政策是GDPR经常提及的一件事。公司必须证明与GDPR的合规性的很大一部分是通过文档和政策。例如,该法规要求存在数据保护和信息安全策略以及隐私策略。
数据保护和信息安全策略(了解有关成功进行信息安全管理的因素的更多信息)是有关组织及其与处理和处理个人数据有关的总体例程和过程的文档。
创建策略可能很耗时。在制定信息安全策略时,需要牢记一些注意事项。
截至目前,编写GDPR信息安全策略时没有特定的模板可遵循。因此,我们的建议是基于ISO 27001标准,并将政策调整为GDPR中优先考虑的要求。
该文件应包括对政策,范围,利益相关者及其要求的一般描述。该文件还应包括以下内容:
组织(利益相关者,范围)
领导力(管理结构,政策,责任)
规划(风险/机会,目标)
支持(资源,能力,意识,文档)
活动(风险的计划,评估和处理)
绩效评估(测量,分析,评估,审计)
改进(和偏差)
为了使政策适应GDPR,重要的是要记录并指定法规中优先考虑的事项。诸如访问控制(2FA、MFA)、设计安全、数据安全、密钥安全(HSM)、数据处理活动记录等资产,当然还有事件处理,因为GDPR需要在事件发生时快速报告事件。
确定使用哪种语言 –每个人都应该能够理解该政策的内容。因此,重要的是要使用组织中已经使用的术语和语言。
让整个组织参与进来 –这应该在制定政策之前,之中和之后适用。尽管信息安全策略主要是管理文档,但请毫不犹豫地邀请组织各部门的人员参与。持续在内部对员工进行政策培训也很重要。
重用旧策略 –您是否有旧策略?不要害怕重复使用已经为您服务的内容。旧政策的某些部分可以很好地发挥作用!
保持简单 -在策略级别,您应该广泛而全面。不要陷入细节。谈论目的和目标,而不是详细的过程。
不要害怕更改策略 –策略是有效的文档,不仅应该而且 必须保持最新。
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
数据库访问控制:揽阁LGPAC系统
通用HSM:Luna HSM、ProtectServer HSM
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!