Hvordan er bilag A struktureret i ISO 27701:2025?
Bilag A er normativt, hvilket betyder, at dets kontroller er krav (ikke valgfri vejledning). Det er organiseret i tre tabeller baseret på organisationens rolle i behandlingen af personligt identificerbare oplysninger (PII):
| Bordlampe | Gælder | Controls | Fokusområder |
|---|---|---|---|
| Tabel A.1 | PII-controllere | 31 | Retsgrundlag, samtykke, PII-primære rettigheder, privatliv gennem design, dataoverførsler |
| Tabel A.2 | PII-processorer | 18 | Kundeaftaler, behandlingsformål, administration af underleverandører, videregivelse af oplysninger |
| Tabel A.3 | Både dataansvarlige og databehandlere | 29 | Informationssikkerhedspolitikker, adgangskontrol, hændelsesstyring, kryptografi, udviklingssikkerhed |
Hver kontrol i bilag A har tilsvarende implementeringsvejledning i bilag B (f.eks. vejledning til kontrol A.1.2.2 Identificér og dokumenter formål findes i B.1.2.2). Organisationer skal inkludere alle gældende kontroller i deres erklæring om anvendelighed med begrundelse for eventuelle undtagelser [punkt 6.1.3 e)].
Hvad dækker tabel A.1? (PII-controllerkontroller)
Tabel A.1 indeholder 31 kontroller grupperet i fire mål. Disse gælder for enhver organisation, der bestemmer formålene og midlerne til behandling af personoplysninger.
Betingelser for indsamling og forarbejdning (A.1.2)
Formål: At påvise, at behandlingen er lovlig, med et retsgrundlag i henhold til gældende jurisdiktioner og med klart definerede og legitime formål.
| kontrol | Emne |
|---|---|
| A.1.2.2 Identificér og dokumenter formål | Identificer og dokumenter formål |
| A.1.2.3 Identificér det lovlige grundlag | Identificér det juridiske grundlag |
| A.1.2.4 Fastlæg samtykke | Bestem hvornår og hvordan samtykke skal indhentes |
| A.1.2.5 Indhentning og registrering af samtykke | Indhent og registrer samtykke |
| A.1.2.6 Vurdering af indvirkning på privatlivets fred | Vurdering af indvirkning på privatlivets fred |
| A.1.2.7 Kontrakter med PII-behandlere | Kontrakter med PII-behandlere |
| A.1.2.8 Fælles PII-ansvarlig | Fælles PII-controller |
| A.1.2.9 Registrering af behandling af personoplysninger | Optegnelser relateret til behandling af personoplysninger |
Forpligtelser over for PII-hovedpersoner (A.1.3)
Mål: At sikre, at personoplysninger, der er ansvarlige for personoplysninger, får passende oplysninger om behandlingen af deres personoplysninger og at opfylde alle andre gældende forpligtelser.
| kontrol | Emne |
|---|---|
| A.1.3.2 Forpligtelser over for PII-opdragsgivere | Fastlæggelse og opfyldelse af forpligtelser over for PII-principaler |
| A.1.3.3 Information til PII-principaler | Bestemmelse af oplysninger for PII-principper |
| A.1.3.4 Oplysningsgivning | Give oplysninger til PII-principper |
| A.1.3.5 Ændring eller tilbagetrækning af samtykke | Tilvejebringelse af mekanisme til at ændre eller trække samtykke tilbage |
| A.1.3.6 Indsigelse mod behandling af personoplysninger | Tilvejebringelse af mekanisme til at gøre indsigelse mod behandling af personoplysninger |
| A.1.3.7 Adgang, rettelse eller sletning | Adgang, rettelse eller sletning |
| A.1.3.8 Underretning af tredjeparter | PII-ansvarliges forpligtelser til at informere tredjeparter |
| A.1.3.9 Levering af kopi af personoplysninger | Levering af kopi af behandlet personoplysninger |
| A.1.3.10 Håndtering af anmodninger | Håndtering af anmodninger |
| A.1.3.11 Automatiseret beslutningstagning | Automatiseret beslutningstagning |
Privatliv gennem design og privatliv som standard (A.1.4)
Mål: At sikre, at processer og systemer er udformet således, at indsamling og behandling af personoplysninger er begrænset til, hvad der er nødvendigt for det identificerede formål.
