Hvad kræver kontrol A.3.11?
Organisationen skal planlægge og forberede håndtering af informationssikkerhedshændelser relateret til behandling af personoplysninger ved at definere, etablere og kommunikere processer, roller og ansvarsområder for hændelseshåndtering.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3), som indeholder forpligtelser for både PII-ansvarlige og PII-behandlere. Det fokuserer specifikt på planlægnings- og forberedelsesfasen – at sikre, at din organisation er klar til at reagere, før en hændelse indtræffer, i stedet for at kæmpe efter et brud.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.11) indeholder følgende vejledning:
- Etabler procedurer for identifikation og registrering — Definer klare ansvarsområder og procedurer for identifikation og registrering af brud på personoplysninger, herunder hvordan man klassificerer en hændelses alvorlighed
- Etablere underretningsprocedurer — Opret dokumenterede procedurer for underretning af relevante parter om brud på personoplysninger, herunder tidspunktet for underretninger
- Tag højde for juridiske krav — Tag hensyn til gældende love og regulatoriske krav til anmeldelse af brud, som varierer fra jurisdiktion til jurisdiktion
- Jurisdiktionel bevidsthed — Nogle jurisdiktioner pålægger specifikke regler for håndtering af brud med definerede tidsfrister og indholdskrav til anmeldelser
Vejledningen understreger, at hændelsesplanlægning ikke kan være generisk. Procedurer skal tage højde for de specifikke typer af personoplysninger, som din organisation behandler, de jurisdiktioner, hvor du opererer, og de underretningskrav, der gælder for dine omstændigheder.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.11 knytter sig til flere GDPR artikler:
- Artikel 5, stk. 1, litra f) — Integritet og fortrolighed, herunder evnen til at reagere på brud
- Artikel 33 (1) — Dataansvarlige skal underrette tilsynsmyndigheden inden for 72 timer efter at være blevet opmærksomme på et brud
- Artikel 33(3)(ad) — Underretninger skal indeholde bruddets art, kontaktpunkt, sandsynlige konsekvenser og trufne foranstaltninger
- Artikel 33(4-5) — Oplysninger kan gives i faser; den dataansvarlige skal dokumentere alle brud
- Artikel 34(1-4) — Underretning af brud til registrerede, når der er en høj risiko for deres rettigheder og friheder
72-timen GDPR Meddelelsesvinduet gør forudgående planlægning afgørende. Uden forudbestemte processer er det ekstremt vanskeligt at overholde denne deadline.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 6.13.1.4, som omhandlede ansvar og procedurer for hændelseshåndtering. 2025-udgaven bevarer kernekravene som A.3.11, men giver en klarere adskillelse mellem kontrolerklæringen og implementeringsvejledningen i B.3.11. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.11 vil revisorer typisk se efter:
- Politik og procedurer for hændelseshåndtering — En dokumenteret plan, der dækker identifikation, klassificering, eskalering og anmeldelse af brud på personoplysninger
- Definerede roller og ansvar — Tydelig fordeling af, hvem der gør hvad under en hændelse, herunder en udpeget hændelsesleder og en underretningskoordinator
- Meddelelsesskabeloner — Forudbehandlede skabeloner til underretning af tilsynsmyndigheder, berørte personer og forretningspartnere, i overensstemmelse med lovkrav
- Register over lovkrav — En dokumenteret liste over forpligtelser til at underrette om brud efter jurisdiktion, herunder tidsfrister og indholdskrav
- Trænings- og øvelsesjournaler — Dokumentation for, at indsatshold er blevet trænet, og at planen er blevet testet gennem bordøvelser eller simuleringer.
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.12 Reaktion på hændelser | A.3.11 dækker planlægning; A.3.12 Reaktion på sikkerhedshændelser dækker den faktiske reaktion, når en hændelse indtræffer |
| A.3.13 Juridiske og kontraktlige krav | Tidsfrister og forpligtelser for anmeldelse af brud afhænger af gældende lovkrav |
| A.3.17 Bevidstgørelse og træning | Medarbejdere skal vide, hvordan de genkender og rapporterer potentielle PII-hændelser |
| A.3.14 Beskyttelse af optegnelser | Hændelsesregistre skal beskyttes mod tab, ødelæggelse eller uautoriseret adgang |
| A.3.10 Leverandøraftaler | Leverandørkontrakter bør indeholde forpligtelser til at underrette om brud og tidsfrister for svar |
Hvem gælder denne kontrol for?
A.3.11 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Dataansvarlige har den primære forpligtelse til at underrette tilsynsmyndigheder og berørte personer, mens databehandlere skal have procedurer på plads til at opdage og rapportere brud til deres dataansvarlige uden unødig forsinkelse. Begge roller har brug for dokumenterede, testede hændelseshåndteringsplaner.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online til planlægning af hændelseshåndtering?
ISMS.online giver praktiske værktøjer til at opbygge og vedligeholde din PII-hændelsesresponskapacitet:
- Incident management arbejdsgange — Forudbyggede, konfigurerbare arbejdsgange, der guider dit team gennem trinene til identifikation, klassificering, eskalering og notifikation
- Rolletildeling — Definer hændelsesroller og -ansvar med klare eskaleringsruter, så alle kender deres rolle, før en hændelse opstår
- Notifikationssporing — Spor meddelelser fra tilsynsmyndigheder og registrerede i forhold til lovgivningsmæssige frister med automatiske advarsler, når tidsfristerne nærmer sig
- Overtrædelsesregister — Vedligehold en komplet log over alle PII-hændelser med alvorlighedsvurderinger, reaktionstiltag og resultater, der opfylder dokumentationskravet i henhold til GDPR artikel 33(5)
- Motionsstyring — Planlæg og registrer bordøvelser og planlæg gennemgange for at demonstrere løbende beredskab
Ofte Stillede Spørgsmål
Hvor specifikke bør procedurer for håndtering af hændelser være?
Procedurer bør være specifikke nok til, at et teammedlem kan følge dem under pres uden tvetydighed. Dette betyder navngivne roller (ikke kun jobtitler), specifikke kontaktoplysninger, trinvise eskaleringsruter og forudforberedte notifikationsskabeloner. Generiske procedurer, der ikke tager højde for PII-specifikke krav og jurisdiktionelle notifikationsfrister, vil ikke tilfredsstille revisorer.
Hvilke jurisdiktionelle faktorer påvirker planlægningen af anmeldelse af brud?
Underretningskravene varierer betydeligt fra jurisdiktion til jurisdiktion. GDPR pålægger en frist på 72 timer for underretning af tilsynsmyndigheder. Andre jurisdiktioner kan have forskellige tidsfrister, forskellige tærskler for, hvornår underretning er påkrævet, og forskellige krav til indholdet af underretninger. Din hændelsesplan skal tage højde for hver jurisdiktion, hvor du behandler personoplysninger.
Hvor ofte skal beredskabsplaner testes?
Bedste praksis er at udføre mindst én øvelse om året med yderligere evalueringer, når der sker en væsentlig ændring i dine behandlingsaktiviteter, IT-infrastruktur eller organisationsstruktur. Standarden kræver, at planer gennemgås med planlagte intervaller eller når der sker væsentlige ændringer. Dokumentation af resultaterne af hver øvelse og eventuelle forbedringer er afgørende for revisionsbeviser.
Forstå de fulde omkostningsmæssige konsekvenser af privatlivshændelser i vores omkostninger ved manglende overholdelse vs. certificering analyse.
Se vores vejledning om krav til revisionsbeviser for den hændelsesdokumentation, som revisorer forventer.
