Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.3.3: Politikker for informationssikkerhed

Kontrol A.3.3 kræver, at organisationer definerer, godkender, offentliggør og kommunikerer informationssikkerhedspolitikker, der opfylder kravene til behandling af personoplysninger. Dette er den grundlæggende kontrol for de delte sikkerhedskontroller i ISO 27701:2025.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.3.3?

Informationssikkerhedspolitikker relateret til behandling af personoplysninger skal defineres, godkendes af ledelsen, offentliggøres, kommunikeres til og anerkendes af relevant personale og relevante interessenter og gennemgås med planlagte intervaller og hvis der sker væsentlige ændringer.

Dette er den første kontrol i delte sikkerhedskontroller (Tabel A.3), som gælder for organisationer, der fungerer som PII-ansvarlige, PII-behandlere eller begge dele. Den udvider ISO 27001-kravet til informationssikkerhedspolitikker til eksplicit at dække privatlivets fred og PII-beskyttelse.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.3.3) indeholder følgende vejledning:

  • Udvikle separate privatlivspolitikker eller udvide eksisterende informationssikkerhedspolitikker for at imødekomme krav til behandling af personoplysninger
  • Medtag en forpligtelse til overholdelse med gældende lovgivning om beskyttelse af personoplysninger og kontraktvilkår
  • Overvej juridiske krav under politikudvikling, godkendelse og løbende vedligeholdelse
  • Politikkerne bør være passende i forhold til arten, omfanget og konteksten af ​​behandlingen af ​​personoplysninger
  • Gennemgå politikker med planlagte intervaller og når der sker væsentlige ændringer, såsom ny lovgivning, nye behandlingsaktiviteter eller organisatorisk omstrukturering
  • Se også A.3.13: Juridiske og lovgivningsmæssige krav for relaterede krav
  • Se også A.3.15: Uafhængig gennemgang af informationssikkerhed for relaterede krav

Vejledningen giver organisationer fleksibilitet i, hvordan de strukturerer deres politikker. En enkelt integreret politik, der dækker både informationssikkerhed og privatliv, er acceptabel, ligesom en række separate, men forbundne dokumenter. Det, der er vigtigt, er, at behandling af personoplysninger er eksplicit adresseret, og at politikkerne påviseligt kommunikeres og anerkendes.

Hvordan relaterer dette sig til GDPR?

Kontrol A.3.3 knytter sig til GDPR Artikel 5(1)(f) (princippet om integritet og fortrolighed) og artikel 32(2) (krav om at implementere passende tekniske og organisatoriske foranstaltninger). GDPR foreskriver ikke den nøjagtige form for sikkerhedspolitikker, men forventer, at organisationer har dokumenterede foranstaltninger på plads, der står i forhold til risikoen.

Disse GDPR-artikler er kortlagt på tværs af den bredere B.3.5-B.3.16-gruppe af delte kontroller, hvilket afspejler, at politikken er fundamentet, som alle andre sikkerhedsforanstaltninger udspringer af.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Som en delt sikkerhedskontrol understøtter A.3.3 den bredere ramme for ISO 29100 Principper. Veldefinerede informationssikkerhedspolitikker, der omhandler behandling af personoplysninger, danner det ledende grundlag for implementering af principper som informationssikkerhed, ansvarlighed og compliance.



ISMS.onlines kraftfulde dashboard

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.3.3 vil revisorer typisk se efter:

  • Godkendte politikdokumenter — Informationssikkerhedspolitikker, der eksplicit omhandler behandling af personoplysninger, med dokumentation for ledelsens godkendelse (underskrifter, bestyrelsesreferater, godkendelsesprotokoller)
  • Kommunikationsoptegnelser — Dokumentation for, at politikker er offentliggjort og kommunikeret til alle relevante medarbejdere og interesserede parter
  • Bekræftelsesoptegnelser — Underskrevne eller elektroniske bekræftelser fra personale, der bekræfter, at de har læst og forstået politikkerne
  • Gennemgå optegnelser — Dokumentation for planlagte evalueringer med datoer, evalueringsanmeldere og eventuelle ændringer
  • Forpligtelse til overholdelse af juridiske regler — En eksplicit erklæring i politikken, der forpligter sig til at overholde gældende lov om beskyttelse af personoplysninger og kontraktvilkår