| kontrol | Emne |
|---|---|
| A.1.4.2 Grænseindsamling | Begræns indsamling |
| A.1.4.3 Begræns behandling | Begræns behandling |
| A.1.4.4 Nøjagtighed og kvalitet | Nøjagtighed og kvalitet |
| A.1.4.5 Minimering af personoplysninger | Mål for minimering af personoplysninger |
| A.1.4.6 Afidentifikation og sletning | Anonymisering og sletning af personoplysninger ved afslutningen af behandlingen |
| A.1.4.7 Midlertidige filer | Midlertidige filer |
| A.1.4.8 Tilbageholdelse | Retention |
| A.1.4.9 Bortskaffelse | Bortskaffelse |
| A.1.4.10 PII-transmissionskontroller | PII-transmissionskontroller |
Deling, overførsel og videregivelse af personoplysninger (A.1.5)
Formål: At fastslå, om og dokumentere, hvornår personoplysninger deles, overføres eller videregives i overensstemmelse med gældende forpligtelser.
| kontrol | Emne |
|---|---|
| A.1.5.2 Grundlag for overførsel af personoplysninger | Identificer grundlaget for overførsel af personoplysninger mellem jurisdiktioner |
| A.1.5.3 Lande til overførsel af personoplysninger | Lande og internationale organisationer, hvortil personoplysninger kan overføres |
| A.1.5.4 Optegnelser over PII-overførsel | Optegnelser over overførsel af personoplysninger |
| A.1.5.5 Registrering af PII-oplysninger | Registrering af videregivelse af personoplysninger til tredjeparter |
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvad dækker tabel A.2? (PII-processorkontroller)
Tabel A.2 indeholder 18 kontroller grupperet i fire mål. Disse gælder for enhver organisation, der behandler personoplysninger på vegne af en personoplysningeransvarlig.
Betingelser for indsamling og forarbejdning (A.2.2)
| kontrol | Emne |
|---|---|
| A.2.2.2 Kundeaftale | Kundeaftale |
| A.2.2.3 Organisationens formål | Organisationens formål |
| A.2.2.4 Markedsføring og reklame | Brug af markedsføring og reklame |
| A.2.2.5 Krænkende instruktion | Krænkende instruktion |
| A.2.2.6 Kundens forpligtelser | Kundens forpligtelser |
| A.2.2.7 Registrering af behandling af personoplysninger | Optegnelser relateret til behandling af personoplysninger |
Forpligtelser over for PII-hovedpersoner (A.2.3)
| kontrol | Emne |
|---|---|
| A.2.3.2 Forpligtelser over for PII-opdragsgivere | Overhold forpligtelser over for personoplysninger |
Privatliv gennem design og privatliv som standard (A.2.4)
| kontrol | Emne |
|---|---|
| A.2.4.2 Midlertidige filer | Midlertidige filer |
| A.2.4.3 Returnering, overførsel eller bortskaffelse | Returnering, overførsel eller bortskaffelse af personoplysninger |
| A.2.4.4 PII-transmissionskontroller | PII-transmissionskontroller |
Deling, overførsel og videregivelse af personoplysninger (A.2.5)
| kontrol | Emne |
|---|---|
| A.2.5.2 Grundlag for overførsel af personoplysninger | Grundlag for overførsel af personoplysninger mellem jurisdiktioner |
| A.2.5.3 Lande til overførsel af personoplysninger | Lande og internationale organisationer, hvortil personoplysninger kan overføres |
| A.2.5.4 Registrering af PII-oplysninger | Registrering af videregivelse af personoplysninger til tredjeparter |
| A.2.5.5 Anmodninger om videregivelse af personoplysninger | Meddelelse om anmodninger om offentliggørelse af personoplysninger |
| A.2.5.6 Juridisk bindende oplysninger | Juridisk bindende oplysninger om personoplysninger |
| A.2.5.7 Oplysninger om underleverandører | Videregivelse af underleverandører, der anvendes til at behandle personoplysninger |
| A.2.5.8 Inddragelse af underleverandører | Engagement af en underleverandør til behandling af personoplysninger |
| A.2.5.9 Skift af underleverandør | Skift af underleverandør til behandling af personoplysninger |
Hvad dækker tabel A.3? (Fælles sikkerhedskontroller)
Tabel A.3 indeholder 29 kontroller der gælder for både PII-dataansvarlige og PII-behandlere. Disse er informationssikkerhedskontroller med specifikke krav til PII-behandling.
