Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.1.4.9: Beskikking

Beheer A.1.4.9 vereis dat organisasies gedokumenteerde beleide, prosedures of meganismes vir die wegdoening van persoonlike inligting (PII) moet hê. Veilige wegdoening is die finale waarborg in die datalewensiklus, wat verseker dat PII nie herwin kan word sodra dit nie meer nodig is nie.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.1.4.9?

Die organisasie moet gedokumenteerde beleide, prosedures of meganismes hê vir die verwydering van PII.

Hierdie beheer sit binne die PII-minimalisering doelwit (A.1.4) en verseker dat wanneer PII die einde van sy lewensiklus bereik, hetsy deur die verstryking van die bewaringstydperk (A.1.4.8), vervulling van die verwerkingsdoel, of 'n versoek van die PII-prinsipaal, word die data vernietig op 'n manier wat herwinning verhoed.

Wat sê die implementeringsriglyne?

Aanhangsel B (afdeling B.1.4.9) verskaf die volgende riglyne:

  • Verseker dat PII nie herwin kan word nie — Beskikkingsmetodes moet waarborg dat persoonlike inligting nie na beskikking herwin, gerekonstrueer of herstel kan word nie. Eenvoudige verwydering (die verwydering van 'n lêer uit 'n gids) is tipies nie voldoende nie, aangesien die data op die stoormedium kan bly.
  • Kies gepaste wegdoenmetodes — Metodes moet ooreenstem met die stoormedium en insluit: veilige verwydering (oorskryf), fisiese vernietiging van media (versnippering, degaussing, verbranding) en kriptografiese uitwissing (vernietiging van die enkripsiesleutels vir geïnkripteerde data)
  • Dokumentprosedures per mediumtipe — Die wegdoeningsmetode moet gedokumenteer word vir elke tipe stoormedium wat deur die organisasie gebruik word (hardeskywe, SSD's, USB-toestelle, papierrekords, wolkberging, rugsteunbande)
  • Hou wegdoeningsrekords by — Hou rekords van wat weggedoen is, wanneer, deur wie en met watter metode. Hierdie rekords dien as ouditbewyse en verantwoordingsdokumentasie.
  • Sien ook A.1.4.2: Limietversameling vir verwante vereistes
  • Sien ook A.1.4.3: Beperk Verwerking vir verwante vereistes

Die kernbeginsel is dat beskikking verifieerbaar moet wees. 'n Ouditeur moet in staat wees om persoonlike inligting (PII) vanaf die bewaringskedule tot 'n beskikkingsrekord te volg wat bevestig dat dit veilig vernietig is.

Hoe pas dit by die GDPR?

Beheer A.1.4.9 karteer na BBP Artikel 5(1)(f), die integriteits- en vertroulikheidsbeginsel, wat vereis dat persoonlike data verwerk word op 'n wyse wat gepaste sekuriteit verseker, insluitend beskerming teen ongemagtigde of onwettige verwerking en teen toevallige verlies, vernietiging of skade. Veilige beskikking ondersteun dit direk deur te verseker dat persoonlike inligting nie onbedoeld blootgestel word deur onvoldoende vernietigingsmetodes nie.

Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.

Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?

Hierdie beheer ondersteun die ISO 29100 beginsel van Beperking van gebruik, bewaring en openbaarmaking, spesifiek die vereiste dat persoonlike inligting veilig vernietig moet word wanneer dit nie meer benodig word nie. Sonder veilige wegdoening is bewaringsbeperkingskontroles onvolledig omdat die data steeds bestaan ​​selfs nadat die bewaringstydperk fisies verstryk het.



Vind jou nakomingsvertroue, met ISMS.online

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.1.4.9 beoordeel word, sal ouditeure tipies kyk na:

  • Beskikkingsbeleid — 'n Gedokumenteerde beleid wat die organisasie se benadering tot die verwydering van persoonlike inligting dek, insluitend verantwoordelikhede, goedgekeurde metodes en verifikasievereistes.
  • Mediumspesifieke prosedures — Gedokumenteerde wegdoeningsprosedures vir elke tipe stoormedium: elektronies (HDD, SSD, wolk), verwyderbaar (USB, rugsteunbande) en fisies (papier, gedrukte dokumente)
  • Beskikkingsrekords — 'n Register of logboek van wegdoeningsaktiwiteite wat wys wat weggedoen is, wanneer, deur wie en met watter metode
  • Derdeparty-beskikkingsooreenkomste — Waar wegdoening uitgekontrakteer word (bv. aan 'n versnipperingsmaatskappy of IT-bateverwyderingsfirma), kontrakte wat veilige wegdoeningstandaarde en vernietigingsertifikate spesifiseer
  • Verifikasiebewyse — Rekords wat bevestig dat die wegdoening effektief was, soos vernietigingsertifikate, oorskryfverifikasieverslae of bevestiging van wolkverskaffers
  • personeelopleiding — Bewyse dat personeel betrokke by wegdoening die prosedures en die belangrikheid van veilige vernietiging verstaan

Wat is die verwante kontroles?

