Spring til indhold
ISMS.online

ISO 27701:2025 Delte sikkerhedskontroller: Tabel A.3 Krav

Tabel A.3 indeholder 29 informationssikkerhedskontroller, der gælder for både PII-dataansvarlige og PII-databehandlere. Disse dækker politikker, adgangskontrol, hændelsesstyring, kryptografi og udviklingssikkerhed.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad er de delte sikkerhedskontroller i ISO 27701:2025?

Tabel A.3 af ISO 27701:2025 Bilag A definerer 29 informationssikkerhedskontroller, der gælder for enhver organisation, der behandler personoplysninger, uanset om det er som dataansvarlig, databehandler eller begge dele.

Disse kontroller erstattede de 90+ underklausuler i 2019-udgavens klausul 6. 2025-udgaven beholdt kun de kontroller, der kræver implementeringsvejledning specifikt for personoplysninger, og konsoliderede dem i et fokuseret sæt. Se Bilag F korrespondancetabel for den fulde kortlægning fra 2019 til 2025.

Implementeringsvejledning for hver kontrol findes i bilag B, afsnit B.3 (f.eks. vejledning til A.3.3 Informationssikkerhedspolitikker er ved B.3.3).

Komplet liste over kontroller i tabel A.3

kontrol Emne Resumé
A.3.3 Informationssikkerhedspolitikker Politikker for informationssikkerhed Definer, godkend og kommuniker informationssikkerhedspolitikker relateret til behandling af personoplysninger
A.3.4 Sikkerhedsroller Informationssikkerhedsroller og -ansvar Definer og tildel sikkerhedsroller og ansvar for behandling af personoplysninger
A.3.5 Klassificering af oplysninger Klassificering af oplysninger Klassificer oplysninger under hensyntagen til personoplysninger baseret på fortrolighed, integritet og tilgængelighed
A.3.6 Mærkning af information Mærkning af information Udvikl mærkningsprocedurer, der tager højde for PII-klassificering
A.3.7 Informationsoverførsel Informationsoverførsel Etabler overførselsregler, procedurer og aftaler for personoplysninger
A.3.8 Identitetsstyring Identitetsstyring Administrer den fulde livscyklus for identiteter relateret til PII-behandling
A.3.9 Adgangsrettigheder Adgangsrettigheder Tilvejebringelse, gennemgang, ændring og fjern adgangsrettigheder til personoplysninger
A.3.10 Leverandøraftaler Håndtering af informationssikkerhed inden for leverandøraftaler Etabler sikkerhedskrav til behandling af personoplysninger med hver leverandør
A.3.11 Hændelseshåndtering Planlægning og forberedelse af hændelseshåndtering Planlæg og forbered håndtering af sikkerhedshændelser relateret til personoplysninger
A.3.12 Reaktion på sikkerhedshændelser Reaktion på informationssikkerhedshændelser Reager på PII-relaterede sikkerhedshændelser i henhold til dokumenterede procedurer
A.3.13 Juridiske og lovgivningsmæssige krav Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav Dokumentér juridiske og lovgivningsmæssige krav, der er relevante for sikkerheden ved behandling af personoplysninger
A.3.14 Beskyttelse af optegnelser Beskyttelse af optegnelser Beskyt PII-behandlingsregistre mod tab, ødelæggelse og uautoriseret adgang
A.3.15 Uafhængig gennemgang Uafhængig gennemgang af informationssikkerhed Uafhængigt gennemgå tilgangen til håndtering af PII-relateret sikkerhed
A.3.16 Overholdelse af politikker Overholdelse af politikker, regler og standarder Gennemgå regelmæssigt overholdelse af sikkerhedspolitikker for behandling af personoplysninger
A.3.17 Sikkerhedsbevidsthed og -træning Informationssikkerhedsbevidsthed, uddannelse og træning Sørg for passende sikkerhedsbevidsthedstræning relateret til behandling af personoplysninger
A.3.18 Fortrolighedsaftaler Aftaler om fortrolighed eller tavshedspligt Identificer, dokumenter og gennemgå fortrolighedsaftaler til beskyttelse af personoplysninger
A.3.19 Rydt skrivebord og klar skærm Overskueligt skrivebord og klar skærm Definer og håndhæv regler for clear desk og clear screen for PII-faciliteter
A.3.20 Lagringsmedier Lagermedier Administrer lagringsmedier med PII gennem hele deres livscyklus
A.3.21 Sikker bortskaffelse af udstyr Sikker bortskaffelse eller genbrug af udstyr Bekræft, at PII er fjernet fra udstyret før bortskaffelse eller genbrug
A.3.22 Brugerens slutpunktsenheder Bruger slutpunktsenheder Beskyt personoplysninger på brugerens slutpunktsenheder
A.3.23 Sikker godkendelse Sikker autentificering Implementer sikker godkendelse til PII-behandlingssystemer
A.3.24 Sikkerhedskopiering af oplysninger Sikkerhedskopiering af information Vedligehold og test sikkerhedskopier af PII og relaterede systemer
A.3.25 Logføring Logning Fremstil, opbevar, beskyt og analyser logfiler over behandling af personoplysninger
A.3.26 Brug af kryptografi Brug af kryptografi Definer og implementer kryptografiregler for behandling af personoplysninger
A.3.27 Sikker udviklingslivscyklus Sikker udviklingslivscyklus Etabler regler for sikker udvikling af PII-behandlingssystemer
A.3.28 Applikationssikkerhed Krav til applikationssikkerhed Identificer sikkerhedskrav til personoplysninger ved udvikling eller erhvervelse af applikationer
A.3.29 Sikker systemarkitektur Sikker systemarkitektur og tekniske principper Etabler principper for udvikling af sikre PII-behandlingssystemer
A.3.30 Udliciteret udvikling Udliciteret udvikling Lede, overvåge og gennemgå udvikling af outsourcet PII-behandlingssystem
A.3.31 Testoplysninger Testinformation Udvælg, beskyt og administrer testoplysninger på passende vis til behandling af personoplysninger


ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvordan hænger disse kontroller sammen med 2019-udgaven?

De 29 kontroller i tabel A.3 er direkte efterkommere af 2019-udgavens paragraf 6. 2019-udgaven Punkt 6 indeholdt over 90 underklausuler – de fleste med henvisning til ISO 27002-kontroller. 2025-udgaven fjernede underklausuler, der ikke havde nogen PII-specifik vejledning (fysisk sikkerhed, netværkssikkerhed, malwarebeskyttelse, forretningskontinuitet osv.), og konsoliderede de resterende kontroller.

For den fulde kortlægning, se Bilag F korrespondancetabel.

Hvem skal implementere tabel A.3?

Enhver organisation, der søger ISO 27701:2025-certificering, skal overveje tabel A.3, uanset om de fungerer som PII-ansvarlig eller PII-behandler. Disse kontroller danner informationssikkerhedsgrundlaget for jeres Privacy Information Management System.

Hvis du også har ISO 27001, vil mange af disse kontroller allerede være velkendte. Den væsentligste forskel er, at tabel A.3 tilføjer PII-specifikke krav til hver kontrol — for eksempel A.3.25 Logføring (Logging) kræver specifikt registrering af, hvem der havde adgang til hvilken PII-principals data, og hvilke ændringer der blev foretaget.

Hvorfor vælge ISMS.online for delte sikkerhedskontroller?

ISMS.online hjælper dig med at implementere tabel A.3 sammen med dine andre overholdelseskrav:

  • Integreret med ISO 27001 — Hvis du allerede har ISO 27001-kontroller, se hvor tabel A.3 tilføjer PII-specifikke krav uden at duplikere arbejde
  • Politikstyring — Udarbejde, godkende, distribuere og spore bekræftelse af sikkerhedspolitikker relateret til personoplysninger
  • Incident management — Log, vurder og reager på PII-relaterede sikkerhedshændelser med notifikationssporing
  • Leverandørstyring — Spor leverandøraftaler, sikkerhedskrav og compliance-status
  • Revisionsværktøjer — Planlæg uafhængige gennemgange og overensstemmelseskontroller i forhold til kravene i tabel A.3
  • Bevisforbindelse — Vedhæft politikker, procedurer og revisionsresultater direkte til hver kontrol

Ofte Stillede Spørgsmål

Hvorfor er der kun 29 kontroller, når 2019-udgaven havde 90+ underklausuler?

2019-udgaven henviste til alle ISO 27002-kontroller med PII-relaterede tilføjelser. Mange underafsnit angav blot "ingen yderligere vejledning". 2025-udgaven fjernede disse og beholdt kun de 29 kontroller, der kræver specifik PII-implementeringsvejledning, hvilket gjorde omfanget mere fokuseret og reviderbart.

Har jeg brug for tabel A.3, hvis jeg allerede har ISO 27001?

Ja. Tabel A.3-kontroller er ISO 27701-specifikke krav, ikke ISO 27001-kontroller. De tilføjer PII-fokuserede krav oven i dine eksisterende ISMS-kontroller. Meget af din ISO 27001-dokumentation og implementering vil dog være direkte relevant.

Hvad skete der med kontroller som fysisk sikkerhed og malwarebeskyttelse?

De blev fjernet fra ISO 27701:2025, fordi de ikke krævede implementeringsvejledning specifikt om personoplysninger. Hvis du har ISO 27001, er disse fortsat dækket af standarden. De er ikke fjernet fra dit sikkerhedsprogram – de er bare ikke længere omfattet af ISO 27701.

Registrer dine delte kontrolvalg i en Anvendelseserklæring sammen med din controller- eller processorstyring.

CISO'er, der administrerer det delte kontrolsæt, bør læse vores CISO-vejledning til ISO 27701:2025.

Vores vejledning om krav til revisionsbeviser dækker, hvad revisorer kigger efter på tværs af disse fælles kontroller.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.