Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.3.5: Klassificering af information

Kontrol A.3.5 kræver, at organisationer klassificerer oplysninger i henhold til deres sikkerhedsbehov, idet der eksplicit tages hensyn til personoplysninger. En robust klassificeringsordning er udgangspunktet for at anvende forholdsmæssig beskyttelse af personoplysninger.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.3.5?

Oplysninger skal klassificeres i henhold til organisationens informationssikkerhedsbehov under hensyntagen til personoplysninger (PII), baseret på fortrolighed, integritet, tilgængelighed og relevante interessenters krav.

Denne kontrol ligger inden for delte sikkerhedskontroller (Tabel A.3Det udvider standardkravet for informationsklassificering i ISO 27001 ved at gøre det eksplicit, at personoplysninger skal tages i betragtning inden for klassificeringsskemaet og ikke behandles som en eftertanke.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.3.5) indeholder følgende vejledning:

  • Klassificeringsordningen bør eksplicit overveje PII som en kategori af information, der kræver beskyttelse
  • Forstå hvilke PII organisationen behandler, hvor det opbevares, og hvilke systemer det kan strømme igennem
  • Overvej type af personhenførbar information og om det omfatter særlige kategorier (f.eks. sundhedsdata, biometriske data, racemæssig eller etnisk oprindelse)
  • Klassificering bør føre til anvendelse af passende kontroller, hvor højere klassificeringer får stærkere beskyttelse.
  • Ordningen skal være praktisk og anvendes konsekvent på tværs af organisationen.
  • Se også A.3.20: Lagringsmedier for relaterede krav
  • Se også A.3.21: Sikker bortskaffelse eller genbrug af udstyr for relaterede krav

Vejledningen anerkender, at personoplysninger ikke er en enkelt, homogen kategori. En e-mailadresse har en anden risikoprofil end en patientjournal. Klassificeringssystemet bør afspejle disse forskelle og fremme forholdsmæssig beskyttelse.

Hvordan relaterer dette sig til GDPR?

Kontrol A.3.5 knytter sig til GDPR Artikel 5(1)(f) (integritet og fortrolighed) og artikel 32(2) (krav om at implementere passende tekniske og organisatoriske foranstaltninger til sikkerhed i forbindelse med behandling). GDPR forventer en risikobaseret tilgang til sikkerhed, og klassificering er den mekanisme, hvorigennem risikoniveauer tildeles forskellige typer information.

Særlige kategorier af personoplysninger i henhold til artikel 9 i GDPR bør have den højeste klassificeringsgrad, hvilket afspejler den yderligere beskyttelse, som forordningen kræver for denne type data.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Som en delt sikkerhedskontrol understøtter A.3.5 den bredere ISO 29100 Klassificering er en grundlæggende forvaltningsmekanisme, der muliggør ensartet anvendelse af informationssikkerhedsprincippet på tværs af alle typer information, hvor personoplysninger får den nødvendige opmærksomhed.



Find din compliance-tillid med ISMS.online

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.3.5 vil revisorer typisk se efter:

  • Klassificeringsskema — En dokumenteret klassificeringspolitik, der eksplicit inkluderer PII og særlige kategorier af PII som klassificeringshensyn
  • Dataopgørelse — Et register over de personoplysninger, som organisationen behandler, hvor de opbevares, og hvilke systemer der håndterer dem
  • Klassificeringsbeslutninger — Dokumentation for, at aktiver, der indeholder personoplysninger, er blevet klassificeret i henhold til ordningen (f.eks. databaser markeret som "Fortrolige" eller "Begrænsede")
  • Kontrol kortlægning — Bevis for, at klassificeringsniveauer styrer anvendelsen af ​​sikkerhedskontroller (højere klassificering = stærkere kontrol)
  • Træning og bevidsthed — Dokumentation for, at personalet forstår klassificeringssystemet og hvordan det anvendes på personoplysninger

Hvad er de relaterede kontroller?