Beheer Verhoudings
A.1.4.8 Behoud Behoudskedules bepaal wanneer wegdoening geaktiveer moet word
A.1.4.6 De-identifikasie en verwydering Skrapping is een vorm van beskikking; de-identifikasie is die alternatief
A.1.4.7 Tydelike lêers Tydelike lêers moet binne hul gedefinieerde kort bewaringstydperke verwyder word
A.1.4.5 PII-minimaliseringsdoelwitte Weggooi is die laaste meganisme in die minimaliseringslewensiklus.
A.1.4.10 PII-oordragkontroles PII wat aan derde partye oorgedra word, moet moontlik ook aan die ontvangerkant verwyder word

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is wegdoening aangespreek onder Klousule 7.4.8 (wegdoening). Die 2025-beheer behou dieselfde kernvereiste vir gedokumenteerde wegdoeningsbeleide, -prosedures of -meganismes. Die implementeringsriglyne plaas nou meer klem op die behoefte aan mediumspesifieke prosedures en die belangrikheid van die instandhouding van wegdoeningsrekords. Kriptografiese uitwissing word ook meer prominent as 'n wegdoeningstegniek genoem. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die bestuur van PII-verwydering?

ISMS.aanlyn help jou om die data-lewensiklus te sluit met gedokumenteerde, verifieerbare wegdoeningsprosesse:

  • Biblioteek oor wegdoenprosedures — Handhaaf gedokumenteerde wegdoeningsprosedures vir elke stoormediumtipe, met weergawebeheer en goedkeuringswerkvloeie
  • Verwyderingslogboek — Teken elke wegdoeningsaksie aan met wat vernietig is, die metode wat gebruik is, wie dit uitgevoer het en wanneer, en skep die ouditspoor wat ouditeure vereis
  • Derdepartybestuur — Volg wegdoeningsdiensverskaffers, hul kontrakte, vernietigingsertifikate en voldoening aan u wegdoeningsstandaarde
  • Retensie-integrasie — Aktiveer outomaties wegdoeningstake wanneer bewaringsperiodes verstryk, wat jou bewaringskedule aan die wegdoeningsproses koppel
  • Bateregister-koppeling — Koppel wegdoeningsrekords aan u IT-bateregister en data-inventaris sodat u persoonlike inligting (PII) van versameling tot gesertifiseerde vernietiging kan naspeur

Vrae & Antwoorde

Is die verwydering van 'n lêer voldoende om dit onder hierdie beheer te verwyder?

Oor die algemeen nee. Standaard lêerverwydering (om na 'n asblik te skuif of die gidsinskrywing te verwyder) verwyder nie die data van die stoormedium nie. Die data bly herwinbaar met behulp van forensiese gereedskap totdat dit oorskryf word. Veilige wegdoening vereis oorskryf (vir HDD's), die gebruik van vervaardiger se veilige uitvee-opdragte (vir SSD's), fisiese vernietiging of kriptografiese uitwissing. Die metode moet proporsioneel wees tot die sensitiwiteit van die PII en die risiko van herstel.

Hoe moet die wegdoening van wolkgestoorde PII hanteer word?

Vir wolkberging is fisiese vernietiging van media nie tipies 'n opsie nie. In plaas daarvan moet die organisasie: die wolkverskaffer se veilige verwyderings-API's gebruik; deur die verskaffer se bepalings of sertifisering verifieer dat verwyderde data nie herwinbaar is nie; kriptografiese uitwissing oorweeg (data met 'n unieke sleutel enkripteer en dan die sleutel veilig vernietig); en bevestiging van die verskaffer behou dat data van alle replikas en rugsteun verwyder is. Die verwyderingsprosedure moet in u wolkdataverwerkingsooreenkoms gedokumenteer word.

Moet beskikkingsrekords self bewaar word?

Ja. Beskikkingsrekords dien as u bewys dat PII veilig vernietig is. Hulle moet bewaar word vir 'n tydperk wat voldoende is om voldoening tydens oudits te demonstreer en om te reageer op enige navrae van PII-hoofde of reguleerders oor wat met hul data gebeur het. Beskikkingsrekords moet nie die PII self bevat nie, slegs metadata oor die beskikking (watter kategorie, wanneer, hoe, deur wie). 'n Tipiese bewaringstydperk vir beskikkingsrekords is in lyn met u ouditsiklus plus enige toepaslike beperkingstydperk.

sien ons gids vir vereistes vir ouditbewyse vir die spesifieke bewyse wat ouditeure verwag vir datakwaliteit en minimaliseringskontroles.

Teken hierdie kontrole in jou Verklaring van toepaslikheid met u regverdiging vir die toepaslikheid daarvan.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.