Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.3.20: Lagringsmedier

Kontrol A.3.20 kræver, at organisationer håndterer lagringsmedier, der indeholder personoplysninger, gennem hele deres livscyklus, fra anskaffelse til bortskaffelse, i overensstemmelse med deres klassificeringsskema og håndteringskrav.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.3.20?

Lagringsmedier med PII skal håndteres gennem hele deres livscyklus med anskaffelse, brug, transport og bortskaffelse i overensstemmelse med organisationens klassificeringsskema og håndteringskrav.

Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og omhandler hele livscyklussen for ethvert fysisk eller flytbart medie, der lagrer personoplysninger. I modsætning til rent digitale sikkerhedskontroller fokuserer A.3.20 på de håndgribelige risici for, at medier mistes, stjæles, opfanges eller bortskaffes forkert i hvert trin af deres rejse gennem organisationen.

Hvad står der i implementeringsvejledningen i bilag B?

Bilag B (afsnit B.3.20) indeholder omfattende vejledning, der dækker flere nøgleområder:

  • Dokumentér al brug af flytbare medier — Organisationen bør dokumentere enhver brug af flytbare medier eller enheder til lagring af personoplysninger og oprette en revisionsbar registrering af, hvilke medier der findes, og hvor de bruges.
  • Krypter hvor det er muligt — Flytbare fysiske medier eller enheder, der anvendes til lagring af personoplysninger, bør tillade kryptering. Ukrypterede medier bør kun anvendes, hvor det er uundgåeligt, med kompenserende kontroller såsom manipulationssikret emballage for at mindske risici.
  • Sikre bortskaffelsesprocedurer — Hvor flytbare medier, der indeholder PII, bortskaffes, skal sikre bortskaffelsesprocedurer dokumenteres og implementeres for at sikre, at tidligere lagrede PII ikke er tilgængelige.
  • Kontrolelementer til overførsel af fysiske medier — Et system bør registrere indgående og udgående fysiske medier, der indeholder personoplysninger, herunder medietype, autoriseret afsender, autoriserede modtagere, dato og tidspunkt samt medievolumen.
  • Kryptering i transit — Hvor det er muligt, bør yderligere foranstaltninger såsom kryptering sikre, at data kun kan tilgås på bestemmelsesstedet og ikke undervejs.
  • Tilladelse før afgang fra lokalet — Fysiske medier, der indeholder personoplysninger, skal gennemgå en godkendelsesprocedure, før de forlader organisationens lokaler, hvilket sikrer, at personoplysninger ikke er tilgængelige for andre end autoriseret personale.

Vejledningen understreger, at flytbare medier, der tages uden for organisationens fysiske lokaler, er særligt sårbare overfor tab, beskadigelse og upassende adgang. Kryptering af flytbare medier tilføjer et kritisk lag af beskyttelse, der reducerer både sikkerheds- og privatlivsrisici, hvis mediet kompromitteres.

Hvordan relaterer dette sig til GDPR?

Kontrol A.3.20 knyttes til følgende GDPR artikler:

  • Artikel 5, stk. 1, litra f) — Princippet om integritet og fortrolighed, der kræver passende sikkerhed, herunder beskyttelse mod uautoriseret behandling og utilsigtet tab
  • Artikel 32 (1) (a) — Kravet om at implementere passende tekniske og organisatoriske foranstaltninger, herunder pseudonymisering og kryptering af personoplysninger

GDPR's eksplicitte omtale af kryptering i artikel 32(1)(a) stemmer direkte overens med A.3.20's vægtning af kryptering af flytbare medier, hvor det er muligt.

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav spredt ud over klausul 6.5.3.1 (håndtering af flytbare medier), 6.5.3.2 (bortskaffelse af medier), 6.5.3.3 (overførsel af fysiske medier) og 6.8.2.5. 2025-udgaven konsoliderer alle disse i en enkelt kontrol A.3.20, hvilket giver et mere sammenhængende livscyklusbillede af håndtering af lagringsmedier. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book en demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.3.20 vil revisorer typisk se efter:

  • Mediebeholdning — Et register over alle flytbare og bærbare lagringsmedier, der anvendes til personoplysninger, herunder medietype, ejer, klassificeringsniveau og fysisk placering
  • Krypteringspolitik og bevismateriale — En politik, der kræver kryptering af flytbare medier, der indeholder personoplysninger, med bevis for, at kryptering håndhæves (f.eks. BitLocker, hardwarekrypterede USB-drev)
  • Overførselslog — Optegnelser over fysiske medieoverførsler, der viser afsender, modtager, autorisation, dato og medietype
  • Bortskaffelsesregistre — Destruktionsattester eller sikre bortskaffelseslogge for medier, der er blevet taget ud af drift
  • Godkendelsesprocedurer — En dokumenteret proces til godkendelse af fjernelse af PII-holdige medier fra organisationens lokaler

