Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.3.24: Informationssikkerhedskopiering

Kontrol A.3.24 kræver, at organisationer vedligeholder og regelmæssigt tester sikkerhedskopier af personoplysninger samt af den software og de systemer, der bruges til at behandle personoplysninger. Denne delte kontrol sikrer, at personoplysninger kan gendannes efter systemfejl, angreb eller katastrofe.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.3.24?

Sikkerhedskopier af PII samt software og systemer relateret til behandling af PII skal vedligeholdes og testes regelmæssigt.

Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og omhandler tilgængelighedsdimensionen af ​​PII-beskyttelse. Mens mange privatlivskontroller fokuserer på at forhindre uautoriseret adgang eller videregivelse, sikrer A.3.24, at PII kan gendannes og genoprettes, når systemer fejler. Uden testede sikkerhedskopier kan et ransomware-angreb, hardwarefejl eller naturkatastrofe resultere i permanent tab af personoplysninger.

Hvad står der i implementeringsvejledningen i bilag B?

Bilag B (afsnit B.3.24) indeholder omfattende vejledning:

  • Politik for sikkerhedskopiering og sletning — Organisationen bør have en politik for backup, gendannelse og gendannelse af personoplysninger, herunder eventuelle kontraktlige eller juridiske krav til sletning af personoplysninger i backupdata.
  • Kundekommunikation — Ansvaret for backup af specifikke personoplysninger kan afhænge af kunden. Organisationen bør sikre, at kunderne er informeret om tjenestens begrænsninger vedrørende backup.
  • Gennemsigtighed i backuptjenester — Hvor backup- og gendannelsestjenester eksplicit leveres til kunder, bør organisationen give klare oplysninger om sine muligheder
  • Jurisdiktionelle krav — Nogle jurisdiktioner stiller specifikke krav vedrørende hyppigheden af ​​backup, hyppigheden af ​​gennemgang og test eller procedurer for gendannelse af personoplysninger. Organisationer, der opererer i disse jurisdiktioner, skal påvise overholdelse af reglerne.
  • PII-gendannelsesintegritet — Når PII gendannes fra en backup, skal processerne sikre, at PII gendannes til en tilstand, hvor integriteten kan sikres, eller hvor unøjagtigheder eller ufuldstændigheder identificeres og løses (hvilket kan involvere den ansvarlige for PII)
  • Restaureringslogning — Organisationen bør føre en procedure og logbog over gendannelsen af ​​personoplysninger, hvori der som minimum registreres navnet på den ansvarlige person og en beskrivelse af de gendannede personoplysninger.
  • Underleverandørbackups — Brug af underleverandører til at opbevare replikerede eller sikkerhedskopier af personoplysninger er dækket af leverandørstyringskontroller (B.3.10, B.3.20)
  • Se også A.3.22: Brugerens slutpunktsenheder for relaterede krav
  • Se også A.3.25: Logføring for relaterede krav

Et særligt vigtigt punkt er spændingen mellem opbevaring af backups og sletning af personoplysninger: Organisationer skal afveje behovet for at opbevare backups til gendannelse med forpligtelserne til at slette personoplysninger, når opbevaringsperioderne udløber, eller når registrerede udøver deres ret til sletning.

Hvordan relaterer dette sig til GDPR?

Kontrol A.3.24 knyttes til følgende GDPR artikler:

  • Artikel 5, stk. 1, litra f) — Princippet om integritet og fortrolighed, der omfatter beskyttelse mod utilsigtet tab eller ødelæggelse af personoplysninger
  • Artikel 32, stk. 1, litra c) — Kravet om at implementere muligheden for rettidigt at genoprette tilgængeligheden af ​​og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

Artikel 32(1)(c) fremhæver specifikt gendannelseskapacitet, hvilket gør testede sikkerhedskopier til en direkte GDPR krav snarere end blot god praksis.

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav dækket af klausul 6.9.3.1 (sikkerhedskopiering af information). 2025-udgaven bevarer og udvider kernekravene som A.3.24, med betydeligt mere detaljeret implementeringsvejledning i B.3.24, der dækker logføring af gendannelse, jurisdiktionelle krav og spændingen mellem sikkerhedskopiering og sletning. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.3.24 vil revisorer typisk se efter:

  • Politik for sikkerhedskopiering — En dokumenteret politik, der dækker backupomfang, hyppighed, opbevaringsperioder, kryptering, testplaner og ansvar for systemer, der indeholder personoplysninger.
  • Backup af testoptegnelser — Dokumentation for regelmæssige test af sikkerhedskopiering, herunder testdatoer, omfang, resultater og eventuelle identificerede og afhjulpede problemer
  • Restaureringslogfiler — En log over eventuelle gendannelseshændelser for personoplysninger, der registrerer den ansvarlige person, en beskrivelse af de gendannede personoplysninger og eventuelle identificerede integritetsproblemer
  • Afstemning af backup-sletning — Dokumentation for, at organisationen har håndteret sletning af personoplysninger i backupdata, enten gennem tekniske foranstaltninger eller dokumenteret begrundelse for opbevaring
  • Kundekommunikation — For databehandlere, dokumentation for, at kunderne er blevet informeret om backupmuligheder og -begrænsninger

