Hvad dækker ISO 27018 og ISO 29151?
ISO / IEC 27018 indeholder retningslinjer for beskyttelse af personligt identificerbare oplysninger i offentlige cloud computing-miljøer, specifikt for organisationer, der fungerer som PII-behandlere. Det bruges i vid udstrækning af cloud-tjenesteudbydere til at demonstrere deres engagement i beskyttelse af privatlivets fred.
ISO / IEC 29151 indeholder en praksiskodeks for beskyttelse af personoplysninger, der tilbyder yderligere kontroller og vejledning ud over, hvad der er dækket i ISO 27002. Den er primært rettet mod personoplysninger-ansvarlige og giver praktisk implementeringsrådgivning.
Bilag E til ISO 27701:2025 indeholder en vejledende kortlægning, der viser, hvordan disse tre standarder hænger sammen. Dette er især værdifuldt for organisationer, der allerede overholder ISO 27018 eller ISO 29151, og som ønsker at forstå, hvor meget af deres eksisterende arbejde der overføres til ISO 27701:2025.
For den fulde kontrolstruktur, se Oversigt over bilag AFor tilpasning til GDPR, se Bilag D GDPR-kortlægningFor ISO 29100-privatlivsprincipper, se Bilag CFor ækvivalenser fra 2019, se Bilag F korrespondancetabelFor en oversigt over alle ændringer, se Hvad er nyt i ISO 27701:2025.
Hvordan er klausulerne i ledelsessystemet kortlagt?
Kravene til ledelsessystemet i Klausul 4 til 10 af ISO 27701:2025 har ikke direkte ækvivalenter i hverken ISO 27018 eller ISO 29151, da ingen af disse standarder definerer et ledelsessystem. Det betyder:
- Organisationer, der allerede overholder ISO 27018 eller ISO 29151, skal stadig implementere kravene til PIMS-ledelsessystemet (punkt 4-10) for at opnå ISO 27701:2025-certificering.
- Kortlægningsværdien ligger primært i overlapningen på kontrolniveau, ikke på ledelsessystemniveau
Hvordan kortlægges delte sikkerhedskontroller?
delte sikkerhedskontroller (Tabel A.3) har den stærkeste overlapning med både ISO 27018 og ISO 29151. Disse kontroller dækker grundlæggende informationssikkerhedsprincipper, som alle tre standarder adresserer. Hver B.3-reference nedenfor giver implementeringsvejledning til den tilsvarende A.3-kontrol.
| Bilag B Vejledning | Bilag A Kontrol | ISO 27018 | ISO 29151 | Emne |
|---|---|---|---|---|
| B.3.3-B.3.16 | A.3.3 ved A.3.16 | 5.1, 5.2, 5.12-36, A.10-A.11 | 5.1, 5.2, 5.12-36 | Sikkerhedspolitikker, roller, klassificering, adgang, hændelser, compliance |
| B.3.17-B.3.18 | A.3.17, A.3.18 | 6.3, 6.6, A.11.1 | 6.3, 6.6 | Bevidstgørelse, træning, fortrolighedsaftaler |
| B.3.19-B.3.21 | A.3.19, A.3.20, A.3.21 | 7.7, 7.10, 7.14, A.11.2-13 | 7.1-7.14 | Fysisk sikkerhed, medier, bortskaffelse |
| B.3.22-B.3.31 | A.3.22 ved A.3.31 | 8.1, 8.5, 8.13-33, A.11.6 | 8.1, 8.13-33 | Endpoint-enheder, godkendelse, backup, logging, krypto, udvikling |
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvordan kortlægges PII-controllerkontroller?
PII-controllerkontroller fra ISO 27701:2025-kort primært til ISO 29151, som indeholder en PII-controllerfokuseret praksiskodeks. ISO 27018 har begrænset dækning her, da den fokuserer på processorer. Hver B.1-reference giver implementeringsvejledning til den tilsvarende A.1-kontrol.
| Bilag B Vejledning | Bilag A Kontrol | ISO 27018 | ISO 29151 | Emne |
|---|---|---|---|---|
| B.1.2.2-3 | A.1.2.2, A.1.2.3 | N / A | A.4, A.4.1 | Formålsspecifikation, retsgrundlag |
| B.1.2.4-5 | A.1.2.4, A.1.2.5 | N / A | A.3.1 | Samtykke og valg |
| F.1.2.6 | A.1.2.6 Vurdering af indvirkning på privatlivets fred | N / A | A.11.2 | PIA-krav |
| B.1.3.2-10 | A.1.3.2 ved A.1.3.10 | N / A | A.9, A.9.2, A.10 | Individuel deltagelse, adgang, gennemsigtighed |
| B.1.4.2-10 | A.1.4.2 ved A.1.4.10 | N / A | A.5-A.8 | Indsamlingsbegrænsning, dataminimering, nøjagtighed, brugsbegrænsning |
| B.1.5.2-5 | A.1.5.2 ved A.1.5.5 | N / A | A.7.4, A.13.2 | Overførselssikkerhedsforanstaltninger, oplysningsregistre |
Hvordan kortlægges PII-processorkontroller?