Hvad er de relaterede kontroller?

kontrol Relationship
A.3.5 Klassificering af oplysninger Krav til mediehåndtering bestemmes af klassificeringen af ​​den PII, den indeholder.
A.3.6 Mærkning af oplysninger Lagringsmedier skal mærkes i henhold til deres klassificeringsniveau
A.3.21 Sikker bortskaffelse eller genbrug Bortskaffelse af udstyr, der indeholder lagringsmedier, skal følge sikre procedurer
A.3.26 Brug af kryptografi Krypteringskrav til medier er underlagt kryptografipolitikken.
A.3.7 Informationsoverførsel Fysisk medieoverførsel er en form for informationsoverførsel, der er omfattet af A.3.7 Informationsoverførsel

Hvem gælder denne kontrol for?

A.3.20 er en delt kontrol Det gælder både for PII-controllere og PII-processorer. Enhver organisation, der bruger fysiske eller flytbare lagringsmedier til PII, skal administrere dette medie gennem hele dets livscyklus. Dette er især relevant for organisationer, der overfører PII via flytbare medier mellem lokationer, til tredjeparter eller til klienter.



ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvorfor vælge ISMS.online til håndtering af lagringsmedier?

ISMS.online giver praktiske værktøjer til håndtering af lagringsmedier, der indeholder personoplysninger:

  • Aktivregister — Vedligehold en central fortegnelse over alle lagringsmedier, knyttet til klassificeringsniveauer, ejere og fysiske placeringer, med livscyklussporing fra anskaffelse til bortskaffelse
  • Overfør arbejdsgange — Log og godkend overførsler af fysiske medier med godkendelsesworkflows, hvilket sikrer, at alle bevægelser registreres og kan revideres
  • Sporing af bortskaffelse — Registrer sikre bortskaffelseshændelser med destruktionscertifikater, der er direkte knyttet til aktivregisteret for fuld sporbarhed
  • Politikstyring — Udgiv og distribuer politikker for lagringsmedier med kvitteringssporing, så du kan demonstrere, at personalet forstår kravene
  • Pakker med revisionsbeviser — Generer præbyggede bevispakker til A.3.20, der samler dit medielager, overførselslogge, bortskaffelsesregistre og politikbekræftelser

Ofte Stillede Spørgsmål

Hvad tæller som lagringsmedier under denne kontrol?

Lagringsmedier omfatter enhver fysisk enhed, der kan lagre data: USB-flashdrev, eksterne harddiske, SD-kort, optiske diske (cd'er, dvd'er, Blu-ray), magnetbånd, solid-state-drev og endda papiroptegnelser. Kontrollen dækker både flytbare medier og medier, der er indbygget i bærbart udstyr såsom bærbare computere. Hvis mediet kan lagre personoplysninger og kan forlade organisationens lokaler, falder det ind under anvendelsesområdet for A.3.20.

Er kryptering obligatorisk for alle flytbare medier?

Vejledningen fastslår, at kryptering bør anvendes, hvor det er muligt. Ukrypterede medier bør kun anvendes, hvor det er uundgåeligt, og der skal være kompenserende kontroller på plads. I praksis gør moderne hardwarekrypterede USB-drev og fulddiskkrypteringsværktøjer kryptering mulig i næsten alle scenarier. Revisorer vil forvente en klar begrundelse for alle tilfælde, hvor kryptering ikke anvendes.

Hvordan bør organisationer håndtere cloudlagring under denne kontrol?

A.3.20 fokuserer specifikt på fysiske og flytbare lagringsmedier snarere end cloud-lagring. Cloud-lagring er omfattet af andre kontroller, herunder A.3.10 Leverandøraftaler (leverandøraftaler) og A.3.7 Informationsoverførsel (informationsoverførsel). Hvis data downloades fra cloud-lagring til flytbare medier, falder disse medier straks ind under anvendelsesområdet for A.3.20 og skal håndteres i overensstemmelse hermed.

Registrer denne kontrol i din Anvendelseserklæring med din implementeringsmetode.

Se vores vejledning om krav til revisionsbeviser hvad revisorerne forventer.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.