanskim stanjem sistemov
Evidenca dejavnosti obdelave navaja CRM in platforme za podporo, vendar so inženirji dodali analitične izvoze, dnevnike opazljivosti, orodja AI in tabele podatkovnega skladišča.
Testni odziv: vzorčite sisteme iz evidence sredstev in popisa storitev v oblaku, nato jih uskladite z evidenco dejavnosti obdelave. Kot presojno utemeljitev uporabite povezavo med kontrolama ISO/IEC 27001:2022 Priloge A 5.9 in 5.34.
Dostop do osebnih podatkov je odobren, vendar ni periodično pregledovan
Začetne odobritve obstajajo, vendar pregledi privilegiranih dostopov ne vključujejo orodij za lažno predstavljanje uporabnikov v podpori, produkcijskih podatkovnih baz, nadzornih plošč BI ali računov za nujne primere.
Testni odziv: vzorčite aktivne uporabnike z dostopom do osebnih podatkov in primerjajte vlogo, poslovno potrebo, odobritev, stanje MFA, zadnjo prijavo in dokazila o pregledu.
Pogodbe z obdelovalci obstajajo, vendar je spremljanje šibko
DPA je podpisana, vprašalnik dobavitelja pa je zastarel. Nihče ni pregledal sprememb podobdelovalcev, lokacij podatkov, profila tveganja na področju varnosti ali obveznosti obveščanja o incidentih.
Testni odziv: vzorčite kritične obdelovalce ter preglejte skrbni pregled, pogodbene klavzule, spremembe podobdelovalcev, zaščitne ukrepe za prenose in evidence spremljanja. To podpira GDPR, pričakovanja NIS2 glede dobavne verige in pričakovanja DORA glede tveganj tretjih oseb.
Odziv na incidente obstaja, vendar je razvrščanje zasebnosti nedosledno
Varnostni incidenti se beležijo, vendar se vpliv na zasebnost ne ocenjuje vedno. Merila za kršitev po GDPR niso dosledno dokumentirana. Obveznosti obveščanja naročnikov se obravnavajo neformalno.
Testni odziv: vzorčite incidente, ki vključujejo izpostavljenost podatkov, ter preglejte razvrščanje, eskalacijo zasebnosti, pravni pregled, odločitve o obveščanju, ohranitev dokazil, temeljni vzrok in pridobljene izkušnje.
CAPA je zaključen brez preverjanja učinkovitosti
Postopek je posodobljen in ugotovitev je zaključena. Nihče ne preveri, ali se je naslednji vzorec izboljšal.
Testni odziv: v REG12 preverite učinkovitost korektivnega ukrepa v 30 dneh od sporočenega zaključka, kot zahteva Politika spremljanja, presoje in izboljševanja PIMS.
90-dnevni sprint testiranja kontrol zasebnosti
Za organizacije, ki napredujejo proti pripravljenosti na ISO 27701:2025, skrbnemu pregledu naročnikov ali pregledu odgovornosti po GDPR, Clarysec priporoča osredotočen 90-dnevni sprint.
| Časovnica | Fokus | Rezultati |
|---|---|---|
| Dnevi 1 do 15 | Obseg in model dokazil | Vloge PIMS, evidenca dejavnosti obdelave, uporabljivost REG03, prednostna tveganja, zakonske obveznosti, odvisnosti od dobaviteljev, pravila poimenovanja dokazil |
| Dnevi 16 do 35 | Testiranje zasnove | Pregled politik, RACI, obvestila o zasebnosti, pravna podlaga, sprožilci DPIA, delovni tokovi DSR, razvrščanje incidentov, roki hrambe, kontrole dobaviteljev |
| Dnevi 36 do 65 | Testiranje delovanja | Vzorci za dostop, izbris, incidente, obdelovalce, prenose, hrambo, usposabljanje, tehnično spremljanje, dokazila REG12 |
| Dnevi 66 do 80 | CAPA in obravnava tveganj | Temeljni vzrok, korektivni ukrep, lastnik, rok zapadlosti, preostalo tveganje, metoda preverjanja |
| Dnevi 81 do 90 | Pripravljenost na vodstveni pregled | Paket uspešnosti PIMS, cilji, odprta tveganja, neskladnosti, korektivni ukrepi, težave dobaviteljev, odločitve o izboljšavah |
Do konca sprinta mora biti organizacija sposobna odgovoriti na vprašanja, ki jih presojevalci dejansko zastavljajo:
- Katere osebne podatke obdelujete?
- V kateri vlogi?
- Katere kontrole se uporabljajo?
- Zakaj so uporabljive?
- Katera dokazila dokazujejo, da so implementirane?
- Kateri vzorec dokazuje, da delujejo?
- Katere vrzeli so bile ugotovljene?
- Kateri korektivni ukrepi so bili sprejeti?
- Kdo je preveril učinkovitost?
- Kaj je najvišje vodstvo pregledalo in sklenilo?
Od zasebnosti na papirju do dokazljive odgovornosti
Certifikat ISO 27701 je dragocen, vendar ni končni cilj. Naročniki, regulatorji, upravni odbori in presojevalci vse pogosteje pričakujejo dokaz, da so kontrole zasebnosti zasnovane, implementirane, spremljane, popravljene in upravljane.
Skladnost zasebnosti odpove, kadar se obravnava kot dokumentacijski projekt. Presojo prestane, ko postane testiran sistem dokazil.
Clarysec organizacijam pomaga pri prehodu od zatrjevane skladnosti k dokazljivi odgovornosti s povezovanjem politik PIMS, uporabljivosti REG03, vzorcev dokazil REG12, preverjanja CAPA, vodstvenega pregleda in preslikave med okviri prek Zenith Blueprint: An Auditor’s 30-Step Roadmap in Zenith Controls: The Cross-Compliance Guide.
Če se vaša organizacija pripravlja na certifikacijo ISO 27701:2025, pregled odgovornosti po GDPR, zagotavljanje zaupanja naročnikom glede zasebnosti, dokazila upravljanja po NIS2 ali skrbni pregled dobaviteljev, ki izhaja iz DORA, začnite z osredotočeno delavnico testiranja kontrol zasebnosti.
Clarysec vam lahko pomaga preslikati uporabljivost REG03, zgraditi presojne vzorce REG12, testirati prednostne kontrole PIMS, uskladiti ugotovitve s CAPA in pripraviti rezultate vodstvenega pregleda, ki vzdržijo presojo.
Vaša naslednja presoja zasebnosti ne sme biti hitenje za posnetki zaslona. Biti mora samozavesten prikaz, da zasebnost deluje, je podprta z dokazili, pregledovana in nenehno izboljševana.
About the Author

Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council