Hoe is Aanhangsel A in ISO 27701:2025 gestruktureer?
Aanhangsel A is normatief, wat beteken dat die beheermaatreëls vereistes is (nie opsionele riglyne nie). Dit is in drie tabelle georganiseer gebaseer op die organisasie se rol in die verwerking van persoonlik identifiseerbare inligting (PII):
| Tabel | Is van toepassing op | Controls | Fokusareas |
|---|---|---|---|
| Tabel A.1 | PII-beheerders | 31 | Wettige basis, toestemming, PII-hoofregte, privaatheid deur ontwerp, data-oordragte |
| Tabel A.2 | PII-verwerkers | 18 | Kliëntooreenkomste, verwerkingsdoeleindes, subkontrakteurbestuur, openbaarmakings |
| Tabel A.3 | Beide beheerders en verwerkers | 29 | Inligtingsekuriteitsbeleide, toegangsbeheer, voorvalbestuur, kriptografie, ontwikkelingssekuriteit |
Elke Aanhangsel A-beheer het ooreenstemmende implementeringsriglyne in Aanhangsel B (bv. riglyne vir beheer) A.1.2.2 Identifiseer en dokumenteer doel word gevind in B.1.2.2). Organisasies moet alle toepaslike beheermaatreëls in hul verklaring van toepaslikheid insluit, met regverdiging vir enige uitsluitings [Klausule 6.1.3 e)].
Wat dek Tabel A.1? (PII-beheerderkontroles)
Tabel A.1 bevat 31 kontroles gegroepeer in vier doelwitte. Hierdie is van toepassing op enige organisasie wat die doeleindes en middele van PII-verwerking bepaal.
Voorwaardes vir versameling en verwerking (A.1.2)
Doelwit: Om aan te toon dat verwerking wettig is, met 'n wettige basis volgens toepaslike jurisdiksies, en met duidelik gedefinieerde en wettige doeleindes.
| Beheer | Titel |
|---|---|
| A.1.2.2 Identifiseer en dokumenteer doel | Identifiseer en dokumenteer doel |
| A.1.2.3 Identifiseer wettige basis | Identifiseer die wettige basis |
| A.1.2.4 Bepaal Toestemming | Bepaal wanneer en hoe toestemming verkry moet word |
| A.1.2.5 Verkry en teken toestemming aan | Verkry en teken toestemming aan |
| A.1.2.6 Impakassessering vir privaatheid | Impakbepaling van privaatheid |
| A.1.2.7 Kontrakte met PII-verwerkers | Kontrakte met PII-verwerkers |
| A.1.2.8 Gesamentlike PII-beheerder | Gesamentlike PII-beheerder |
| A.1.2.9 Rekords van Verwerking van PII | Rekords verwant aan die verwerking van PII |
Verpligtinge teenoor PII-hoofde (A.1.3)
Doelwit: Om te verseker dat PII-prinsipale van toepaslike inligting oor die verwerking van hul PII voorsien word en om aan enige ander toepaslike verpligtinge te voldoen.
| Beheer | Titel |
|---|---|
| A.1.3.2 Verpligtinge teenoor PII-hoofde | Bepaling en nakoming van verpligtinge teenoor PII-prinsipale |
| A.1.3.3 Inligting vir PII-hoofde | Bepaling van inligting vir PII-hoofde |
| A.1.3.4 Verskaffing van inligting | Verskaffing van inligting aan PII-hoofde |
| A.1.3.5 Wysig of Trek Toestemming In | Voorsiening van 'n meganisme om toestemming te wysig of terug te trek |
| A.1.3.6 Beswaar teen PII-verwerking | Verskaf 'n meganisme om beswaar te maak teen PII-verwerking |
| A.1.3.7 Toegang, Regstelling of Uitwissing | Toegang, regstelling of uitwissing |
| A.1.3.8 Stel derde partye in kennis | PII-beheerders se verpligtinge om derde partye in te lig |
| A.1.3.9 Verskaffing van 'n afskrif van die persoonlike inligting | Verskaf afskrif van verwerkte PII |
| A.1.3.10 Hantering van Versoeke | Hantering van versoeke |
| A.1.3.11 Geoutomatiseerde besluitneming | Outomatiese besluitneming |
Privaatheid deur ontwerp en privaatheid deur verstek (A.1.4)
Doelwit: Om te verseker dat prosesse en stelsels so ontwerp is dat die insameling en verwerking van persoonlike inligting beperk word tot wat nodig is vir die geïdentifiseerde doel.
