Hvad er formålet med bilag F?
Anneks F blev introduceret i 2025-udgaven specifikt for at støtte organisationer, der overgår fra ISO 27701:2019. Det giver bagudkompatibilitet ved at kortlægge alle kontroller i begge retninger:
- Tabel F.1 — Kortlægger hver kontrol i 2025 til dens tilsvarende kontrol i 2019
- Tabel F.2 — Kortlægger hver kontrol fra 2019 til dens tilsvarende kontrol i 2025 (eller markerer den som ikke relevant, hvis den fjernes)
Dette er den definitive reference til dig Analyse af overgangsgabBrug tabel F.2 til at kontrollere, hvad der skete med hver af dine eksisterende kontroller, og tabel F.1 til at forstå, hvor hver ny 2025-kontrol kommer fra.
Hvordan overlapper de delte sikkerhedskontroller fra 2025 sig med 2019?
29 delte sikkerhedskontroller i tabel A.3 erstattede de 90+ underklausuler i 2019-udgavens klausul 6. Mange kontroller fra 2019 blev konsolideret eller fjernet, fordi de ikke indeholdt PII-specifik vejledning.
| 2025 Kontrol | 2019-ækvivalent(er) | Kontrolnavn |
|---|---|---|
| A.3.3 Informationssikkerhedspolitikker | 6.2.1.1, 6.2.1.2 | Politikker for informationssikkerhed |
| A.3.4 Sikkerhedsroller | 6.3.1.1 | Informationssikkerhedsroller og -ansvar |
| A.3.5 Klassificering af oplysninger | 6.5.2.1 | Klassificering af oplysninger |
| A.3.6 Mærkning af information | 6.5.2.2 | Mærkning af information |
| A.3.7 Informationsoverførsel | 6.10.2.1, 6.10.2.2, 6.10.2.3 | Informationsoverførsel |
| A.3.8 Identitetsstyring | 6.6.2.1 | Identitetsstyring |
| A.3.9 Adgangsrettigheder | 6.6.2.2, 6.6.2.5, 6.6.2.6 | Adgangsrettigheder |
| A.3.10 Leverandøraftaler | 6.12.1.1, 6.12.1.2 | Leverandøraftaler |
| A.3.11 Hændelseshåndtering | 6.13.1.4 | Planlægning af hændelsesstyring |
| A.3.12 Reaktion på sikkerhedshændelser | 6.13.1.5 | Reaktion på sikkerhedshændelser |
| A.3.13 Juridiske og lovgivningsmæssige krav | 6.15.1.1, 6.15.1.5 | Lovlige og regulatoriske krav |
| A.3.14 Beskyttelse af optegnelser | 6.15.1.3 | Beskyttelse af optegnelser |
| A.3.15 Uafhængig gennemgang | 6.15.2.1 | Uafhængig anmeldelse |
| A.3.16 Overholdelse af politikker | 6.15.2.2, 6.15.2.3 | Overholdelse af politikker og standarder |
| A.3.17 Sikkerhedsbevidsthed og -træning | 6.4.2.2 | Bevidstgørelse, uddannelse og træning |
| A.3.18 Fortrolighedsaftaler | 6.10.2.4 | Aftaler om fortrolighed |
| A.3.19 Rydt skrivebord og klar skærm | 6.8.2.9 | Overskueligt skrivebord og klar skærm |
| A.3.20 Lagringsmedier | 6.5.3.1, 6.5.3.2, 6.5.3.3, 6.8.2.5 | Lagermedier |
| A.3.21 Sikker bortskaffelse af udstyr | 6.8.2.7 | Sikker bortskaffelse eller genbrug |
| A.3.22 Brugerens slutpunktsenheder | 6.3.2.1, 6.8.2.8 | Bruger slutpunktsenheder |
| A.3.23 Sikker godkendelse | 6.6.4.2 | Sikker autentificering |
| A.3.24 Sikkerhedskopiering af oplysninger | 6.9.3.1 | Sikkerhedskopiering af information |
| A.3.25 Logføring | 6.9.4.1, 6.9.4.2, 6.9.4.3 | Logning |
| A.3.26 Brug af kryptografi | 6.7.1.1, 6.7.1.2 | Brug af kryptografi |
| A.3.27 Sikker udviklingslivscyklus | 6.11.2.1 | Sikker udviklingslivscyklus |
| A.3.28 Applikationssikkerhed | 6.11.1.2, 6.11.1.3 | Krav til applikationssikkerhed |
| A.3.29 Sikker systemarkitektur | 6.11.2.5 | Sikker systemarkitektur |
| A.3.30 Udliciteret udvikling | 6.11.2.7 | Udliciteret udvikling |
| A.3.31 Testoplysninger | 6.11.3.1 | Testinformation |
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilke kontroller blev fjernet i 2019?
Et betydeligt antal i 2019 Punkt 6 Kontroller har ingen direkte ækvivalent i 2025. Dette er kontroller, hvor 2019-udgaven refererede til ISO 27002, men ikke tilføjede vejledning om personoplysninger. 2025-udgaven valgte kun at inkludere kontroller, der har specifik relevans for privatlivets fred.