PII-processorkontroller fra ISO 27701:2025 har stærk overlapning med ISO 27018, som er specifikt designet til cloudbaserede PII-processorer. Hver B.2-reference giver implementeringsvejledning til den tilsvarende A.2-kontrol.
| Bilag B Vejledning | Bilag A Kontrol | ISO 27018 | ISO 29151 | Emne |
|---|---|---|---|---|
| F.2.2.3 | A.2.2.3 Organisationens formål | A.3.1 | N / A | Behandling under bemyndigelse |
| F.2.2.4 | A.2.2.4 Markedsføring og reklame | A.3.2 | N / A | Markedsføringsrestriktioner |
| F.2.3.2 | A.2.3.2 Forpligtelser over for PII-opdragsgivere | A.2.1 | N / A | Compliance assistance |
| B.2.4.2-4 | A.2.4.2, A.2.4.3, A.2.4.4 | A.5.1, A.10.3, A.12.2 | A.7.2, A.11.3 | Midlertidige filer, returnering af personoplysninger, transmission |
| B.2.5.2-9 | A.2.5.2 ved A.2.5.9 | A.6.1-2, A.8.1, A.12.1 | A.4.1, A.7.3-5, A.13.2 | Offentliggørelse, underleverandører, internationale overførsler |
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvem har størst gavn af denne kortlægning?
- Cloud-tjenesteudbydere Personer, der allerede er certificeret i henhold til ISO 27018, kan bruge denne kortlægning til at fremskynde deres implementering af ISO 27701:2025, da mange processorkontroller overlapper hinanden.
- Organisationer certificeret i henhold til ISO 29151 kan knytte deres eksisterende PII-controllerkontroller til den nye ISO 27701:2025-struktur (se overgangsvejledning)
- Multistandardmiljøer kan bruge kortlægningen til at identificere fælles bevismateriale og undgå overlapning af overholdelsesindsatsen på tværs af standarder
Hvorfor vælge ISMS.online for overholdelse af flere standarder?
ISMS.online understøtter organisationer, der kører flere privatlivs- og sikkerhedsstandarder parallelt:
- Krydsende rammevisninger — Se, hvordan én kontrolimplementering opfylder krav på tværs af ISO 27701, ISO 27018, ISO 29151 og flere
- Delt bevismateriale — Forbind politikker, procedurer og registre med flere rammekrav uden dobbeltarbejde
- Ensartet revisionsforberedelse — Generer evidenspakker, der dækker flere standarder i en enkelt eksport
- Kløft identifikation — Steder hvor eksisterende certificeringer allerede dækker ISO 27701:2025-kravene, og hvor nyt arbejde er nødvendigt
- Integreret ledelsessystem — Administrer ISO 27001, ISO 27701 og relaterede standarder på én platform
Ofte Stillede Spørgsmål
Hvis jeg er certificeret i henhold til ISO 27018, har jeg så stadig brug for ISO 27701?
ISO 27018 og ISO 27701 tjener forskellige formål. ISO 27018 giver cloudspecifikke retningslinjer for PII-processorer, men er ikke en certificerbar styringssystemstandard i sig selv (den udvider ISO 27001). ISO 27701:2025 giver et komplet, selvstændigt system til styring af privatlivsoplysninger. De to supplerer hinanden, og kortlægningen i bilag E viser, hvor de overlapper hinanden. Se også Vejledning til overholdelse af GDPR for den GDPR-specifikke kortlægning.
Erstatter ISO 27701:2025 ISO 27018 eller ISO 29151?
Nej. ISO 27018 og ISO 29151 forbliver separate, aktive standarder. ISO 27701:2025 kan implementeres sideløbende med dem. Kortlægningen i bilag E viser blot, hvor standarderne overlapper hinanden, hvilket hjælper organisationer, der implementerer flere standarder, med at reducere dobbeltarbejde.
Hvad er forholdet mellem bilag A og bilag B?
Bilag A definerer privatlivskontrollerne (hvad du skal gøre), og bilag B indeholder den tilsvarende implementeringsvejledning (hvordan man gør det). De deler den samme nummerering: A.1.2.2 er kontrollen, og B.1.2.2 er dens vejledning. Begge bilag er normative i 2025-udgaven. Tabellerne på denne side refererer til B-nummereringen, fordi bilag E knytter implementeringsvejledningen til ISO 27018 og ISO 29151, men hver B-kontrol har en direkte A-modpart vist i den anden kolonne.
Hvorfor viser nogle kontrolelementer N/A i kortlægningen?
N/A angiver, at ISO 27701:2025-kontrollen ikke har nogen direkte ækvivalent i den specifikke standard. For eksempel viser PII-controllerkontroller N/A for ISO 27018, fordi ISO 27018 kun dækker PII-processorer. Tilsvarende viser nogle processorkontroller N/A for ISO 29151, fordi denne standard fokuserer på PII-controllere.
Se vores Vejledning til erklæring om anvendelighed til at dokumentere, hvordan disse kortlægninger informerer dit kontrolvalg.
SaaS-organisationer kan finde skræddersyet vejledning i vores ISO 27701:2025 for SaaS-platforme guide.
