Upplýsingaöryggi og GDPR

Innleiðing upplýsingaöryggiskerfis er nauðsynlegur hluti af innleiðingu GDPR. Ástæða þess er sú að á mörgum stöðum í GDPR koma fram ákvæði sem tilgreina að :

Ábyrgðaraðili og vinnsluaðili skulu gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga ..“

Út frá ofangreindu er það almennt skilið að tilvist upplýsingaöryggiskerfis sé nauðsynlegur þáttur í innleiðingu GDPR. Slíkt upplýsinga öryggiskerfi hlýtur jafnframt að taka mið af almennt viðurkenndum stöðlum á því sviði og sá staðall sem helst kæmi til álita í þeim efnum væri ISO-27001.  GDPR reglurnar segja ekki að  öll fyrirtæki og stofnanir verði að fá sér vottun fyrir ISO -27001 eða tilsvarandi, heldur að til staðar sé upplýsinga-öryggiskerfi sem að lágmarki tryggi  „viðeigandi öryggi persónuupplýsinganna“ og gerir „viðeigandi tæknilegar og skipulagslegar ráðstafanir“ við vinnslu þeirra.

Hvað þættir úr ISO-27001 eru svo taldir nauðsynlegur hluti af GDPR ? Hér að neðan má sjá lista um þau stefnuskjöl, vinnuferla og vinnureglur sem talin eru að þurfa að vera til staðar að lágmarki.

Þetta eru :

  • Upplýsingaöryggisstefna – stefna fyrirtækisins varðandi upplýsingaöryggi almennt og persónuupplýsingar sérstaklega
  • Aðgangsstjórnunarstefna – stefna fyrirtækisins varðandi  hver sé með aðgang að persónuupplýsingum og hvernig sá aðgangur er veittur.
  • Rekstrarhandbók fyrir upplýsingatæknideild – Öll atriði varðandi rekstur UT deildar, praktísk atriði eins og afritunartaka og margt fleira.
  • Stefna um flokkun upplýsinga – Flokka þar allar upplýsingar eftir trúnaðarstigi þ.m.t persónuupplýsingar
  • Stefna um nafnleysi og gerviauðkenni – Ef fyrirtækið hefur hugsað sér umbreyta persónuupplýsingar í nafnlausar upplýsingar eða nota gerviauðkenni
  • Stefna um notkun dulkóðunar – Ef fyrirtækið vill nota dulkóðun til að gera persónuupplýsingar öruggari í vinnslu eða flutningi.

Þess ber að geta að þetta eru þau atriði úr ISO 27001 staðlinum sem þurfa vera til staðar að lágmarki. Það er oftast nauðsynlegt að taka fleiri atriði til skoðunar og að gera sér grein fyrir heildarstöðu fyrirtækja og stofnanna gagnvart ISO 27001 staðlinum sem slíkum. Af þeim sökum er gjarna gert stöðumat hjá viðkomandi fyrirtæki gagnvart öllum 114 atriðunum í viðauka A í ISO 27001.

Vinsamlega hafið samband á vefsíðu okkar eða sendið okkur tölvupóst á avanti@avanti.is fyrir frekari upplýsingar um þjónustu okkar á þessu sviði.

WP2FB Auto Publish Powered By : XYZScripts.com