Hvad kræver kontrol A.3.22?
Personoplysninger, der er lagret på, behandlet af eller tilgængelige via brugerens slutpunktsenheder, skal beskyttes.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og omhandler et af de mest betydelige risikoområder i moderne PII-behandling: endpoint-enheder. Bærbare computere, smartphones, tablets og andre bærbare enheder skaber en stor og distribueret angrebsflade. De kan mistes eller stjæles, bruges på usikre netværk, deles med uautoriserede personer eller kompromitteres af malware. A.3.22 kræver, at organisationer implementerer kontroller, der beskytter PII, uanset hvor og hvordan endpoint-enheder bruges.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.22) indeholder følgende vejledning:
- Forhindr kompromittering af mobilenheder — Organisationen bør sikre, at brugen af mobile enheder ikke fører til kompromittering af personoplysninger
- Se også A.3.24: Sikkerhedskopiering af information for relaterede krav
- Se også A.3.25: Logføring for relaterede krav
Selvom implementeringsvejledningen er kortfattet, er kontrollens omfang bredt. Beskyttelse af personoplysninger på endpoint-enheder kræver en kombination af tekniske kontroller (kryptering, fjernsletning, skærmlås), politikkontroller (acceptabel brug, BYOD-regler) og oplysningsforanstaltninger (uddannelse af personale i sikker enhedsbrug). Kontrollen gælder for alle tre scenarier: personoplysninger, der er gemt lokalt på enheden, personoplysninger, der aktivt behandles af enheden, og personoplysninger, der er tilgængelige eksternt via enheden.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.22 knyttes til følgende GDPR artikel:
- Artikel 5, stk. 1, litra f) — Princippet om integritet og fortrolighed, der kræver passende sikkerhed for personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab
Mistede eller stjålne enheder er en af de mest almindeligt rapporterede typer af brud. GDPRImplementering af robust endpoint-beskyttelse er en praktisk og påviselig måde at opfylde artikel 5(1)(f) på.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 6.8.2.8 (uovervåget brugerudstyr). 2025-udgaven konsoliderer disse i A.3.22, hvilket udvider omfanget fra mobile enheder specifikt til alle brugerens slutpunkter. Dette afspejler den realitet, at sondringen mellem mobile og faste slutpunkter er blevet mindre meningsfuld. Se Bilag F korrespondancetabel for den fulde kortlægning.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.22 vil revisorer typisk se efter:
- Politik for slutpunktssikkerhed — En dokumenteret politik, der dækker acceptabel brug, krypteringskrav, indstillinger for skærmlås, administration af programrettelser og fjernsletning for alle enhedstyper
- Administration af mobilenheder (MDM) — Dokumentation for, at en centraliseret MDM- eller endpoint-administrationsløsning er implementeret, med konfigurationsprofiler, der håndhæver sikkerhedsgrundlinjer
- Fuld diskkryptering — Bevis for, at alle slutpunkter med PII har fuld diskkryptering aktiveret (f.eks. BitLocker, FileVault eller enhedsnative kryptering)
- Fjernsletning — Dokumenteret evne til at fjernslette eller låse mistede eller stjålne enheder
- BYOD-kontroller — Hvis personlige enheder er tilladt til arbejdsbrug, en BYOD-politik, der specificerer sikkerhedskrav, containerisering og organisationens ret til at slette virksomhedsdata
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.19 Rydt skrivebord og ryddelig skærm | Krav til skærmlåsning på slutpunkter implementerer klare skærmregler |
| A.3.23 Sikker godkendelse | Godkendelseskontroller beskytter adgang til PII via endpoint-enheder |
| A.3.26 Brug af kryptografi | Kryptering af endpoint-lagring er en vigtig beskyttelsesforanstaltning |
| A.3.20 Lagringsmedier | Flytbare medier, der bruges med endpoints, skal følge reglerne for mediehåndtering |
| A.3.21 Sikker bortskaffelse eller genbrug | Endepunkter skal slettes sikkert før bortskaffelse eller omplacering |
Hvem gælder denne kontrol for?
A.3.22 er en delt kontrol Det gælder både for PII-controllere og PII-behandlere. Enhver organisation, hvis personale bruger endpoint-enheder til at gemme, behandle eller tilgå PII, skal implementere passende beskyttelse. Dette omfatter organisationer med fjernarbejdere, feltpersonale, BYOD-politikker eller ethvert scenarie, hvor PII kan tilgås uden for virksomhedens netværks perimeter.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til administration af endpoint-enheder?
ISMS.online tilbyder praktiske værktøjer til styring af sikkerheden hos endpoint-enheder:
- Enhedsregister — Vedligehold en central fortegnelse over alle endpoint-enheder med PII-adgang, knyttet til ejere, sikkerhedskonfigurationer og compliance-status
- Politikstyring — Udgiv og distribuer politikker for slutpunktssikkerhed og BYOD med bekræftelsessporing og versionskontrol
- Risikovurderinger — Kør målrettede risikovurderinger for endpoint-relaterede trusler med præbyggede risikoscenarier for mistede enheder, usikre netværk og BYOD (Bring Your Own Device)
- Incident management — Log og administrer hændelser med tab af enheder eller tyveri med indbyggede arbejdsgange til vurdering og underretning af brud
- Overholdelse dashboards — Overvåg overholdelse af endpoint-sikkerhedsregler på tværs af din organisation med realtidsoverblik over politikoverholdelse og udestående handlinger
Ofte Stillede Spørgsmål
Gælder denne kontrol for personlige enheder, der bruges til arbejde?
Ja. Hvis personlige enheder (BYOD) bruges til at gemme, behandle eller tilgå personoplysninger, falder de ind under anvendelsesområdet for A.3.22. Organisationer bør implementere en BYOD-politik, der specificerer minimumssikkerhedskrav såsom kryptering, adgangskoders kompleksitet, automatiske opdateringer og retten til at slette virksomhedsdata eksternt. Containeriseringsløsninger kan hjælpe med at adskille personlige og virksomhedsdata på den samme enhed.
Hvilke typer enheder betragtes som endpoint-enheder?
Endpoint-enheder omfatter enhver enhed, der bruges af en person til at tilgå, behandle eller lagre PII: bærbare computere, stationære computere, smartphones, tablets, tynde klienter og bærbare enheder. 2025-udgaven bruger bevidst det bredere udtryk "bruger-endpoint-enheder" i stedet for "mobile enheder" til at omfatte alle enhedstyper, herunder faste arbejdsstationer, der kan være på delte eller usikrede steder.
Hvordan skal organisationer håndtere mistede eller stjålne enheder?
Organisationer bør have en dokumenteret procedure for håndtering af incidenter i forbindelse med mistede eller stjålne enheder. Dette bør omfatte øjeblikkelig fjernlåsning og -sletning, vurdering af, om personoplysninger var i fare (under hensyntagen til krypteringsstatus), underretning til databeskyttelsesteamet og, hvor det er nødvendigt, underretning til tilsynsmyndigheden i henhold til GDPR artikel 33. Enhedsoversigten bør opdateres for at afspejle tabet, og adgangsoplysninger, der bruges på enheden, bør tilbagekaldes.
Registrer denne kontrol i din Anvendelseserklæring med din implementeringsmetode.
Se vores vejledning om krav til revisionsbeviser hvad revisorerne forventer.