Hvad er de relaterede kontroller?

kontrol Relationship
A.3.4 Roller og ansvar inden for informationssikkerhed Politikker definerer forventninger; roller og ansvar sikrer, at nogen er ansvarlig for at implementere dem.
A.3.5 Klassificering af oplysninger Klassificeringspolitikker bør eksplicit omhandle personoplysninger som krævet i A.3.3
A.3.6 Mærkning af oplysninger Mærkningsprocedurer implementerer de politiske krav til identifikation af personoplysninger
A.3.7 Informationsoverførsel Overførselsregler bør være forankret i den overordnede sikkerhedspolitik
A.1.2.9 Registrering af behandling af personoplysninger Politikker fastsætter den styringsramme, inden for hvilken behandlingsregistre opbevares

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav opdelt i punkt 6.2.1.1 og 6.2.1.2. Punkt 6.2.1.1 dækkede det generelle krav om, at informationssikkerhedspolitikker skal tage hensyn til behandling af personoplysninger, mens 6.2.1.2 omhandlede aspektet af ledelsesforpligtelse. 2025-udgaven konsoliderer disse i en enkelt kontrol (A.3.3) med en samlet implementeringsvejledning i B.3.3. Indholdet er det samme, men strukturen er renere. Se Bilag F korrespondancetabel for den fulde kortlægning.



klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Hvorfor vælge ISMS.online til håndtering af informationssikkerhedspolitikker?

ISMS.online giver dig alt hvad du behøver for at oprette, kommunikere og vedligeholde politikker, der overholder reglerne:

  • Forudbyggede politikskabeloner — Start med skabeloner, der er i overensstemmelse med ISO 27001 og ISO 27701, og tilpas dem derefter til din organisations PII-behandlingsaktiviteter
  • Version kontrol — Spor alle ændringer af alle politikker med fuld versionshistorik, så du altid ved, hvad der var gældende, og hvornår
  • Bekræftelsessporing — Tildel politikker til personale og spor, hvem der har læst og bekræftet dem, med automatiske påmindelser om udestående bekræftelser
  • Planlagte anmeldelser — Angiv gennemgangsdatoer for hver politik, og modtag beskeder, når gennemgange skal foretages, så du sikrer, at politikker aldrig bliver forældede
  • Tilknyttede beviser — Forbind politikker med de kontroller, de understøtter, og skab et tydeligt revisionsspor fra politik til implementering

Ofte Stillede Spørgsmål

Skal vi oprette en separat privatlivspolitik eller opdatere eksisterende sikkerhedspolitikker?

Standarden tillader begge tilgange. En separat privatlivspolitik fungerer godt for organisationer med kompleks behandling af personoplysninger, da den kan behandle privatlivsspecifikke emner i detaljer. Det er mere praktisk at supplere eksisterende politikker for mindre organisationer eller dem med enklere behandlingsaktiviteter. Hovedkravet er, at behandling af personoplysninger er eksplicit og tilstrækkeligt adresseret, uanset hvilken tilgang du vælger.

Hvem skal anerkende politikkerne?

Alt relevant personale og relevante interessenter. "Relevant personale" omfatter alle, der behandler personoplysninger, eller har adgang til systemer, der behandler personoplysninger. "Relevante interessenter" kan omfatte entreprenører, midlertidigt personale, tredjepartsdatabehandlere eller endda kunder, hvor kontraktlige forpligtelser kræver kendskab til organisationens sikkerhedspolitikker. Omfanget bør defineres ud fra organisationens kontekst.

Hvor ofte skal politikker gennemgås?

Med planlagte intervaller (typisk årligt) og når der sker væsentlige ændringer. Væsentlige ændringer omfatter nye behandlingsaktiviteter for personoplysninger, ændringer i gældende lovgivning, organisatorisk omstrukturering, sikkerhedshændelser, der afslører politiske huller, eller ændringer i teknologimiljøet. En fast årlig gennemgang kombineret med en triggerbaseret gennemgangsproces er den mest almindelige tilgang.

IT-chefer med ansvar for styring af privatlivspolitikken bør læse vores CISO-vejledning til ISO 27701:2025.

Din Anvendelseserklæring skal referere til de politikker, der understøtter hver valgte kontrol.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.