Hvad kræver kontrol A.3.7?
Der skal være regler, procedurer eller aftaler for informationsoverførsel vedrørende behandling af personoplysninger på plads for alle typer overførselsfaciliteter inden for organisationen og mellem organisationen og andre parter.
Denne kontrol ligger inden for delte sikkerhedskontroller (Tabel A.3) og gælder for både PII-controllere og PII-processorer. Den omhandler sikkerheden af PII under overførsel og supplerer de controllerspecifikke overførselskontroller i A.1.5 som fokuserer på de juridiske og forvaltningsmæssige aspekter af internationale overførsler.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.3.7) indeholder følgende vejledning:
- Sørg for, at reglerne vedrørende behandling af personoplysninger er håndhæves i hele og uden for systemet hvor det er relevant
- Overvej alle overførselsmetoder, herunder elektroniske overførsler (e-mail, fildeling, API'er, cloud-synkronisering), fysiske overførsler (bærbare medier, trykte dokumenter, kurer) og mundtlig kommunikation
- Overførselsreglerne bør specificere de sikkerhedskontroller, der kræves for hver metode og klassifikationsniveau
- Aftaler med eksterne parter bør definere ansvaret for beskyttelse af personoplysninger under overførsel
- Procedurer bør omhandle håndtering af overførselsfejl, aflytninger og mistede medier
- Se også A.3.20: Lagringsmedier for relaterede krav
- Se også A.3.21: Sikker bortskaffelse eller genbrug af udstyr for relaterede krav
Vejledningen understreger, at overførselssikkerhed ikke er begrænset til kryptering. Den omfatter hele en overførsels livscyklus: godkendelse, pakning, transmission, bekræftelse af modtagelse og håndtering af undtagelser.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.7 knytter sig til GDPR Artikel 5(1)(f) (princippet om integritet og fortrolighed). GDPR kræver, at personoplysninger behandles på en måde, der sikrer passende sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller beskadigelse. Sikre overførselsprocedurer er en central del af denne forpligtelse.
Denne kontrol understøtter også overholdelse af artikel 32 (behandlingssikkerhed), som kræver passende tekniske og organisatoriske foranstaltninger, herunder, hvor det er relevant, kryptering af personoplysninger og evnen til at sikre den løbende fortrolighed af behandlingssystemer.
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Som en delt sikkerhedskontrol understøtter A.3.7 den bredere ISO 29100 Overførselssikkerhed er en direkte implementering af informationssikkerhedsprincippet, der sikrer, at personoplysninger er beskyttet, ikke kun i hviletilstand, men under hele deres bevægelse mellem systemer, lokationer og organisationer.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.7 vil revisorer typisk se efter:
- Overførselspolitik eller -procedurer — Dokumenterede regler, der dækker alle overførselsmetoder (elektronisk, fysisk, verbal) med specifikke bestemmelser for personoplysninger
- Krypteringsstandarder — Bevis for, at personoplysninger krypteres under overførsel ved hjælp af gældende standarder (f.eks. TLS 1.2+ til elektroniske overførsler, krypterede containere til bærbare medier)
- Overførselsaftaler — Udførte aftaler med eksterne parter, der definerer sikkerhedskrav for PII under transit
- Tekniske kontroller — Konfigurationsbeviser til e-mailkryptering, sikre filoverførselsplatforme, VPN'er og API-sikkerhed
- Hændelseshåndtering — Procedurer for håndtering af overførselsfejl, såsom mistede bærbare medier eller aflyttet kommunikation
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.5 Klassificering af oplysninger | Klassifikationsniveauer bestemmer de nødvendige sikkerhedskontroller for overførsler |
| A.3.6 Mærkning af oplysninger | Etiketter gør klassificering synlig og hjælper personalet med at anvende korrekte overførselsprocedurer |
| A.1.5.2 Grundlag for overførsel af personoplysninger mellem jurisdiktioner | Det juridiske overførselsgrundlag (kontrol af dataansvarlig) supplerer sikkerhedsforanstaltningerne i A.3.7 |
| A.1.5.4 Optegnelser over overførsel af personoplysninger | Overførselsregistreringer skal henvise til de sikkerhedsforanstaltninger, der blev anvendt under overførslen |
| A.3.3 Politikker for informationssikkerhed | Overførselsprocedurer bør være forankret i den overordnede sikkerhedspolitik |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav spredt ud over punkt 6.10.2.1, 6.10.2.2 og 6.10.2.3, der dækker henholdsvis elektronisk beskedudveksling, politikker og procedurer for informationsoverførsel samt fortrolighedsaftaler. 2025-udgaven konsoliderer disse i en enkelt kontrol (A.3.7) med samlet vejledning i B.3.7. Dette gør kravet mere sammenhængende og lettere at implementere, samtidig med at det bevarer det samme materielle omfang. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til håndtering af sikker informationsoverførsel?
ISMS.online giver værktøjerne til at dokumentere, håndhæve og bevise dine sikkerhedskontroller for overførsler:
- Dokumentation af overførselsprocedure — Opret og vedligehold overførselsprocedurer for hver metode (e-mail, fildeling, fysiske medier) med versionskontrol og godkendelsesworkflows
- Leverandør- og partnerstyring — Opbevar overførselsaftaler sammen med leverandørprofiler, spor overholdelse af aftalte sikkerhedskrav, og marker, når aftaler skal fornyes
- Kontroller bevis — Forbind tekniske kontroller (krypteringskonfigurationer, indstillinger for sikker overførselsplatform) med de relevante politiske krav
- Incident management — Registrer og spor overførselsrelaterede hændelser med rodårsagsanalyse og korrigerende handlinger
- Integreret risikoregister — Vurder overførselsrisici sammen med andre informationssikkerhedsrisici, og sørg for, at der anvendes forholdsmæssige kontroller baseret på klassificeringsniveau
Ofte Stillede Spørgsmål
Gælder denne kontrol kun for eksterne overførsler?
Nej. Kontrollen dækker eksplicit overførsler "inden for organisationen og mellem organisationen og andre parter". Interne overførsler, såsom flytning af personoplysninger mellem afdelinger, systemer eller lokationer inden for samme organisation, skal også være underlagt overførselsregler. Dette omfatter intern e-mail, fildeling mellem teams, datareplikering mellem datacentre og fysisk flytning af dokumenter mellem kontorer.
Hvilke krypteringsstandarder bør bruges til personligt identificerbare oplysninger under overførsel?
Brug som minimum TLS 1.2 eller nyere til elektroniske overførsler. Overvej S/MIME eller PGP til følsomme personoplysninger til e-mail. Brug AES-256-kryptering til bærbare medier. Håndhæv HTTPS med gensidig TLS, hvor det er muligt, til API-overførsler. De specifikke standarder bør være forholdsmæssige i forhold til klassificeringsniveauet for de personoplysninger, der overføres, og være i overensstemmelse med gældende bedste praksis i branchen og lovgivningsmæssige retningslinjer.
Hvordan skal vi håndtere mundtlige overførsler af personoplysninger?
Mundtlig kommunikation af personoplysninger (f.eks. telefonopkald, personlige samtaler) bør være dækket af jeres overførselsprocedurer. Overvej foranstaltninger såsom identitetsbekræftelse, før I mundtligt videregiver personoplysninger, undgå diskussion af følsomme personoplysninger i offentlige rum, brug af sikre kommunikationskanaler til følsomme samtaler og træning af personale i passende mundtlig håndtering af personoplysninger.
Dokumentér denne kontrol i din Anvendelseserklæring med din implementeringsrationale.
Se vores vejledning om krav til revisionsbeviser hvad revisorerne forventer.