Nøglekategorier af fjernede kontroller omfatter:
| Boligtype | Fjernelse af kontroller i 2019 | Årsag |
|---|---|---|
| Opdeling af pligter | 6.3.1.2 | Ingen PII-specifik vejledning nødvendig |
| Kontakt med myndigheder / særlige interessegrupper | 6.3.1.3, 6.3.1.4 | Dækket af klausuler om ledelsessystemer |
| Beholdning af aktiver og ejerskab | 6.5.1.1-6.5.1.4 | Ingen PII-specifikke tilføjelser nødvendige |
| Adgangskontrolpolitik | 6.6.1.1, 6.6.1.2 | Dækket af A.3.9 Adgangsrettigheder (Adgangsrettigheder) |
| Fysisk sikkerhed | 6.8.1.1-6.8.1.6, 6.8.2.1-6.8.2.6 | Ingen vejledning om personoplysninger ud over medier/bortskaffelse |
| Beskyttelse af malware | 6.9.2.1 | Ingen PII-specifik vejledning nødvendig |
| Netværkssikkerhed | 6.10.1.1-6.10.1.3 | Ingen PII-specifik vejledning nødvendig |
| Sårbarhedshåndtering | 6.9.6.1, 6.9.6.2 | Ingen PII-specifik vejledning nødvendig |
| Forretningskontinuitet | 6.14.1.1-6.14.2.1 | Ingen PII-specifik vejledning nødvendig |
Vigtig: Fjernelse fra ISO 27701 betyder ikke, at disse kontroller er uvigtige. Hvis din organisation også har ISO 27001, forbliver disse kontroller relevante i henhold til denne standard. De er simpelthen blevet udeladt fra ISO 27701:2025, fordi de ikke kræver implementeringsvejledning specifikt om personoplysninger.
Hvordan bør du bruge bilag F til din overgang?
- Start med tabel F.2 — Angiv alle dine nuværende 2019-kontroller, og slå hver enkelt op. Marker, om den er knyttet til en 2025-kontrol eller viser N/A
- For kortlagte kontrolelementer — Bekræft, at din eksisterende implementering overholder 2025-formuleringen. De fleste vil blive overført med minimale ændringer.
- For N/A-kontroller — Beslut, om dokumentationen skal trækkes tilbage eller beholdes under en anden ramme (f.eks. ISO 27001)
- Se tabel F.1 for nye kontroller — Enhver 2025-kontrol markeret som "Ny" i 2019-kolonnen skal implementeres på ny
- Opdater din erklæring om anvendelighed — Genopbyg den ved hjælp af 2025 Bilag A struktur med de korrekte kontrolreferencer
For en komplet gennemgang af overgangsprocessen, se vores ISO 27701 overgangsvejledning.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvorfor vælge ISMS.online til din overgang?
ISMS.online giver værktøjerne til at gøre din overgang struktureret og reviderbar:
- Indbygget korrespondancekortlægning — Se, hvordan dine eksisterende 2019-kontroller overholder 2025-strukturen uden manuelt regnearksarbejde
- Sporing af gapanalyse — Markér hver kontrol som kortlagt, skal opdateres eller ny, og spor status til færdiggørelse
- Erklæring om anvendelighedsbygger — Generer din nye SoA baseret på de 78 kontroller i bilag A med begrundelser for udelukkelser.
- Versionsstyret dokumentation — Behold både din dokumentation for 2019 og 2025 i overgangsperioden
- Revisionsspor — Vis dit certificeringsorgan præcis, hvad der ændrede sig, og hvornår under overgangen
Ofte Stillede Spørgsmål
Er alle kontroller fra 2019 dækket i 2025-udgaven?
Nej. Mange kontroller i henhold til klausul 6 fra 2019 (især dem, der vedrører fysisk sikkerhed, netværkssikkerhed, malwarebeskyttelse og forretningskontinuitet) har ingen direkte tilsvarende kontroller fra 2025, fordi de ikke indeholdt specifik vejledning om personoplysninger. Disse er markeret som N/A i korrespondancetabellen.
Er der helt nye kontroller i 2025?
2025-udgavens kontroller er i vid udstrækning omorganiseret fra indholdet fra 2019 i stedet for at være helt nye. Imidlertid er kravene til ledelsessystemer i punkt 4-10 nu uafhængige (ikke udvidelser af ISO 27001), hvilket betyder, at nogle krav, som f.eks. den uafhængige privatlivspolitik og den uafhængige proces til risikovurdering af privatlivets fred, kan være nye for organisationer, der tidligere var afhængige af deres ISMS-dokumentation.
Kan jeg bruge begge udgaver i overgangsperioden?
Ja. I overgangsperioden (oktober 2025 til oktober 2028) er begge udgaver gyldige. Din eksisterende 2019-certificering forbliver gyldig indtil den planlagte udløbsdato eller oktober 2028, alt efter hvad der kommer først. Nye certificeringer kan udstedes for begge udgaver.
Brug denne korrespondancetabel sammen med vores trinvise vejledning vejledning til gapanalyse for at identificere, hvad der har ændret sig for dit PIMS.