| kontrol | Emne |
|---|---|
| A.3.3 Informationssikkerhedspolitikker | Politikker for informationssikkerhed |
| A.3.4 Sikkerhedsroller | Informationssikkerhedsroller og -ansvar |
| A.3.5 Klassificering af oplysninger | Klassificering af oplysninger |
| A.3.6 Mærkning af information | Mærkning af information |
| A.3.7 Informationsoverførsel | Informationsoverførsel |
| A.3.8 Identitetsstyring | Identitetsstyring |
| A.3.9 Adgangsrettigheder | Adgangsrettigheder |
| A.3.10 Leverandøraftaler | Håndtering af informationssikkerhed inden for leverandøraftaler |
| A.3.11 Hændelseshåndtering | Planlægning og forberedelse af informationssikkerhedshændelser |
| A.3.12 Reaktion på sikkerhedshændelser | Reaktion på informationssikkerhedshændelser |
| A.3.13 Juridiske og lovgivningsmæssige krav | Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav |
| A.3.14 Beskyttelse af optegnelser | Beskyttelse af optegnelser |
| A.3.15 Uafhængig gennemgang | Uafhængig gennemgang af informationssikkerhed |
| A.3.16 Overholdelse af politikker | Overholdelse af politikker, regler og standarder for informationssikkerhed |
| A.3.17 Sikkerhedsbevidsthed og -træning | Informationssikkerhedsbevidsthed, uddannelse og træning |
| A.3.18 Fortrolighedsaftaler | Aftaler om fortrolighed eller tavshedspligt |
| A.3.19 Rydt skrivebord og klar skærm | Overskueligt skrivebord og klar skærm |
| A.3.20 Lagringsmedier | Lagermedier |
| A.3.21 Sikker bortskaffelse af udstyr | Sikker bortskaffelse eller genbrug af udstyr |
| A.3.22 Brugerens slutpunktsenheder | Bruger slutpunktsenheder |
| A.3.23 Sikker godkendelse | Sikker autentificering |
| A.3.24 Sikkerhedskopiering af oplysninger | Sikkerhedskopiering af information |
| A.3.25 Logføring | Logning |
| A.3.26 Brug af kryptografi | Brug af kryptografi |
| A.3.27 Sikker udviklingslivscyklus | Sikker udviklingslivscyklus |
| A.3.28 Applikationssikkerhed | Krav til applikationssikkerhed |
| A.3.29 Sikker systemarkitektur | Sikker systemarkitektur og tekniske principper |
| A.3.30 Udliciteret udvikling | Udliciteret udvikling |
| A.3.31 Testoplysninger | Testinformation |
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvordan fungerer bilag A og bilag B sammen?
Bilag A definerer kontrolmål og kontrolerklæringer ("hvad"). Bilag B indeholder oplysninger implementeringsvejledning ("hvordan"). Hver kontrol i bilag A har en matchende bilag B-klausul med samme nummerering:
- kontrol A.1.2.2 Identificér og dokumenter formål (Identificer og dokumenter formål) → Vejledning ved F.1.2.2
- kontrol A.2.2.2 Kundeaftale (Kundeaftale) → Vejledning hos F.2.2.2
- kontrol A.3.3 Informationssikkerhedspolitikker (Politik for informationssikkerhed) → Vejledning på F.3.3
Når du implementerer en kontrol, skal du læse både kravet i bilag A og vejledningen i bilag B sammen. Bilag B er klassificeret som normativt, selvom det bruger formuleringen "bør" i stedet for "skal", men revisorer forventer, at din implementering er i overensstemmelse med dens hensigt.