| Beheer | Titel |
|---|---|
| A.1.4.2 Limietversameling | Beperk versameling |
| A.1.4.3 Beperk Verwerking | Beperk verwerking |
| A.1.4.4 Akkuraatheid en Kwaliteit | Akkuraatheid en kwaliteit |
| A.1.4.5 Minimalisering van persoonlike inligting | PII-minimaliseringsdoelwitte |
| A.1.4.6 De-identifikasie en Verwydering | PII-de-identifikasie en -verwydering aan die einde van verwerking |
| A.1.4.7 Tydelike lêers | Tydelike lêers |
| A.1.4.8 Behoud | Retensie |
| A.1.4.9 Beskikking | beskikking |
| A.1.4.10 PII-oordragkontroles | PII-oordragkontroles |
PII-deling, -oordrag en -openbaarmaking (A.1.5)
Doelwit: Om te bepaal of, en te dokumenteer wanneer, PII gedeel, oorgedra of openbaar gemaak word in ooreenstemming met toepaslike verpligtinge.
| Beheer | Titel |
|---|---|
| A.1.5.2 Basis vir PII-oordrag | Identifiseer die basis vir die oordrag van persoonlike inligting tussen jurisdiksies |
| A.1.5.3 Lande vir PII-oordrag | Lande en internasionale organisasies waarheen PII oorgedra kan word |
| A.1.5.4 Rekords van PII-oordrag | Rekords van oordrag van PII |
| A.1.5.5 Rekords van PII-bekendmakings | Rekords van PII-openbaarmakings aan derde partye |
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Wat dek Tabel A.2? (PII-verwerkerkontroles)
Tabel A.2 bevat 18 kontroles gegroepeer in vier doelwitte. Hierdie is van toepassing op enige organisasie wat PII namens 'n PII-beheerder verwerk.
Voorwaardes vir versameling en verwerking (A.2.2)
| Beheer | Titel |
|---|---|
| A.2.2.2 Kliëntooreenkoms | Kliëntooreenkoms |
| A.2.2.3 Organisasiedoelwitte | Organisasie se doelwitte |
| A.2.2.4 Bemarking en Advertering | Bemarkings- en advertensiegebruik |
| A.2.2.5 Oortredende Instruksie | Oortredende instruksie |
| A.2.2.6 Kliëntverpligtinge | Kliëntverpligtinge |
| A.2.2.7 Rekords van Verwerking van PII | Rekords verwant aan die verwerking van PII |
Verpligtinge teenoor PII-hoofde (A.2.3)
| Beheer | Titel |
|---|---|
| A.2.3.2 Verpligtinge teenoor PII-hoofde | Voldoen aan verpligtinge teenoor PII-hoofde |
Privaatheid deur ontwerp en privaatheid deur verstek (A.2.4)
| Beheer | Titel |
|---|---|
| A.2.4.2 Tydelike lêers | Tydelike lêers |
| A.2.4.3 Terugbesorging, Oordrag of Beskikking | Terugbesorging, oordrag of beskikking van persoonlike inligting |
| A.2.4.4 PII-oordragkontroles | PII-oordragkontroles |
PII-deling, -oordrag en -openbaarmaking (A.2.5)
| Beheer | Titel |
|---|---|
| A.2.5.2 Basis vir PII-oordrag | Basis vir PII-oordrag tussen jurisdiksies |
| A.2.5.3 Lande vir PII-oordrag | Lande en internasionale organisasies waarheen PII oorgedra kan word |
| A.2.5.4 Rekords van PII-bekendmakings | Rekords van PII-openbaarmakings aan derde partye |
| A.2.5.5 Versoeke om PII-openbaarmaking | Kennisgewing van versoeke om PII-openbaarmaking |
| A.2.5.6 Regsbindende Bekendmakings | Wetlik bindende PII-openbaarmakings |
| A.2.5.7 Openbaarmaking van subkontrakteurs | Openbaarmaking van subkontrakteurs wat gebruik word om PII te verwerk |
| A.2.5.8 Betrokkenheid van subkontrakteurs | Aanstelling van 'n subkontrakteur om PII te verwerk |
| A.2.5.9 Verandering van Subkontrakteur | Verandering van subkontrakteur om PII te verwerk |
Wat dek Tabel A.3? (Gedeelde sekuriteitskontroles)
Tabel A.3 bevat 29 kontroles wat van toepassing is op beide PII-beheerders en PII-verwerkers. Dit is inligtingsekuriteitsbeheermaatreëls met spesifieke PII-verwerkingsvereistes.
