Hvad kræver kontrol A.3.17?
Organisationens personale og relevante interessenter skal modtage passende uddannelse og træning i informationssikkerhed samt regelmæssige opdateringer af organisationens informationssikkerhedspolitik, emnespecifikke politikker og procedurer, alt efter hvad der er relevant for deres jobfunktion, i forbindelse med behandling af personoplysninger.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og anerkender, at selv de bedste tekniske kontroller fejler, hvis de personer, der betjener dem, ikke forstår deres ansvar. Træning skal skræddersys til hver persons rolle og skal genopfriskes regelmæssigt og ikke leveres som en engangsøvelse.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.17) indeholder følgende vejledning:
- Bevidsthed om rapportering af hændelser — Øge bevidstheden om, hvordan man genkender og rapporterer potentielle PII-hændelser, og sikre, at alle medarbejdere forstår rapporteringskanalerne og vigtigheden af rettidig eskalering
- Konsekvenser af brud — Sørg for, at medarbejderne er opmærksomme på konsekvenserne af at overtræde reglerne for privatlivets fred og sikkerhed, idet de dækker tre dimensioner:
- For organisationen — Juridiske sanktioner, tab af forretning, omdømmeskade
- Til medarbejderen — Disciplinære konsekvenser, herunder potentiel afskedigelse
- For PII-princippet — Fysisk, materiel og følelsesmæssig skade, som enkeltpersoner kan lide
- Se også A.3.19: Rydt skrivebord og klar skærm for relaterede krav
- Periodisk træning i adgang til personoplysninger — Inkluder passende periodisk træning specifikt for personale, der har adgang til personoplysninger, som går ud over generel sikkerhedsbevidsthed
Vejledningen understreger, at bevidsthed ikke er nok i sig selv. Personalet skal forstå de reelle konsekvenser af forkert håndtering af personoplysninger – ikke blot abstrakte politikudsagn, men den konkrete indvirkning på personer, hvis data er kompromitteret.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.17 knytter sig til GDPR Artikel 39(1)(b) (relateret bestemmelse, ikke formelt kortlagt i bilag D), som tildeler databeskyttelsesrådgiveren opgaven med at overvåge overholdelsen, herunder tildeling af ansvarsområder, bevidstgørelse og uddannelse af personale involveret i behandlingsaktiviteter. Selvom ikke alle organisationer har en databeskyttelsesrådgiver, GDPR gør det klart, at træning er en kerneaktivitet inden for compliance.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af punkt 6.4.2.2 (bevidsthed om informationssikkerhed, uddannelse og træning). 2025-udgaven bevarer kernekravene som A.3.17, med en klarere adskillelse mellem kontrolerklæringen og implementeringsvejledningen i B.3.17. Den tredimensionelle tilgang til konsekvensbevidsthed (organisation, medarbejder, PII-hovedperson) er fortsat et karakteristisk træk ved vejledningen. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.17 vil revisorer typisk se efter:
- Træningsprogram — Et dokumenteret program, der dækker privatlivs- og sikkerhedsbevidsthed, med indhold skræddersyet til forskellige roller og niveauer af PII-adgang
- Færdiggørelsesregistre — Dokumentation for, at alt relevant personale har gennemført den krævede træning, med datoer, scorer (hvis relevant) og optegnelser over eventuel efteruddannelse
- Regelmæssige opdateringer — Dokumentation for, at træningsindholdet opdateres, når politikker ændres, og at personalet underrettes om politikopdateringer
- Rollespecifik træning — Yderligere træning for personale med udvidet PII-adgang eller specialiserede behandlingsroller, ud over den generelle viden
- Effektivitetsmåling — Dokumentation for, at træningsprogrammets effektivitet evalueres, f.eks. gennem vidensvurderinger, phishing-simuleringer eller analyse af hændelsestrends
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.11 Planlægning af hændelseshåndtering | Træningen bør dække, hvordan man genkender og rapporterer PII-hændelser |
| A.3.18 Fortrolighedsaftaler | Træning styrker de fortrolighedsforpligtelser, som personalet har underskrevet |
| A.3.9 Adgangsrettigheder | Personale med PII-adgang har brug for målrettet træning i deres adgangsansvar |
| A.3.16 Overholdelse af politikker | Resultater af compliance-gennemgangen kan afsløre mangler i uddannelse, der skal afhjælpes |
| A.3.12 Reaktion på hændelser | Træning i håndtering af hændelser sikrer, at medarbejderne kender deres rolle, når der opstår et brud |
Hvem gælder denne kontrol for?
