Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.2.4.4: PII-transmissionskontroller

Kontrol A.2.4.4 kræver, at organisationer underkaster PII, der transmitteres via datatransmissionsnetværk, passende kontroller, der er designet til at sikre, at data når deres tilsigtede destination. Dette beskytter personoplysninger under transit mod aflytning, vildledning og kompromittering.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.2.4.4?

Organisationen skal underkaste PII, der transmitteres via et datatransmissionsnetværk, passende kontroller, der er designet til at sikre, at dataene når deres tilsigtede destination.

Denne kontrol ligger inden for PII-processorkontroller bilag (A.2) og omhandler sikkerheden af ​​personoplysninger under transmission. Når personoplysninger flyttes på tværs af netværk, hvad enten det er mellem systemer i databehandlerens miljø, mellem databehandleren og den dataansvarlige eller mellem databehandleren og en underleverandør, skal de beskyttes mod aflytning, ændring og vildledning.

Hvad står der i implementeringsvejledningen i bilag B?

Bilag B (afsnit B.2.4.4) indeholder følgende vejledning:

  • Adgangskontrol — Sørg for, at kun autoriserede personer har adgang til transmissionssystemer
  • Dokumenterede processer — Følg passende processer, herunder opbevaring af revisionsdata for at påvise overholdelse af regler
  • Integritet og levering — Sørg for, at PII sendes uforstyrret til de korrekte modtagere
  • Kontraktlige krav — Transmissionskrav kan specificeres i kundekontrakten
  • Kunderådgivning — Hvor der ikke findes kontraktlige krav, bør organisationen indhente rådgivning fra kunden inden transmission
  • Se også A.2.3.2: Overhold forpligtelser over for PII-principaler for relaterede krav
  • Se også A.2.4.2: Midlertidige filer for relaterede krav

Vejledningen understreger, at transmissionskontrol ikke udelukkende er et teknisk anliggende. Databehandleren skal sikre, at de rigtige data når den rigtige modtager uden at blive kompromitteret undervejs. Dette kræver en kombination af kryptering, adgangskontrol, autentificeringsmekanismer og revisionsspor. Hvor kunden har specifikke transmissionskrav, bør disse dokumenteres i kontrakten.

Hvordan relaterer dette sig til GDPR?

Kontrol A.2.4.4 knyttes til følgende GDPR artikel:

  • Artikel 5(1)(f) — Integritet og fortrolighed — Personoplysninger skal behandles på en måde, der sikrer passende sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller beskadigelse, ved hjælp af passende tekniske eller organisatoriske foranstaltninger

Princippet om integritet og fortrolighed kræver, at personoplysninger beskyttes både under transmission og i lagring. Overførsel af personoplysninger via netværk uden passende kontroller (såsom kryptering) udsætter dataene for aflytning og kompromittering, hvilket er en direkte overtrædelse af dette princip.

For den fulde GDPR-til-ISO 27701-kortlægning, se Vejledning til overholdelse af GDPR.

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven blev dette krav behandlet inden for den bredere klausulstruktur. 2025-udgaven indeholder A.2.4.4 som en selvstændig kontrol med implementeringsvejledning i B.2.4.4, der specifikt omhandler adgang til transmissionssystemer, opbevaring af revisionsdata og kundens kontrakters rolle i definitionen af ​​transmissionskrav. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.onlines kraftfulde dashboard

Start din gratis prøveperiode

Vil du udforske?

Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde

Kom i gang


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.2.4.4 vil revisorer typisk se efter:

  • Krypteringsstandarder — Bevis for, at personoplysninger krypteres under transmission ved hjælp af aktuelle, brancheaccepterede protokoller (såsom TLS 1.2 eller nyere for data under transit)
  • Adgangskontroller — Dokumentation, der viser, at kun autoriserede personer og systemer har adgang til transmissionsmekanismer
  • revisionsspor — Opbevarede revisionsdata, der viser vellykket transmission, herunder afsender, modtager, tidsstempel og bekræftelse af levering
  • Kontraktlige specifikationer — Kontraktklausuler, der specificerer kundens transmissionskrav, herunder krypteringsstandarder, tilladte kanaler og procedurer for modtagerverifikation
  • Hændelsesregistre — Registrering af eventuelle transmissionsfejl eller sikkerhedshændelser, herunder analyse af rodårsag og trufne korrigerende handlinger