| Beheer | Titel |
|---|---|
| A.3.3 Inligtingsekuriteitsbeleide | Beleide vir inligtingsekuriteit |
| A.3.4 Sekuriteitsrolle | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| A.3.5 Klassifikasie van inligting | Klassifikasie van inligting |
| A.3.6 Etikettering van inligting | Etikettering van inligting |
| A.3.7 Inligtingsoordrag | Inligting oordrag |
| A.3.8 Identiteitsbestuur | Identiteitsbestuur |
| A.3.9 Toegangsregte | Toegangsregte |
| A.3.10 Verskaffersooreenkomste | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| A.3.11 Voorvalbestuur | Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur |
| A.3.12 Reaksie op sekuriteitsvoorvalle | Reaksie op inligtingsekuriteitsvoorvalle |
| A.3.13 Wetlike en Regulatoriese Vereistes | Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| A.3.14 Beskerming van rekords | Beskerming van rekords |
| A.3.15 Onafhanklike Hersiening | Onafhanklike hersiening van inligtingsekuriteit |
| A.3.16 Nakoming van Beleide | Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| A.3.17 Sekuriteitsbewustheid en -opleiding | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| A.3.18 Vertroulikheidsooreenkomste | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| A.3.19 Duidelike lessenaar en duidelike skerm | Duidelike lessenaar en duidelike skerm |
| A.3.20 Stoormedia | Berging media |
| A.3.21 Veilige wegdoening van toerusting | Veilige wegdoening of hergebruik van toerusting |
| A.3.22 Gebruikerseindpunttoestelle | Gebruikerseindpunttoestelle |
| A.3.23 Veilige stawing | Veilige verifikasie |
| A.3.24 Rugsteun van inligting | Rugsteun van inligting |
| A.3.25 Logging | Logging |
| A.3.26 Gebruik van kriptografie | Gebruik van kriptografie |
| A.3.27 Veilige ontwikkelingslewensiklus | Veilige ontwikkeling lewensiklus |
| A.3.28 Toepassingsekuriteit | Aansoek sekuriteit vereistes |
| A.3.29 Veilige Stelselargitektuur | Veilige stelselargitektuur en ingenieursbeginsels |
| A.3.30 Uitgekontrakteerde Ontwikkeling | Uitgekontrakteerde ontwikkeling |
| A.3.31 Toetsinligting | Toets inligting |
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Hoe werk Aanhangsel A en Aanhangsel B saam?
Aanhangsel A definieer die beheerdoelwitte en beheerstellings (die “wat”). Aanhangsel B verskaf implementeringsleiding (die “hoe”). Elke Aanhangsel A-kontrole het 'n ooreenstemmende Aanhangsel B-klousule met dieselfde nommering:
- Beheer A.1.2.2 Identifiseer en dokumenteer doel (Identifiseer en dokumenteer doel) → Leidraad by B.1.2.2
- Beheer A.2.2.2 Kliëntooreenkoms (Kliëntooreenkoms) → Leidraad by B.2.2.2
- Beheer A.3.3 Inligtingsekuriteitsbeleide (Beleide vir inligtingsekuriteit) → Leidraad by B.3.3
Wanneer 'n beheermaatreël geïmplementeer word, lees beide die vereiste van Aanhangsel A en die riglyne van Aanhangsel B saam. Aanhangsel B word as normatief geklassifiseer, alhoewel dit 'moet'-taal eerder as 'sal' gebruik, maar ouditeure sal verwag dat jou implementering in ooreenstemming met die bedoeling daarvan sal wees.
Hoe hou Aanhangsel A verband met ander aanhangsels?