A.3.17 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Alt personale, der behandler PII, eller som kan påvirke sikkerheden af PII, har brug for passende træning. Dette omfatter ikke kun fastansatte medarbejdere, men også leverandører, midlertidigt ansatte og relevante interessenter, der interagerer med personoplysninger eller de systemer, der behandler dem.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvorfor vælge ISMS.online til træning i privatlivsbevidsthed?
ISMS.online tilbyder praktiske værktøjer til at opbygge og vedligeholde en privatlivsbevidst arbejdsstyrke:
- Administration af træningsmoduler — Opret, tildel og spor færdiggørelsen af træningsmoduler, der er skræddersyet til forskellige roller og niveauer af PII-adgang
- Automatiseret planlægning — Indstil træningsfrekvenser efter rolle, med automatiske påmindelser om første gennemførelse og periodiske opfriskningskurser
- Sporing af politikbekræftelse — Sørg for, at alle medarbejdere læser og anerkender opdaterede privatlivspolitikker, med dashboards til færdiggørelse og eskalering af personer, der ikke svarer
- Færdiggørelsesrapportering — Generer revisionsklare rapporter, der viser, hvem der har gennemført træningen, hvornår, og eventuelle udestående krav
- Integration med hændelsesstyring — Forbind træningsregistreringer med hændelsesdata, så du kan identificere, om huller i træningen har bidraget til PII-hændelser
- Onboarding af ny starter — Tildel automatisk privatlivstræning til nye medarbejdere som en del af onboarding-workflowet
Ofte Stillede Spørgsmål
Hvor ofte bør træning i privatlivsbevidsthed opdateres.
Standarden kræver regelmæssige opdateringer, men foreskriver ikke en specifik hyppighed. De fleste organisationer leverer årlig opfriskningstræning for alt personale med yderligere træning, når der sker væsentlige politikændringer. Personale i højrisikoroller, der håndterer følsomme personoplysninger, kan have brug for hyppigere træning. Nøglen er at demonstrere, at træningen er løbende og reagerer på ændringer, ikke en engangsbegivenhed.
Bør træningen dække konsekvenserne for PII-ledere?
Ja. Implementeringsvejledningen kræver specifikt, at medarbejderne forstår konsekvenserne af brud på privatlivets fred på tværs af tre dimensioner: for organisationen, for dem selv og for den personoplysninger, der er ansvarlig for den personoplysninger. Ved at inkludere eksempler fra den virkelige verden på skade på enkeltpersoner – såsom identitetstyveri, økonomisk tab eller følelsesmæssig nød – hjælper man medarbejderne med at forstå, hvorfor privatlivskontroller er vigtige ud over abstrakte compliance-krav.
Gælder dette for entreprenører og vikarer?
Ja. Kontrollen gælder for organisationens personale og relevante interessenter. Dette omfatter entreprenører, vikarer, konsulenter og alle andre personer, der har adgang til personoplysninger eller systemer, der behandler personoplysninger. Træning bør gives, før de begynder at behandle personoplysninger, og den bør være passende for deres rolle og varigheden af deres engagement.
Inkluder træningskrav i din Anvendelseserklæring og knytte dem til specifikke kontrolforpligtelser.
Utilstrækkelig træning er en af de de mest almindelige implementeringsfejl — undgå det ved at integrere bevidsthed i dit PIMS fra starten.
