Skip to main content

5.31 Wymagania prawne i regulacyjne

Cel

Zapewnienie zgodności organizacji z wymaganiami prawnymi, regulacyjnymi oraz kontraktowymi dotyczącymi bezpieczeństwa informacji.

Wymagania

Organizacja powinna:

  • Identyfikować, dokumentować i regularnie aktualizować wymagania prawne, statutowe, regulacyjne i kontraktowe mające wpływ na bezpieczeństwo informacji.
  • Uwzględniać wymagania zewnętrzne w:
    • politykach i procedurach bezpieczeństwa informacji,
    • projektowaniu, wdrażaniu i zmianach środków kontroli bezpieczeństwa,
    • klasyfikacji informacji i określaniu wymagań bezpieczeństwa dla dostawców,
    • ocenie ryzyka bezpieczeństwa informacji i wyborze działań zaradczych,
    • określaniu procesów i ról związanych z bezpieczeństwem informacji,
    • warunkach umów z dostawcami i partnerami biznesowymi.
  • Regularnie przeglądać i aktualizować wykaz obowiązujących przepisów prawnych oraz regulacji wpływających na organizację.

Wdrożenie

  • Organizacja powinna:
    • identyfikować i analizować przepisy prawne dotyczące bezpieczeństwa informacji,
    • zapewnić zgodność z regulacjami obowiązującymi w krajach, w których prowadzi działalność,
    • uwzględniać wymagania prawne w przypadku transferu danych między jurysdykcjami,
    • określić procesy i obowiązki zapewniające zgodność z wymaganiami prawnymi.
  • Szczególną uwagę należy zwrócić na przepisy dotyczące kryptografii, w tym:
    • ograniczenia importu i eksportu sprzętu oraz oprogramowania kryptograficznego,
    • regulacje dotyczące stosowania kryptografii,
    • wymagania dotyczące dostępu organów państwowych do zaszyfrowanych danych,
    • przepisy dotyczące ważności podpisów cyfrowych i certyfikatów.
  • W organizacji powinny zostać określone wymagania kontraktowe dotyczące bezpieczeństwa informacji w umowach z:
    • klientami,
    • dostawcami (zgodnie z 5.20),
    • ubezpieczycielami.

Przegląd i aktualizacja

  • Organizacja powinna regularnie przeglądać wymagania prawne i dostosowywać swoje procesy oraz środki bezpieczeństwa do zmieniających się regulacji.
  • Zaleca się konsultacje prawne w celu zapewnienia zgodności z przepisami, zwłaszcza w obszarze kryptografii oraz ochrony danych transgranicznych.
  • Powinna zostać wdrożona dokumentacja zapewniająca zgodność organizacji z obowiązującymi regulacjami.

Skuteczne zarządzanie wymaganiami prawnymi i regulacyjnymi pozwala organizacji uniknąć ryzyka prawnego, zwiększa zgodność z obowiązującymi normami oraz wzmacnia ochronę informacji przed potencjalnymi naruszeniami.