Die standaard bevat vier bykomende karteringsaanhangsels wat Aanhangsel A-kontroles aan eksterne raamwerke verbind:
- Bylae C — Koppel kontroles aan die 11 privaatheidsbeginsels in ISO/IEC 29100
- Bylae D - Maak kontroles toe aan GDPR-artikels (Artikels 5–35 en 44–49)
- Bylae E — Koppel kontroles aan ISO/IEC 27018 (wolkverwerkers) en ISO/IEC 29151 (PII-beskerming)
- Bylae F - Kaarteer 2025-kontroles na ISO 27701:2019-ekwivalente
Hierdie kartering is insiggewend (nie normatief nie), maar dit is van onskatbare waarde vir organisasies wat voldoening aan verskeie raamwerke gelyktydig moet demonstreer.
Hoekom kies ISMS.aanlyn vir ISO 27701:2025 Aanhangsel A?
ISMS.aanlyn gee jou 'n gestruktureerde, ouditeerbare manier om elke Aanhangsel A-kontrole te implementeer:
Vergelyk hoe toonaangewende platforms die implementering van Aanhangsel A in ons ondersteun vergelyking van voldoeningsagteware.
- Voorafgeboude beheerstelle — Al 78 kontroles gekarteer en gereed vir u verklaring van toepaslikheid
- Bewyskoppeling — Heg beleide, risikobepalings, ouditresultate en rekords direk aan elke kontrolepunt
- Rolgebaseerde aansigte — Filtreer kontroles volgens jou rol (beheerder, verwerker of albei) sodat jy slegs sien wat van toepassing is
- Gap-opsporing — Merk elke beheermaatreël as geïmplementeer, gedeeltelik geïmplementeer of nie van toepassing nie met regverdiging
- Kruisraamwerkkartering — Kyk hoe elke kontrole gekoppel word aan BBP, ISO 27001 en ander raamwerke wat u bedryf
- Oudit-gereed uitvoere — Genereer u toepaslikheidsverklaring en bewyspakkette vir eksterne ouditeure
Vrae & Antwoorde
Moet ek al 78 Aanhangsel A-kontroles implementeer?
Nie noodwendig nie. U moet alle beheermaatreëls wat van toepassing is op u rol (beheerder, verwerker of albei) in u toepaslikheidsverklaring insluit. Enige uitsluitings moet geregverdig word. Beheermaatreëls kan uitgesluit word waar dit nie deur u risikobepaling nodig geag word nie, of waar dit nie deur toepaslike wetlike vereistes vereis word nie.
Wat is die verskil tussen Aanhangsel A en Aanhangsel B?
Aanhangsel A bevat die beheerdoelwitte en beheerstellings (die vereistes). Aanhangsel B verskaf implementeringsriglyne vir elke beheermaatreël. Aanhangsel A is normatief (verpligtend); Aanhangsel B se riglyne is normatief en gebruik 'moet'-taal om implementeringsaanbevelings te verskaf wat ouditeure verwag om aangespreek te sien.
Hoe weet ek watter tabel op my organisasie van toepassing is?
As jy die doeleindes en middele van PII-verwerking bepaal, Tabel A.1 (beheerderbeheer) is van toepassing. Indien u persoonlike inligting namens 'n ander organisasie verwerk, Tabel A.2 (verwerkerkontroles) is van toepassing. Tabel A.3 (gedeelde beheermaatreëls) is op beide rolle van toepassing. Baie organisasies tree op as beide beheerders en verwerkers vir verskillende verwerkingsaktiwiteite.
Hoe vergelyk die 2025-kontroles met die 2019-uitgawe?
Aanhangsel F verskaf 'n volledige ooreenstemmingstabel in beide rigtings. Tabel F.1 karteer 2025-kontroles met hul 2019-ekwivalente. Tabel F.2 karteer 2019-kontroles met hul 2025-ekwivalente. Sien ons Aanhangsel F korrespondensiegids vir die volledige kartering.
Leer hoe om jou beheerkeuses in ons te dokumenteer Gids vir die Verklaring van Toepaslikheid.
Elke kontrole vereis ondersteunende bewyse — sien ons vereistes vir ouditbewyse riglyne vir wat ouditeure verwag.
