Spring til indhold
ISMS.online

ISO 27701:2025 Klausul 6: Planlægning

Afsnit 6 dækker planlægningsaktiviteterne for dit PIMS, herunder hvordan man vurderer privatlivsrisici, bestemmer risikohåndteringstiltag, fastsætter privatlivsmål og planlægger ændringer i ledelsessystemet.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver paragraf 6?

Klausul 6 er den centrale planlægningsklausul for dit Privacy Information Management System (PIMS). Den definerer, hvordan du identificerer risici og muligheder, vurderer og håndterer privatlivsrisici, sætter målbare mål og styrer ændringer. Denne klausul forbinder den kontekstuelle forståelse fra Punkt 4 til de operationelle aktiviteter i Punkt 8.

6.1 Handlinger for at imødegå risici og muligheder

6.1.1 Generelt

Ved planlægning af PIMS skal organisationen overveje problemstillingerne fra Punkt 4.1 og kravene fra punkt 4.2, og fastlæg de risici og muligheder, der skal håndteres for at:

  • Sørg for, at PIMS kan opnå de tilsigtede resultater
  • Forebygge eller reducere uønskede virkninger
  • Opnå løbende forbedringer

Organisationen skal planlægge handlinger for at imødegå disse risici og muligheder, hvordan handlingerne integreres og implementeres i PIMS-processer, og hvordan effektiviteten af ​​disse handlinger evalueres.

6.1.2 Risikovurdering for privatlivets fred

Organisationen skal definere og anvende en proces til risikovurdering af privatlivets fred, der:

  • Fastsætter risikokriterier — Herunder risikoacceptkriterier og kriterier for udførelse af risikovurderinger for privatlivets fred
  • Sikrer sammenhæng — Gentagne vurderinger giver konsistente, valide og sammenlignelige resultater
  • Identificerer risici — Anvende processen til at identificere risici forbundet med beskyttelse af privatlivets fred og informationssikkerhed inden for PIMS' anvendelsesområde og identificere risikoejerne
  • Analyserer risici — Vurder de potentielle konsekvenser og den realistiske sandsynlighed for de identificerede risici og fastlæg risikoniveauerne
  • Evaluerer risici — Sammenlign resultater med de fastsatte kriterier og prioritér risici ved behandling

Risikovurderingsprocessen skal dokumenteres, og resultaterne skal opbevares som dokumenteret information.

6.1.3 Håndtering af privatlivsrisici

Organisationen skal definere og anvende en proces til håndtering af privatlivsrisici for at:

  • Vælg passende risikobehandlingsmuligheder under hensyntagen til resultaterne af risikovurderingen
  • Fastlæg alle nødvendige kontroller for at implementere de valgte risikohåndteringsmuligheder
  • Identificer og dokumenter det informationssikkerhedsprogram, der er implementeret af organisationen, herunder passende sikkerhedskontroller, der (som minimum) omfatter: risikostyring for informationssikkerhed, politikker, organisering af informationssikkerhed, HR-sikkerhed, aktivstyring, adgangskontrol, driftssikkerhed, netværkssikkerhedsstyring, udviklingssikkerhed, leverandørstyring, hændelsesstyring, forretningskontinuitet, gennemgang af informationssikkerhed, kryptografi samt fysisk og miljømæssig sikkerhed.
  • Sammenlign de fastlagte kontroller fra risikohåndterings- og informationssikkerhedsprogrammet med dem i Bilag A at verificere, at ingen nødvendige kontroller er udeladt
  • Fremstil en Anvendelseserklæring (SoA) der indeholder de nødvendige kontroller, begrundelse for deres inkludering, om de er implementeret og begrundelse for at udelukke eventuelle Bilag A kontrol
  • Udarbejd en plan for håndtering af privatlivsrisici
  • Indhent risikoejernes godkendelse af risikohåndteringsplanen og accept af resterende privatlivsrisici
  • Overvej vejledningen i bilag B for implementering af kontroller, der er fastlagt under risikohåndtering og i informationssikkerhedsprogrammet.