Hvad er de relaterede kontroller?

kontrol Relationship
A.1.4.8 Tilbageholdelse Opbevaring af backup skal stemme overens med opbevaringsplanerne for personoplysninger
A.1.4.6 Afidentifikation og sletning Krav til sletning af personoplysninger skaber spændinger med opbevaring af backup
A.3.20 Lagringsmedier Backupmedier skal administreres gennem hele deres livscyklus
A.3.26 Brug af kryptografi Backupdata skal krypteres både under overførsel og i hviletilstand
A.3.10 Leverandøraftaler Tredjeparts backup-udbydere skal være bundet af relevante kontrakter

Hvem gælder denne kontrol for?

A.3.24 er en delt kontrol Det gælder både for PII-dataansvarlige og PII-databehandlere. Dataansvarlige skal sikre, at deres PII sikkerhedskopieres og kan gendannes. Databehandlere har yderligere forpligtelser til at kommunikere backupmuligheder og begrænsninger til deres kunder og til at give klare oplysninger om gendannelsesmuligheder, hvor backuptjenester er en del af servicetilbuddet.



klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Hvorfor vælge ISMS.online til styring af backup-compliance?

ISMS.online giver praktiske værktøjer til styring af overholdelse af PII-backup:

  • Administration af backupplan — Dokumentér og spor backupplaner for alle PII-behandlingssystemer med automatiske påmindelser om kommende test og gennemgange
  • Sporing af testresultater — Logfør resultater af test af backupgendannelse med status for bestået/ikke bestået, identificerede problemer og afhjælpende handlinger, hvilket skaber et komplet revisionsspor.
  • Restaureringslog — Vedligehold den nødvendige log over gendannelseshændelser af personoplysninger med felterne for ansvarlig person, beskrivelse og integritetsvurdering
  • Politikstyring — Udgiv backuppolitikker med versionskontrol og sporing af medarbejderbekræftelse
  • Fastholdelsesstyring — Knyt opbevaringsperioder for backup til din dataopbevaringsplan, og fremhæv, hvor opbevaring af backup kan være i konflikt med forpligtelserne til sletning af personoplysninger

Ofte Stillede Spørgsmål

Hvordan håndterer I sletningsanmodninger, når der findes personoplysninger i sikkerhedskopier?

Dette er et af de mest udfordrende aspekter ved håndtering af PII-backup. De fleste organisationer kan ikke selektivt slette individuelle poster fra backupsæt uden at gendanne hele backup'en. Almindelige tilgange omfatter: at vedligeholde et sletningsregister, der anvendes, når en backup gendannes, at bruge backup-opbevaringsperioder, der er korte nok til at sikre, at slettede PII naturligt ældes, eller at implementere backup-løsninger, der understøtter detaljeret sletning. Tilgangen bør dokumenteres i backuppolitikken og kommunikeres til de registrerede, når de svarer på sletningsanmodninger.

Hvor ofte skal gendannelse af backup testes?

Standarden kræver regelmæssig testning, men specificerer ikke en hyppighed. Bedste praksis i branchen er at teste kritiske PII-systembackups mindst kvartalsvis, mens mindre kritiske systemer testes mindst årligt. Nogle jurisdiktioner kan pålægge specifikke testfrekvenser. Testningen bør verificere både den tekniske evne til at gendanne data og integriteten af ​​de gendannede PII. Testresultater bør dokumenteres, og eventuelle fejl bør udløse øjeblikkelig afhjælpning.

Hvad skal PII-gendannelsesloggen indeholde?

Loggen skal som minimum indeholde navnet på den person, der er ansvarlig for gendannelsen, og en beskrivelse af de gendannede personoplysninger. Bedste praksis udvider dette til at omfatte dato og tidspunkt for gendannelsen, årsagen til gendannelsen, den anvendte kildebackup, eventuelle integritetsproblemer, der er identificeret under gendannelsen, og de handlinger, der er taget for at løse dem. Nogle jurisdiktioner foreskriver yderligere logindhold, så organisationer bør kontrollere lokale krav og dokumentere overholdelse.

Registrer denne kontrol i din Anvendelseserklæring med din implementeringsmetode.

Se vores vejledning om krav til revisionsbeviser hvad revisorerne forventer.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.