Hvad kræver kontrol A.3.15?
Organisationens tilgang til håndtering af informationssikkerhed i forbindelse med behandling af personoplysninger og implementeringen heraf, herunder medarbejdere, processer og teknologier, skal gennemgås uafhængigt med planlagte intervaller eller når der sker væsentlige ændringer.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og omhandler behovet for objektiv sikkerhed. Selvevaluering er vigtig, men uafhængig gennemgang giver den troværdighed, som kunder, tilsynsmyndigheder og forretningspartnere har brug for.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.15) fokuserer især på databehandlerkonteksten:
- Upraktiskheden af individuelle revisioner — Hvor individuelle kundeaudits er upraktiske eller kan øge sikkerhedsrisici (f.eks. ved at eksponere andre kunders data), bør databehandlere overveje at stille uafhængig dokumentation til rådighed for kunderne i stedet.
- Dokumentation før og i kontrakten — Uafhængig dokumentation bør stilles til rådighed for kunderne både før og i kontraktperioden, hvilket muliggør løbende sikkerhed
- Acceptabelt revisionsbevis — En relevant uafhængig revision (såsom ISO 27001 certificering eller ISO 27701-certificering) bør normalt være acceptabel for at opfylde en kundes interesse i at gennemgå databehandlerens aktiviteter
- Se også A.3.3: Politikker for informationssikkerhed for relaterede krav
- Se også A.3.4: Roller og ansvar inden for informationssikkerhed for relaterede krav
Dette er især vigtigt for cloud-udbydere og SaaS-platforme, hvor hundredvis af kunder hver især kan have en kontraktlig ret til revision – hvilket gør individuelle revisioner operationelt uigennemførlige.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.15 knytter sig til GDPR Artikel 32(1)(d), som kræver en proces til regelmæssig testning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger, og artikel 32(2), som tager hensyn til risiciene for registrerede ved evaluering af det passende sikkerhedsniveau.
For den fulde GDPR-til-ISO 27701-kortlægning, se Vejledning til overholdelse af GDPR.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 6.15.2.1 (uafhængig gennemgang af informationssikkerhed). 2025-udgaven bevarer kernekravene som A.3.15 med en klarere adskillelse mellem kontrolerklæringen og implementeringsvejledningen i B.3.15. Den praktiske vejledning om brug af uafhængige revisioner til at opfylde kundernes behov for sikring er fortsat et centralt element. Se Bilag F korrespondancetabel for den fulde kortlægning.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.15 vil revisorer typisk se efter:
- Intern revisionsprogram — En dokumenteret tidsplan for uafhængige evalueringer, der dækker PIMS-omfanget, herunder hyppighed og udvælgelseskriterier
- Revisors uafhængighed — Dokumentation for, at kontrollørerne er uafhængige af de områder, der gennemgås, uanset om det er interne revisorer fra en anden afdeling eller eksterne revisionsfirmaer
- Revisionsrapporter — Færdige evalueringsrapporter med resultater, risikovurderinger og anbefalede handlinger
- Sporing af korrigerende handlinger — Dokumentation for, at resultaterne er adresseret gennem dokumenterede korrigerende handlinger med tildelte ejere og måldatoer
- Triggerbaserede anmeldelser — Dokumentation for, at yderligere evalueringer udføres, når der sker væsentlige ændringer, ikke kun med planlagte intervaller
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.16 Overholdelse af politikker | A.3.15 giver uafhængig sikkerhed; A.3.16 Overholdelse af politikker dækker operationel overholdelseskontrol |
| A.3.13 Juridiske og kontraktlige krav | Uafhængige evalueringer bør verificere overholdelse af identificerede juridiske forpligtelser |
| A.3.10 Leverandøraftaler | Leverandørkontrakter kan omfatte revisionsrettigheder, som uafhængige gennemgange kan opfylde |
| A.3.14 Beskyttelse af optegnelser | Revisionsrapporter og -resultater skal beskyttes som compliance-registre |
| A.3.9 Adgangsrettigheder | Uafhængige evalueringer bør vurdere, om adgangskontrollerne for personoplysninger er effektive |
Hvem gælder denne kontrol for?
A.3.15 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Dataansvarlige har brug for uafhængig sikkerhed for, at deres privatlivskontroller fungerer effektivt. Behandlere drager betydelig fordel af denne kontrol, fordi uafhængig revisionsbevis (såsom ISO 27701 eller ISO 27001 certificering) kan opfylde flere kunders revisionskrav samtidigt, hvilket reducerer byrden ved individuelle kunderevisioner.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af uafhængige anmeldelser?
ISMS.online giver praktiske værktøjer til planlægning, udførelse og sporing af uafhængige evalueringer af dit privatlivsprogram:
- Intern revisionsprogram — Planlæg og planlæg revisioner med definitioner af omfang, revisortildelinger og automatiske påmindelser om kommende revisioner
- Arbejdsgange til revisionsstyring — Vejled revisorer gennem gennemgangsprocessen med tjeklister, anmodninger om dokumentation og skabeloner til søgning
- Sporing af korrigerende handlinger — Registrer fund med alvorlighedsvurderinger, tildel ejere, sæt deadlines og spor fremskridt til afslutning
- Generering af bevispakker — Saml revisionsbeviser i strukturerede pakker til eksterne revisorer eller kundeanmodninger om sikkerhed
- Certificeringsstøtte — Bevar din ISO 27701- og ISO 27001-certificeringsstatus med værktøjer til forberedelse af overvågningsrevisioner og gap-analyse
- Kundesikringsportal — Del relevant revisionsbevis med kunder på en sikker måde, hvilket reducerer behovet for individuelle revisioner på stedet
Ofte Stillede Spørgsmål
Hvor ofte bør der udføres uafhængige evalueringer?
Standarden kræver gennemgang med planlagte intervaller eller når der sker væsentlige ændringer. De fleste organisationer udfører formelle uafhængige gennemgange årligt i overensstemmelse med deres ISO 27001-overvågningsrevisionscyklus. Væsentlige ændringer, såsom en større systemmigrering, organisatorisk omstrukturering eller en ny type PII-behandling, bør dog udløse en yderligere gennemgang uden for den planlagte tidsplan.
Kan en intern revision opfylde kravet om uafhængighed?
Ja, forudsat at revisorerne er uafhængige af det område, der gennemgås. Et internt revisionsteam, der ikke rapporterer til ledelsen i det område, der gennemgås, kan yde uafhængig sikkerhed. For databehandlerorganisationer, der søger at opfylde kundernes revisionskrav, giver eksterne certificeringsorganer dog typisk det stærkeste bevis for uafhængighed.
Hvordan hjælper dette databehandlere med at håndtere flere anmodninger om kunderevision?
Implementeringsvejledningen anerkender eksplicit, at individuelle kundeaudits kan være upraktiske og kan øge sikkerhedsrisiciene. Ved at opretholde aktuelle uafhængige revisionsbeviser (såsom ISO 27701- eller ISO 27001-certificeringer) kan databehandlere yde standardiseret sikkerhed til alle kunder. Dette reducerer revisionstræthed, beskytter fortroligheden af andre kunders data og giver en skalerbar tilgang til sikkerhed, efterhånden som kundebasen vokser.
For en komplet gennemgang af certificeringsrevisionen, læs Hvad du kan forvente under din ISO 27701:2025-revision.
Det er afgørende at vælge den rigtige revisor – se hvordan man vælger et certificeringsorgan.