kontrol Relationship
A.3.6 Mærkning af oplysninger Når oplysningerne er klassificerede, skal de mærkes, så klassificeringen er synlig og kan håndhæves.
A.3.3 Politikker for informationssikkerhed Klassificeringsskemaet bør være defineret i eller refereret til i informationssikkerhedspolitikken.
A.3.7 Informationsoverførsel Overførselsregler bør referere til klassifikationsniveauer for at bestemme passende overførselsmekanismer
A.3.8 Identitetsstyring Adgang til mere højklassificerede personoplysninger bør begrænses gennem identitets- og adgangsstyringskontroller
A.3.4 Roller og ansvarsområder Informationsejere (en defineret rolle) er ansvarlige for klassificeringsbeslutninger

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav dækket under klausul 6.5.2.1. Indholdet er uændret, men omstruktureringen i 2025 integrerer kontrollen tydeligere i rammen for fælles sikkerhedskontrol. Implementeringsvejledningen i B.3.5 understreger nu mere eksplicit forståelse af datastrømme og særlige kategorier af personoplysninger som en del af klassificeringsprocessen. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvorfor vælge ISMS.online til klassificering og beskyttelse af personoplysninger?

ISMS.online hjælper dig med at opbygge og vedligeholde et praktisk informationsklassificeringsskema:

  • Aktivregister med klassificering — Registrer alle informationsaktiver, tildel et klassificeringsniveau og tag aktiver, der indeholder personoplysninger eller særlige kategorier af personoplysninger
  • Kortlægning af dataflow — Visualiser, hvor PII er gemt, og hvordan det bevæger sig gennem systemer, hvilket gør det nemmere at identificere aktiver, der kræver klassificeringsopmærksomhed
  • Kontrolforbindelse — Kortlæg klassifikationsniveauer til de sikkerhedskontroller, der skal anvendes på hvert niveau, for at sikre forholdsmæssig beskyttelse
  • Gennemgå arbejdsgange — Planlæg periodiske klassificeringsgennemgange og spor færdiggørelse, så klassificeringerne forbliver aktuelle, når behandlingsaktiviteterne ændrer sig
  • Værktøjer til bevidstgørelse — Distribuer klassificeringsvejledning til personalet og spor anerkendelse, som understøtter den uddannelsesdokumentation, som revisorerne forventer

Ofte Stillede Spørgsmål

Hvordan bør PII passe ind i et eksisterende klassificeringsskema?

De fleste organisationer bruger en niveauopdelt klassificeringsordning (f.eks. Offentlig, Intern, Fortrolig, Begrænset). Personoplysninger bør typisk klassificeres som Fortrolige eller derover, med særlige kategorier af personoplysninger (helbreds-, biometriske, racemæssige/etniske data) på højeste niveau. Hvis din eksisterende ordning ikke har et niveau, der indfanger følsomheden af ​​personoplysninger tilstrækkeligt, kan du overveje at tilføje et eller opdatere beskrivelserne af eksisterende niveauer for eksplicit at adressere personoplysninger.

Skal vi klassificere hver enkelt registrering?

Nej. Klassificering anvendes typisk på aktivniveau (f.eks. en database, et fildelingssted, en applikation) snarere end på det individuelle registreringsniveau. Nøglen er at forstå, hvilke aktiver der indeholder personoplysninger, og klassificere dem korrekt. Hvor et enkelt system indeholder forskellige typer personoplysninger med forskellige følsomhedsniveauer, skal det klassificeres baseret på de mest følsomme data, det indeholder.

Hvad er særlige kategorier af personoplysninger?

I henhold til GDPR omfatter særlige kategorier data, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøs overbevisning, fagforeningsmedlemskab, genetiske data, biometriske data til identifikation, helbredsdata og data vedrørende sexliv eller seksuel orientering. ISO 27701 bruger det bredere udtryk "følsomme personoplysninger" og overlader de specifikke kategorier til gældende lovgivning. Dit klassificeringsskema bør identificere disse typer og tildele dem det højeste beskyttelsesniveau.

Dokumentér denne kontrol i din Anvendelseserklæring med din implementeringsrationale.

Se vores vejledning om krav til revisionsbeviser hvad revisorerne forventer.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.