svenska  english

GDPR

Hur kan din organisation gå till väga för att hantera GDPR?

GDPR ställer krav på hanteringen av personuppgifter som kan beröra alla delar av er verksamhet. Då vi jämfört GDPR:s krav på skydd för persondata mot ISO/IEC 27001 Bilaga A 114 säkerhetsåtgärder för informationssäkerhet samt övriga relevanta ISO/IEC standarder så bedömer vi att dessa standarder ger en mycket god bas för hantering av de krav GDPR ställer. Det behövs naturligtvis också en komplettering med ytterligare kontrollpunkter för att hantera ett antal unika krav som finns i GDPR lagstiftningen.

Se Veriscan pdf: Information Security Management System (ISMS) and handling of personal data

Informationsklassificering för er organisation som inkluderar GDPR

Att inkludera GDPR i den normala klassificering av information är en smart lösning för att ha en och samma process som del i ett ledningssystem för informationssäkerhet baserat på ISO 27000 serien. Klassificering av tillgångar finns som säkerhetsåtgärder A 8.2.1 i ISO/IEC 27001 samt finns även i GDPR med krav på att bedöma persondata utfrån individens perspektiv.

För att kunna kombinera dessa aktiviteter så är följande steg i klassificeringsprocessen nödvändiga:

  • Att man har en tydlig konsekvensskala i sin klassificeringsmodell
  • Att man har ett tillvägagångssätt som innebär att man täcker in behandlingar av personuppgifter, vilket med fördel då kopplas till verksamhetsprocesser där man hanterar information som ska klassificeras samt att man fastställer informationsägare
  • Att klassificeringsmodellen av de traditionella informationssäkerhetsaspekterna (CIA) komplettas med påverkan på individ samt, om man vill, även på vilken grund man processar persondata
  • Ett bra verktygsstöd som löser bägge uppgifterna är givetvis en fördel
  • Att bara ha ett tillgångsregister där resultaten och slutsatserna samlas är givetvis målet
Informationsklassnificering

I exemplet ovan från verktyget för informationsklassificering , Veriscan vIC, visas klassficeringmodellen baserat på fyra aspekter samt att man även lagt till påverkan på individ samt även bedömt legal grund för behandlingen av personuppgifter.

Identifiering och visualisering av informationstillgångarna ger förståelse och överblick

Att klassificera sin information inkl. GDPR och ha det i ett register är en mycket stark grund att sedan bygga vidare på med att riskbedöma och skydda dessa informationstillgångar.

För att kunna göra detta effektivt så måste man veta var informationen/persondata finns. Med dessa resurser identifierade så finns förutsättningen för att bedöma sårbarheter och konsekvenser och applicera ett verksamt riskskydd. Det är vår slutsats för att ha en tydlig metodik i sitt arbete och grunden för ISO/IEC 27001. Den kartläggningen kan göras på många sätt och Veriscan vIC ger stöd för detta och innebär att det tillgångsregister man bygger upp även innehåller resurser som verksamhetssystem, nätverk och IT tjänster m.m.

Att kunna visualisera och dynamiskt rapportera ut ur registret är en stor fördel som Veriscan vIC kan ge för att identifiera informationsägare och fastställa riskägare samt en överblick.

I exemplet nedan så ser vi hur en viss informationstyp som innehåller persondata finns i flera IT system/IT tjänster som en verksamhet använder.

vIC

De mörkgråa boxarna representerar en informationsmängd som innehåller persondata som finns i CRM systemet (som sedan finns i en intern datorhall). Men samma information med persondata finns också i kampanjsystemet som levereras av en molntjänstleverantör.

Riskbedömning och riskhantering för skydd av personuppgifter

Beroende på var persondata finns så kan vi ha olika risker förknippade med informationssäkerhet. Vi kan också ha hanteringsrisker inom olika processer som GDPR kräver, t.ex. incidenthanteringsprocessen. Dessa risker bör då fångas upp i de olika riskanalyser som görs inom ramen för ledningssystemet för informationssäkerhet enligt ISO/IEC 27001.

Det är viktigt att man i riskmetodiken och riskprocessen kan fånga upp dessa risker också. Både metodik, struktur och verktygsstöd påverkar hur effektiv riskhanteringen blir.

Veriscan kan stödja att utforma er metodik korrekt men erbjuder också verktygsstöd via VeriscanRISK

persondata in vRSIK

Bilden visar hur man i VeriscanRISK kan selektera och få ut rapporter på olika risker som är kopplade till Persondata. Notera att dessa risker kan ha andra kopplingar t.ex. till informationssäkerhet, ”Compliance” m.m. samtidigt. På så sätt kan man minska antalet risker som man registrerar och arbetar med. Med denna riskbedömning som grund fortsätter man med att besluta vilka åtgärder för riskhantering som blir nödvändiga samt fastställer ansvariga för åtgärderna, tidplan och uppföljning. Dessa steg stöds naturligtvis också i VeriscanRISK

Mätning av prestandan i er informationssäkerhet inklusive GDPR

En prestandamätning av er informationssäkerhet m.h.a. Veriscan Rating ger en kraftfull utvärdering av indikatorer för hur väl ni möter GDPR kraven och blir en självklar del i rapporteringen till verksamhetsledningen. Denna regelbundna mätning ger också grunden till att följa upp och driva en kontinuerlig förbättring av verksamhetens informationssäkerhet med stöd av en kraftfull rapportering och visualisering.

Diagram in Veriscan Rating

Veriscan Rating metodiken och verktygen är baserade på ett flertal best practice och standarder (t.ex. ISO/IEC 27001 Bilaga A, ISO/IEC 27002 och regelverk med specifika kontrollpunkter för informationssäkerhet i IT/System, i Organisationen och i Fysiska anläggningar/tillgångar. Här kan unika GDPR kontrollpunkter inkluderas.