Hvad er de relaterede kontroller?

kontrol Relationship
A.2.5.2 Grundlag for overførsel af personoplysninger mellem jurisdiktioner Grænseoverskridende transmission kræver både teknisk kontrol og et retsgrundlag
A.2.2.2 Kundeaftale Transmissionskrav bør specificeres i kundekontrakten
A.2.4.3 Returnering, overførsel eller bortskaffelse Returnering af PII til kunden er en form for transmission, der kræver passende kontrol
A.3 Delte sikkerhedskontroller Netværkssikkerhed og kryptografiske kontroller understøtter transmissionssikkerheden
A.2.5.3 Lande til overførsel af personoplysninger Transmissionsdestinationer skal dokumenteres og oplyses

Hvem gælder denne kontrol for?

A.2.4.4 gælder udelukkende for PII-processorerDatabehandlere overfører ofte personoplysninger som en del af deres aktiviteter, uanset om det drejer sig om at modtage data fra dataansvarlige, returnere behandlede resultater, dele data med underleverandører eller replikere data mellem systemer. Hvert af disse transmissionspunkter repræsenterer en potentiel eksponering. Denne kontrol sikrer, at databehandlere implementerer passende sikkerhedsforanstaltninger for alle personoplysninger under transit.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvorfor vælge ISMS.online til PII-transmissionskontroller?

ISMS.online giver praktiske værktøjer til håndtering af PII-transmissionssikkerhed:

  • Politikdokumentation — Dokumentér dine transmissionssikkerhedspolitikker, herunder krypteringsstandarder, tilladte kanaler og adgangskontroller, med versionskontrol og planlægning af gennemgang
  • Kortlægning af aktiver — Kortlægning af datastrømme, der involverer transmission af personoplysninger, identifikation af afsender- og modtagersystemer, transmissionsmetoder og de kontroller, der anvendes på hver enkelt
  • Kontraktstyring — Spor kundespecifikke transmissionskrav sammen med dine standardkontroller, og sørg for at de kontraktlige forpligtelser er opfyldt
  • Incident management — Registrer og håndter sikkerhedshændelser i forbindelse med transmission med rodårsagsanalyse, korrigerende handlinger og erfaringer
  • Revisionsbeviser — Opbevar transmissionsrevisionsdata, krypteringscertifikater og adgangskontrolposter som struktureret dokumentation til interne og eksterne revisioner

Ofte Stillede Spørgsmål

Hvilke krypteringsstandarder skal bruges til transmission af personligt identificerbare oplysninger?

Standarden foreskriver ikke specifikke krypteringsprotokoller, men den nuværende bedste praksis kræver TLS 1.2 eller nyere for data, der transmitteres over netværk. Overvej S/MIME- eller PGP-kryptering til e-mailtransmission. Brug SFTP eller SCP i stedet for ukrypteret FTP til filoverførsler. Håndhæv HTTPS med certifikatvalidering til API-kommunikation. De specifikke krav kan også være defineret i kundekontrakten eller i gældende databeskyttelsesregler.

Hvad hvis kunden ikke specificerer transmissionskrav?

I bilag B-vejledningen anføres det, at hvor der ikke findes kontraktlige krav, skal organisationen indhente rådgivning fra kunden inden transmission. I praksis betyder det proaktivt at konsultere kunden om kundens foretrukne transmissionsmetoder, krypteringskrav og procedurer for modtagerverifikation. Dokumentation af denne konsultation og den aftalte tilgang beskytter begge parter og demonstrerer god praksis for revisorer.

Gælder denne kontrol for intern netværkstransmission?

Ja. Kontrollen gælder for PII, der transmitteres via ethvert datatransmissionsnetværk, herunder interne netværk. Selvom eksterne transmissioner typisk indebærer en højere risiko, kan intern netværkstrafik også opsnappes, især i delte miljøer eller cloud-miljøer. Bedste praksis er at kryptere PII under transit, uanset om netværket er internt eller eksternt, og at implementere netværkssegmentering og adgangskontroller for at begrænse eksponering.

Se vores vejledning om krav til revisionsbeviser for den databehandlerspecifikke dokumentation, som revisorer kræver.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.