Hvad kræver kontrol A.3.19?
Der skal defineres og håndhæves regler for tydelige skrivebordsregler for papirer og flytbare lagringsmedier samt regler for tydelige skærme for informationsbehandlingsfaciliteter.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og adresserer en tilsyneladende simpel, men risiko med stor effekt: Personoplysninger, der efterlades synlige på skriveborde eller skærme, kan ses, fotograferes eller tages af alle med fysisk eller visuel adgang til arbejdsområdet. Håndhævelse af politikker for et clear desk og en clear screen skaber en grundlæggende fysisk sikkerhedsdisciplin, der supplerer tekniske adgangskontroller.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.19) indeholder følgende vejledning:
- Minimer produktion af papirkopier — Organisationen bør begrænse fremstillingen af papirbaseret materiale, herunder personoplysninger, til det minimum, der er nødvendigt for at opfylde det identificerede behandlingsformål.
- Flytbare lagringsmedier — Clear desk-regler bør eksplicit omfatte flytbare medier såsom USB-drev, eksterne harddiske og optiske diske, der kan indeholde personoplysninger
- Skærmlåsning — Informationsbehandlingsfaciliteter bør konfigureres til automatisk at låse skærme efter en defineret periode med inaktivitet, og personalet bør trænes i at låse skærme manuelt, når de forlader deres arbejdsplads.
- Se også A.3.18: Fortroligheds- eller tavshedsaftaler for relaterede krav
Vejledningen forstærker en tankegang om privatliv som standard: Hvis PII ikke behøver at eksistere i papirform, bør de slet ikke oprettes. Hvor papirudgaver er uundgåelige, sikrer klarhedsregler, at de er sikret, når de ikke er i aktiv brug.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.19 knyttes til følgende GDPR artikel:
- Artikel 5, stk. 1, litra f) — Princippet om integritet og fortrolighed, der kræver, at personoplysninger behandles på en måde, der sikrer passende sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller beskadigelse
Politikker for et clear desk og clear screen er en praktisk implementering af artikel 5(1)(f), der forhindrer tilfældig eller opportunistisk adgang til personoplysninger i fysiske og digitale arbejdsområder.
For den fulde GDPR-til-ISO 27701-kortlægning, se Vejledning til overholdelse af GDPR.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 6.8.2.9 (politik om et klart skrivebord og en klar skærm). 2025-udgaven bevarer kernekravene som A.3.19 med implementeringsvejledningen samlet i B.3.19. Vægten på at minimere oprettelse af personligt identificerbare oplysninger i papirformat er en bemærkelsesværdig privatlivsspecifik tilføjelse. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.19 vil revisorer typisk se efter:
- Politik om et ryddeligt skrivebord og en klar skærm — En dokumenteret politik, der definerer specifikke regler for sikring af papirer, flytbare medier og skærme, når arbejdsstationer er uden opsyn
- Automatisk konfiguration af skærmlås — Dokumentation for, at informationsbehandlingssystemer er konfigureret til at låse efter en defineret timeout for inaktivitet (typisk 5 til 15 minutter)
- Fysiske sikkerhedsforanstaltninger — Låsbare skuffer, skabe eller sikker opbevaring til dokumenter, der indeholder personoplysninger
- Personalets bevidsthed — Træningsjournaler, der viser, at personalet forstår og er blevet trænet i kravene til et clear desk og en clear screen
- Overholdelseskontrol — Optegnelser over periodiske arbejdspladsinspektioner eller stikprøvekontroller for at verificere overholdelse af reglerne for clear desk
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.5 Klassificering af oplysninger | Klassifikationsmærker angiver, hvilke dokumenter der skal sikres i henhold til reglerne for clear desk |
| A.3.17 Bevidstgørelse og træning | Personaleuddannelse bør omfatte forpligtelser til at være et ryddeligt skrivebord og en skærm |
| A.3.20 Lagringsmedier | Flytbare medier efterladt på skriveborde er en overtrædelse af reglerne for skrivebordsbeskyttelse. |
| A.3.22 Brugerens slutpunktsenheder | Politikker for slutpunkters enheder bør omfatte krav til skærmlåsning |
| A.3.16 Overholdelse af politikker | Regelmæssige compliance-kontroller bør omfatte clear desk- og clear screen-revisioner |
Hvem gælder denne kontrol for?
A.3.19 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Enhver organisation, der behandler PII i fysiske eller digitale arbejdsområder, skal definere og håndhæve regler for et clear desk og en clear screen. Dette er især vigtigt i åbne kontorlandskaber, delte arbejdsområder, co-working-miljøer og ethvert sted, hvor uautoriserede personer kan have visuel adgang til skærme eller dokumenter.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online for overholdelse af et klart skrivebord og en klar skærm?
ISMS.online giver praktiske værktøjer til implementering og vedligeholdelse af politikker for et clear desk og en clear screen:
- Politik skabeloner — Færdigbyggede skabeloner til politikker for clear desk og clear screen, som du kan tilpasse til din organisations specifikke krav og arbejdsområdetyper
- Bevidsthedskampagner — Planlæg og spor medarbejderkommunikation, og sørg for, at alle medarbejdere forstår deres ansvar for at have et clear desk og en clear screen
- Overholdelsestjeklister — Opret og administrer tjeklister til inspektion af arbejdspladser til periodiske stikprøvekontroller, hvor resultaterne er registreret som revisionsbevis
- Træningssporing — Registrer gennemførelsen af træning i clear desk og clear screen for individuelle medarbejdere med automatiske påmindelser om forsinket træning
- Hændelseslogning — Registrer og spor Clear Desk-overtrædelser som sikkerhedshændelser, hvilket muliggør trendanalyse og målrettet afhjælpning
Ofte Stillede Spørgsmål
Hvad skal en Clear Desk-politik dække?
En politik for et clear desk-kontor bør specificere, at alle papirer og flytbare lagringsmedier, der indeholder PII, skal opbevares i aflåste skuffer eller skabe, når de ikke er i aktiv brug. Den bør dække procedurer ved dagens afslutning, regler for at forlade arbejdsstationer i løbet af dagen, bortskaffelse af fortroligt affald og håndtering af delte printere og kopimaskiner. Politikken bør også omfatte adgangsområder for besøgende, hvor PII-dokumenter kan være synlige.
Hvad er den anbefalede timeout for skærmlåsning?
De fleste sikkerhedssystemer anbefaler en automatisk timeout for skærmlåsning på mellem 5 og 15 minutters inaktivitet. Organisationer, der behandler følsomme kategorier af personoplysninger (såsom sundhedsdata eller økonomiske optegnelser), kan vælge en kortere timeout. Timeout'en bør håndhæves centralt via gruppepolitik eller administration af mobile enheder og bør ikke kunne konfigureres af slutbrugere.
Hvordan gælder reglerne for clear desk for fjernarbejdere?
Regler for et clear desk gælder både for fjernarbejdere og hjemmearbejdere. Organisationer bør vejlede i sikring af PII-dokumenter i hjemmemiljøer, herunder aflåselig opbevaring, hvor det er muligt. Fjernarbejdere bør mindes om, at familiemedlemmer og besøgende i hjemmemiljøet ikke har tilladelse til at se PII. Skærmfiltre og automatiske skærmlåseindstillinger bør anvendes på alle enheder, der bruges til fjernarbejde.
Se vores vejledning om krav til revisionsbeviser hvad revisorerne forventer.