Hvordan hænger bilag A sammen med andre bilag?
Standarden indeholder fire yderligere kortlægningsbilag, der forbinder bilag A-kontroller med eksterne rammer:
- Bilag C — Knytter kontroller til de 11 privatlivsprincipper i ISO/IEC 29100
- Bilag D — Kortlægger kontrolelementer til GDPR-artikler (Artiklerne 5-35 og 44-49)
- Bilag E — Knytter kontroller til ISO/IEC 27018 (cloud-processorer) og ISO/IEC 29151 (PII-beskyttelse)
- Bilag F — Kortlægger 2025-kontroller til ISO 27701:2019-ækvivalenter
Disse kortlægninger er informative (ikke normative), men de er uvurderlige for organisationer, der har brug for at demonstrere overholdelse af flere rammer samtidigt.
Hvorfor vælge ISMS.online for ISO 27701:2025 bilag A?
ISMS.online giver dig en struktureret, auditerbar måde at implementere alle kontroller i bilag A:
Sammenlign hvordan førende platforme understøtter implementeringen af Annex A i vores sammenligning af compliance-software.
- Præbyggede kontrolsæt — Alle 78 kontroller er kortlagt og klar til din erklæring om anvendelighed
- Bevisforbindelse — Vedhæft politikker, risikovurderinger, revisionsresultater og optegnelser direkte til hver kontrol
- Rollebaserede visninger — Filtrer kontroller efter din rolle (dataansvarlig, databehandler eller begge), så du kun ser det, der er relevant
- Gap-sporing — Markér hver kontrol som implementeret, delvist implementeret eller ikke relevant med begrundelse
- Kortlægning på tværs af rammer — Se, hvordan hver kontrol knyttes til GDPR, ISO 27001 og andre rammer, du anvender
- Revisionsklar eksport — Generer din anvendelighedserklæring og dokumentationspakker til eksterne revisorer
Ofte Stillede Spørgsmål
Skal jeg implementere alle 78 kontroller i bilag A?
Ikke nødvendigvis. Du skal inkludere alle kontroller, der er relevante for din rolle (dataansvarlig, databehandler eller begge) i din erklæring om anvendelighed. Eventuelle undtagelser skal begrundes. Kontroller kan udelukkes, hvor de ikke anses for nødvendige i henhold til din risikovurdering, eller hvor de ikke er påkrævet i henhold til gældende lovkrav.
Hvad er forskellen mellem bilag A og bilag B?
Bilag A indeholder kontrolmålene og kontrolerklæringerne (kravene). Bilag B indeholder implementeringsvejledning for hver kontrol. Bilag A er normativt (obligatorisk); vejledningen i bilag B er normativ og bruger "bør"-formulering til at give implementeringsanbefalinger, som revisorer forventer at se adresseret.
Hvordan ved jeg, hvilken tabel der gælder for min organisation?
Hvis du fastlægger formålene og midlerne til behandling af personoplysninger, Tabel A.1 (kontrol af dataansvarlige) gælder. Hvis du behandler personoplysninger på vegne af en anden organisation, Tabel A.2 (processorkontroller) gælder. Tabel A.3 (fælles kontrol) gælder for begge roller. Mange organisationer fungerer som både dataansvarlige og databehandlere for forskellige behandlingsaktiviteter.
Hvordan overholder kontrollerne fra 2025-udgaven?
Bilag F indeholder en komplet korrespondancetabel i begge retninger. Tabel F.1 viser 2025-kontroller i forhold til deres ækvivalenter i 2019. Tabel F.2 viser 2019-kontroller i forhold til deres ækvivalenter i 2025. Se vores Bilag F korrespondancevejledning for den fulde kortlægning.
Lær, hvordan du dokumenterer dine kontrolvalg i vores Vejledning til erklæring om anvendelighed.
Hver kontrol kræver understøttende dokumentation – se vores krav til revisionsbeviser en vejledning i, hvad revisorer forventer.
