Wat vereis beheer A.1.4.10?
Die organisasie moet persoonlike inligting (PII) wat oor 'n data-oordragnetwerk gestuur word (bv. na 'n ander organisasie gestuur) onderwerp aan toepaslike beheermaatreëls wat ontwerp is om te verseker dat die data die beoogde bestemming bereik.
Hierdie beheer sit binne die PII-minimalisering doelwit (A.1.4) en spreek die sekuriteit van PII aan wanneer dit die organisasie se direkte beheer tydens oordrag verlaat. Of PII nou na 'n PII-verwerker gestuur word, met 'n vennoot gedeel word, na 'n wolkdiens oorgedra word of tussen interne stelsels oorgedra word, die organisasie moet verseker dat dit aankom waar dit bedoel is en tydens oordrag beskerm word.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.1.4.10) verskaf die volgende riglyne:
- Implementeer enkripsie vir PII tydens transito — Gebruik enkripsie om persoonlike inligting tydens oordrag te beskerm, wat onderskepping of afluister voorkom. Dit sluit beide eksterne oordragte (na derde partye) en interne oordragte (tussen stelsels) in.
- Verifieer die identiteit en magtiging van die ontvanger — Voordat u persoonlike inligting oordra, bevestig dat die ontvanger is wie hulle beweer om te wees en dat hulle gemagtig is om die data te ontvang
- Log-oordragte — Hou rekords van PII-oordragte, insluitend wat gestuur is, aan wie, wanneer en deur watter kanaal
- Oorweeg die sekuriteit van die transmissiekanaal — Beoordeel die sekuriteit van die transmissiekanaal self, insluitend die netwerk, protokolle en tussengangers wat betrokke is
- Gebruik veilige protokolle — Gebruik bedryfstandaard-veilige protokolle soos TLS (vir web en e-pos), SFTP (vir lêeroordrag), VPN (vir netwerkverbindings) en geïnkripteerde API's
- Sien ook A.1.4.2: Limietversameling vir verwante vereistes
- Sien ook A.1.4.5: PII-minimaliseringsdoelwitte vir verwante vereistes
Die beheer is tegnologie-agnosties, maar verwag dat organisasies oordragmetodes sal kies wat proporsioneel is tot die sensitiwiteit van die PII en die risiko. Die oordrag van gesondheidsrekords vereis sterker beheermaatreëls as die oordrag van 'n sakekontak se e-posadres.
Hoe pas dit by die GDPR?
Beheer A.1.4.10 karteer na BBP Artikel 5(1)(f), die integriteits- en vertroulikheidsbeginsel, wat vereis dat persoonlike data verwerk word op 'n wyse wat gepaste sekuriteit verseker, insluitend beskerming teen ongemagtigde of onwettige verwerking en teen toevallige verlies. Oordrag is 'n verwerkingsaktiwiteit, en die sekuriteit van data in transito is 'n kernelement van die BBPse sekuriteitsvereistes kragtens Artikel 32.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
Hierdie beheer ondersteun die ISO 29100 beginsel van Inligtings sekuriteit, wat vereis dat PII beskerm word met toepaslike beheermaatreëls teen risiko's soos ongemagtigde toegang, vernietiging, gebruik, wysiging, openbaarmaking of verlies. Oordrag verteenwoordig een van die hoogste risiko-oomblikke in die data-lewensiklus omdat PII blootgestel is aan netwerkvlakbedreigings.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.1.4.10 beoordeel word, sal ouditeure tipies kyk na:
- Transmissiesekuriteitsbeleid — ’n Gedokumenteerde beleid wat die minimum sekuriteitsbeheermaatreëls spesifiseer wat vereis word vir PII in transito, insluitend goedgekeurde protokolle, enkripsiestandaarde en ontvangerverifikasieprosedures
- Enkripsiekonfigurasies — Bewyse van TLS/SSL-konfigurasies vir webdienste, SFTP-konfigurasies vir lêeroordragte, VPN-instellings vir netwerkverbindings en API-enkripsiestandaarde
- Ontvangerverifikasieprosedures — Gedokumenteerde prosedures vir die verifikasie van die identiteit en magtiging van PII-ontvangers voor oordrag, veral vir nuwe ontvangers of eenmalige oordragte
- Transmissielogboeke — Rekords van PII-oordragte, wat wys wat gestuur is, aan wie en deur watter kanaal
- Derdeparty-ooreenkomste — Dataverwerkingsooreenkomste of datadelingsooreenkomste met ontvangers wat transmissiesekuriteitsvereistes spesifiseer
- Kwesbaarheidstudies — Resultate van netwerk- en protokolassesserings wat bevestig dat transmissiekanale aan sekuriteitsvereistes voldoen
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.4.4 Akkuraatheid en kwaliteit | Data-integriteit tydens oordrag beskerm PII-akkuraatheid |
| A.1.4.9 Beskikking | PII wat aan derde partye oorgedra word, kan ook by die ontvanger se kant verwydering vereis |
| A.1.4.7 Tydelike lêers | Oordragprosesse skep dikwels tydelike opstellêers wat persoonlike inligting bevat |
| A.1.4.3 Beperk verwerking | Oordrag moet slegs plaasvind vir data wat nodig is vir die vermelde doel |
| A.1.2.2 Identifiseer en dokumenteer doel | Oordrag moet slegs plaasvind om 'n gedokumenteerde verwerkingsdoel te ondersteun |
| A.1.2.9 Rekords van verwerking | Oordragaktiwiteite moet in verwerkingsrekords weerspieël word, insluitend kategorieë van ontvangers |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is PII-oordragkontroles aangespreek onder Klousule 7.4.9 (PII-oordragkontroles). Die 2025-beheer behou dieselfde kernvereiste. Die implementeringsriglyne verwys nou meer eksplisiet na moderne veilige protokolle en plaas groter klem op ontvangerverifikasie en oordraglogging. Die herstruktureerde formaat maak ook die verhouding tussen oordragsekuriteit en die breër ISO 27001-inligtingsekuriteitskontroles duideliker. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoekom kies ISMS.aanlyn vir die bestuur van PII-oordragkontroles?
