Hvad kræver kontrol A.3.16?
Overholdelse af organisationens informationssikkerhedspolitik, emnespecifikke politikker, regler og standarder relateret til behandling af personoplysninger skal regelmæssigt gennemgås.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og fokuserer på operationel verifikation — kontrol af, at de kontroller, du har dokumenteret, faktisk følges i praksis. A.3.15 Uafhængig gennemgang omhandler uafhængig gennemgang på strategisk niveau, og A.3.16 sikrer, at den daglige overholdelse overvåges.
Forstå den fulde revisionsprocessen i vores guide: Hvad du kan forvente under din ISO 27701:2025-revision.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.16) indeholder følgende vejledning:
- Gennemgå værktøjer og komponenter — Inkluder metoder til at gennemgå værktøjer og komponenter relateret til PII-behandling, ikke kun politikker og procedurer
- Løbende overvågning — Dette kan omfatte løbende eller periodisk overvågning for at verificere, at kun tilladt behandling finder sted
- Penetrations- og sårbarhedstest — Specifikke tests såsom penetrationstest eller sårbarhedsvurderinger kan være en del af compliance-gennemgangsprogrammet
- Motiveret testning af ubudne gæster — Vejledningen nævner specifikt motiverede ubudne gæsters test på anonymiserede datasæt for at verificere, at anonymiserings- eller pseudonymiseringsforanstaltninger er effektive.
- Se også A.3.3: Politikker for informationssikkerhed for relaterede krav
- Se også A.3.4: Roller og ansvar inden for informationssikkerhed for relaterede krav
Vejledningen gør det klart, at compliance-evaluering ikke blot er en papirøvelse. Teknisk testning – herunder forsøg på at genidentificere anonymiserede data – er en vigtig del af at verificere, at privatlivskontrollerne fungerer som tilsigtet.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.16 knytter sig til GDPR Artikel 32(1)(d), som kræver en proces til regelmæssig afprøvning, vurdering og evaluering af effektiviteten af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden, og artikel 32(2), som kræver hensyntagen til de risici, som behandling udgør for registrerede.
For den fulde GDPR-til-ISO 27701-kortlægning, se Vejledning til overholdelse af GDPR.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 6.15.2.2 (overholdelse af sikkerhedspolitikker og -standarder) og 6.15.2.3 (teknisk overholdelsesgennemgang). 2025-udgaven konsoliderer disse i en enkelt kontrol (A.3.16), der kombinerer politikoverholdelsesgennemgange med teknisk overholdelsestest under ét krav. Se Bilag F korrespondancetabel for den fulde kortlægning.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.16 vil revisorer typisk se efter:
- Tidsplan for compliance-gennemgang — Et dokumenteret program med regelmæssige compliance-kontroller, der dækker alle politikker og standarder relateret til personoplysninger
- Gennemgå optegnelser — Dokumentation for gennemførte evalueringer, herunder hvad der blev vurderet, resultaterne og eventuelle identificerede afvigelser
- Tekniske testrapporter — Resultater af penetrationstests, sårbarhedsscanninger eller andre tekniske vurderinger, der evaluerer effektiviteten af PII-sikkerhedskontroller
- Overvågningsbeviser — Logfiler eller rapporter fra løbende overvågningssystemer, der verificerer, at kun tilladt behandling af personoplysninger finder sted
- Sporing af korrigerende handlinger — Dokumentation for, at afvigelser identificeret under gennemgange registreres, tildeles og løses med dokumenteret opfølgning.
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.15 Uafhængig gennemgang | A.3.15 Uafhængig gennemgang yder strategisk uafhængig sikkerhed; A.3.16 dækker operationel compliance-kontrol |
| A.3.9 Adgangsrettigheder | Overholdelseskontroller bør verificere, at adgangskontrolpolitikker følges |
| A.3.13 Juridiske og kontraktlige krav | Compliance-evalueringer bør dække overholdelse af juridiske forpligtelser |
| A.3.17 Bevidstgørelse og træning | Manglende overholdelse af regler indikerer ofte mangler i uddannelse, der skal afhjælpes |
| A.3.14 Beskyttelse af optegnelser | Gennemgangsregistreringer og testrapporter skal beskyttes som dokumentation for overholdelse af regler |
Hvem gælder denne kontrol for?
A.3.16 er en delt kontrol Det gælder både for PII-dataansvarlige og PII-databehandlere. Begge roller skal verificere, at deres dokumenterede politikker og tekniske kontroller følges. For databehandlere omfatter dette verifikation af, at behandlingen er begrænset til den dataansvarliges instruktioner, og at tekniske foranstaltninger såsom kryptering og adgangskontrol fungerer som tilsigtet.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til løbende compliance-evalueringer?
ISMS.online giver praktiske værktøjer til overvågning og verificering af overholdelse af regler på tværs af dit privatlivsprogram:
- Planlægger for compliance-gennemgang — Planlæg og planlæg regelmæssige compliance-kontroller med automatiserede påmindelser, opgavetildelinger og registrering af forfaldsdatoer
- Sporing af politikbekræftelse — Bekræft, at personalet har læst og anerkendt aktuelle versioner af politikker vedrørende personoplysninger, med automatiske påmindelser til dem, der ikke har gjort det.
- Håndtering af manglende overensstemmelse — Registrer resultater fra compliance-evalueringer, tildel korrigerende handlinger, spor fremskridt og verificer afslutning
- Overvågning af kontroleffektivitet — Spor ydeevnen af individuelle kontroller over tid, identificer tendenser og tilbagevendende problemer
- Rapportering af betjeningspanel — Dashboards over compliance i realtid, der viser status for evalueringer, udestående resultater og programmets samlede tilstand
Ofte Stillede Spørgsmål
Hvor ofte skal der udføres compliance-evalueringer?
Standarden kræver regelmæssige gennemgange, men specificerer ikke hyppigheden. Bedste praksis er at etablere et rullende gennemgangsprogram, der dækker alle PII-relaterede politikker og kontroller inden for en defineret cyklus – typisk årligt for lavrisikoområder og kvartalsvis for højrisikobehandlingsaktiviteter. Teknisk testning såsom sårbarhedsscanninger kan udføres oftere, ofte månedligt eller efter betydelige systemændringer.
Hvad er en motiveret indbrudstest, og hvornår er den nødvendig?
En motiveret ubuden gæst-test vurderer, om en målrettet modstander med adgang til offentligt tilgængelige oplysninger kan genidentificere individer fra anonymiserede eller pseudonymiserede datasæt. Implementeringsvejledningen anbefaler denne type test, hvor organisationer er afhængige af anonymisering eller pseudonymisering som en privatlivskontrol. Hvis testen viser, at genidentifikation er mulig, er anonymiseringsmetoden utilstrækkelig og skal styrkes.
Hvordan adskiller dette sig fra den uafhængige gennemgang i A.3.15 Uafhængig gennemgang?
A.3.15 Uafhængig gennemgang fokuserer på periodiske, strategiske gennemgange udført af uafhængige parter (interne revisorer eller eksterne certificeringsorganer), der vurderer den overordnede tilgang til styring af informationssikkerhed. A.3.16 fokuserer på regelmæssig, operationel compliance-kontrol — verifikation af, at specifikke politikker, regler og tekniske standarder følges i den daglige drift. Begge er nødvendige: A.3.15 Uafhængig gennemgang giver sikkerhed på systemniveau, mens A.3.16 fanger operationelle afvigelser mellem formelle revisioner.
Vores vejledning om krav til revisionsbeviser beskriver, hvad revisorer af compliance-dokumentation leder efter.