I dette underafsnit forbindes kravene til ledelsessystemet med kontrollerne i bilag A. Din SoA bliver det centrale dokument, der forbinder resultaterne af risikovurderingen med de specifikke kontroller, du implementerer.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


6.2 Privatlivsmål og planlægning for at nå dem

Organisationen skal fastsætte mål for beskyttelse af personlige oplysninger på relevante funktioner og niveauer. Mål for beskyttelse af personlige oplysninger skal:

  • Vær konsekvent med privatlivspolitikken
  • Vær målbar (hvis muligt)
  • Tag hensyn til gældende krav
  • Bliv overvåget
  • Bliv kommunikeret
  • Bliv opdateret efter behov
  • Vær tilgængelig som dokumenteret information

Når organisationen planlægger, hvordan målene skal nås, skal den fastlægge, hvad der skal gøres, hvilke ressourcer der kræves, hvem der er ansvarlig, hvornår det skal være færdigt, og hvordan resultaterne skal evalueres.

6.3 Planlægning af ændringer

Når organisationen fastslår behovet for ændringer i PIMS, skal ændringerne udføres på en planlagt måde. Dette er et nyt eksplicit krav i 2025-udgaven, der understreger, at ad hoc-ændringer i ledelsessystemet bør undgås. Ændringer bør vurderes for deres indvirkning på PIMS-effektiviteten og styres gennem en struktureret proces.

Hvordan hænger dette sammen med GDPR?

Paragraf 6 understøtter flere GDPR krav:

  • artikel 35 — Konsekvensanalyser af databeskyttelse (DPIA'er) er i overensstemmelse med processen for risikovurdering af privatlivets fred i 6.1.2
  • artikel 32 — Behandlingssikkerhed, der kræver passende tekniske og organisatoriske foranstaltninger baseret på risikovurdering
  • artikel 24 — Den dataansvarliges ansvar for at implementere passende foranstaltninger under hensyntagen til risici af varierende sandsynlighed og alvorlighed
  • artikel 25 — Databeskyttelse gennem design og standardindstillinger, understøttet af forudgående risikoplanlægning

Hvad har ændret sig fra ISO 27701:2019?

  • Terminologi for privatlivsrisiko — 2025-udgaven bruger eksplicit "risikovurdering af privatlivets fred" og "behandling af privatlivets fred" i stedet for at benytte informationssikkerhedsrisikoprocesserne fra ISO 27001.
  • Selvstændig SoA — Anvendelseserklæringen refererer nu direkte til ISO 27701 Annex A-kontroller i stedet for at supplere en ISO 27001 SoA.
  • Klausul 6.3 tilføjet — Planlægning af ændringer er et nyt eksplicit krav, der ikke findes i 2019-udgaven.
  • Bilag A kontrolsammenligning — Risikobehandlingsprocessen kræver nu eksplicit sammenligning af bestemte kontroller med bilag A for at verificere, at ingen nødvendige kontroller er udeladt.

se Bilag F korrespondancetabel for den fulde kortlægning og vores nyhedsguide for et bredere overblik over ændringerne.

Hvilken dokumentation forventer revisorer?

  • Metode for risikovurdering — En dokumenteret proces til identifikation, analyse og evaluering af privatlivsrisici
  • Risikovurderingsresultater — Optegnelser over gennemførte vurderinger med identificerede risici, sandsynlighed, virkning og risikoniveauer
  • Risikobehandlingsplan — En plan, der viser, hvordan hver uacceptabel risiko vil blive håndteret, med tildelte ejere og tidsfrister
  • Anvendelseserklæring — En komplet SoA, der dækker alle bilag A-kontroller med begrundelser for inkludering/udelukkelse
  • Målsætninger om beskyttelse af personlige oplysninger — Dokumenterede, målbare mål med planer for at nå dem
  • Godkendelser fra risikoejere — Dokumentation for, at risikoejerne har godkendt behandlingsplanen og accepteret restrisici
  • Ændringsregistreringer — Dokumentation for, at ændringer i PIMS planlægges og styres systematisk