ISMS.aanlyn oorbrug jou privaatheidsbestuur en inligtingsekuriteitsbeheer in 'n enkele platform:
- Datavloei-kartering — Visualiseer en dokumenteer elke PII-oordrag, insluitend die bron, bestemming, kanaal, protokol en enkripsiestandaard wat gebruik word
- Ontvangerregister — Hou 'n register van gemagtigde PII-ontvangers by met hul verifikasiestatus, dataverwerkingsooreenkomste en goedgekeurde oordragmetodes
- Dokumentasie vir sekuriteitsbeheer — Dokumentenkripsiekonfigurasies, protokolstandaarde en netwerksekuriteitsmaatreëls met weergawebeheerde rekords
- ISO 27001-integrasie — Koppel PII-oordragkontroles aan u breër inligtingsekuriteitsbestuurstelsel, en verseker dat privaatheids- en sekuriteitskontroles in lyn is
- Derdeparty-nakomingsopsporing — Monitor die nakomingsstatus van data-ontvangers, insluitend kontrakbeoordelings, sekuriteitsassesserings en voorvalkennisgewings
- Oudit-gereed bewyse — Voer transmissiebeleide, konfigurasierekords en datavloeikaarte uit as deel van u sertifiseringsbewyspakket
Vrae & Antwoorde
Geld hierdie beheer vir interne sowel as eksterne data-oordragte?
Ja. Die beheer is van toepassing op PII wat oor enige data-oordragnetwerk oorgedra word, wat interne netwerke sowel as eksterne oordragte insluit. Alhoewel die risikoprofiel kan verskil (eksterne oordragte het oor die algemeen 'n hoër onderskeppingsrisiko), moet interne oordragte ook beskerm word met toepaslike enkripsie- en toegangsbeheer, veral waar PII netwerksegmente oorsteek of deur gedeelde infrastruktuur gaan.
Wat is die minimum aanvaarbare enkripsiestandaard vir PII tydens transito?
Die standaard skryf nie 'n spesifieke kodeersuite voor nie, maar die huidige beste praktyk in die bedryf is TLS 1.2 of hoër vir web- en API-verkeer, met TLS 1.3 verkies waar beide partye dit ondersteun. Ouer protokolle (SSL, TLS 1.0, TLS 1.1) is afgekeur en moet nie gebruik word nie. Vir lêeroordragte is SFTP of SCP oor SSH standaard. Vir e-pos moet TLS-enkripsie tussen posbedieners waar moontlik afgedwing word. Die keuse moet gedokumenteer en in lyn gebring word met u inligtingsekuriteitsbeleid.
Hoe moet organisasies PII hanteer wat per e-pos gestuur word?
E-pos bied spesifieke uitdagings omdat standaard e-posprotokolle nie end-tot-end enkripsie waarborg nie. Toepaslike maatreëls sluit in: die afdwinging van TLS tussen jou e-posbediener en die ontvanger se bediener (opportunistiese of afgedwonge TLS); die gebruik van S/MIME- of PGP-enkripsie vir hoogs sensitiewe PII; wagwoordbeskerming van aanhangsels wat PII bevat; die gebruik van veilige lêerdelingskakels in plaas van direkte aanhangsels; en die implementering van DLP-reëls (dataverliesvoorkoming) om toevallige PII-blootstelling via e-pos op te spoor en te voorkom. Die benadering moet proporsioneel wees tot die sensitiwiteit van die PII.
ons gids vir vereistes vir ouditbewyse gee besonderhede oor wat ouditeure verwag vir transmissiesekuriteitsbeheer.
Vir grensoverschrijdende transmissievereistes, sien ons gids vir grensoverschrijdende data-oordragte.