Find din compliance-tillid med ISMS.online

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Relaterede klausuler

Klausul Relationship
Klausul 4: Kontekst Kontekstanalyse og interessentkrav indgår i risikoidentifikationen
Punkt 5: Ledelse Privatlivspolitikken danner rammerne for fastsættelse af mål (6.2)
Punkt 8: Betjening Vurdering af operationel risiko (8.2) og behandling (8.3) implementerer de planer, der er defineret her
Punkt 9: Præstationsevaluering Overvågnings- og evalueringsaktiviteter evaluerer effektiviteten af ​​risikohåndtering
Bilag A Kontrol SoA'en i 6.1.3 bestemmer, hvilke bilag A-kontroller der gælder

Hvorfor vælge ISMS.online for overholdelse af paragraf 6?

ISMS.online tilbyder integrerede værktøjer til planlægning af privatlivsrisici:

  • Register over privatlivsrisici — Identificer, vurder og prioriter privatlivsrisici med konfigurerbare kriterier, sandsynligheds- og konsekvensskalaer
  • Arbejdsgange for risikobehandling — Tildel behandlingshandlinger til ejere med deadlines, spor fremskridt og registrer godkendelser
  • Builder til erklæring om anvendelighed — Generer og vedligehold din SoA med alle bilag A-kontroller, begrundelser for inkludering/ekskludering og implementeringsstatus
  • Målsporing — Sæt, overvåg og rapporter om privatlivsmål med statusdashboards
  • Forandringsledelse — Planlæg og spor ændringer i PIMS med arbejdsgange til konsekvensanalyse og godkendelse

Ofte Stillede Spørgsmål

Hvad er forskellen mellem en DPIA og risikovurderingen i henhold til klausul 6?

En konsekvensanalyse af databeskyttelse (DPIA) i henhold til GDPR artikel 35 udløses af specifikke behandlingsaktiviteter med høj risiko og fokuserer på virkningen på enkeltpersoner. Risikovurderingen af ​​databeskyttelse i henhold til klausul 6.1.2 er en bredere, systematisk proces, der dækker alle privatlivsrisici inden for PIMS-anvendelsens anvendelsesområde. DPIA'er kan indgå i din risikovurdering i henhold til klausul 6, og mange organisationer integrerer de to processer. Vurderingen i henhold til klausul 6 er dog obligatorisk for alle behandlingsaktiviteter, ikke kun for aktiviteter med høj risiko.

Kan kontroller i bilag A udelukkes fra anvendelighedserklæringen?

Ja. SoA'en skal dække alle bilag A-kontroller, men du kan udelukke kontroller, der ikke er relevante for din organisation. Hver udelukkelse skal begrundes. Hvis du f.eks. kun fungerer som PII-ansvarlig, kan du udelukke Tabel A.2 processorkontroller med den begrundelse. Du kan dog ikke udelukke en kontrol blot fordi den er vanskelig eller dyr at implementere.

Hvor ofte skal risikovurderingen for privatlivets fred gennemgås?

Klausul 6 kræver, at risikovurderingsprocessen defineres, mens Punkt 8.2 kræver, at det udføres med planlagte intervaller eller når der sker væsentlige ændringer. De fleste organisationer foretager en fuld gennemgang årligt, med yderligere vurderinger udløst af ændringer såsom nye behandlingsaktiviteter, regulatoriske opdateringer, sikkerhedshændelser eller organisatorisk omstrukturering.

Start din planlægning med en struktureret gapanalyse at identificere prioriterede områder for din risikobehandlingsplan.

Dokumentér dine kontrolbeslutninger i en Anvendelseserklæring — et centralt resultat af planlægningsprocessen.

Har du brug for at retfærdiggøre investeringen? ROI business case-ramme hjælper med at kvantificere fordelene.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.