Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.2.4.4: PII-transmissiebeheer

Beheer A.2.4.4 vereis dat organisasies persoonlike inligting wat oor data-oordragnetwerke gestuur word, aan toepaslike beheermaatreëls moet onderwerp wat ontwerp is om te verseker dat data die beoogde bestemming bereik. Dit beskerm persoonlike data wat onderweg is teen onderskepping, misleiding en kompromie.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.2.4.4?

Die organisasie moet persoonlike inligting (PII) wat oor 'n data-oordragnetwerk gestuur word, aan toepaslike beheermaatreëls onderwerp, wat ontwerp is om te verseker dat die data die beoogde bestemming bereik.

Hierdie beheer sit binne die PII-verwerkerkontroles aanhangsel (A.2) en spreek die sekuriteit van persoonlike inligting tydens oordrag aan. Wanneer persoonlike data oor netwerke beweeg, hetsy tussen stelsels binne die verwerker se omgewing, tussen die verwerker en die beheerder, of tussen die verwerker en 'n subkontrakteur, moet dit beskerm word teen onderskepping, verandering en misleiding.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.2.4.4) verskaf die volgende riglyne:

  • Toegangsbeheer — Verseker dat slegs gemagtigde persone toegang tot transmissiestelsels het
  • Gedokumenteerde prosesse — Volg toepaslike prosesse, insluitend die behoud van ouditdata om voldoening aan te toon
  • Integriteit en aflewering — Verseker dat PII sonder kompromie aan die korrekte ontvangers oorgedra word
  • Kontraktuele vereistes — Transmissievereistes kan in die kliëntkontrak gespesifiseer word
  • Kliënt konsultasie — Waar geen kontraktuele vereistes bestaan ​​nie, moet die organisasie advies van die kliënt inwin voor oordrag
  • Sien ook A.2.3.2: Voldoen aan verpligtinge teenoor PII-hoofde vir verwante vereistes
  • Sien ook A.2.4.2: Tydelike lêers vir verwante vereistes

Die riglyne beklemtoon dat oordragbeheer nie uitsluitlik 'n tegniese aangeleentheid is nie. Die verwerker moet verseker dat die regte data die regte ontvanger bereik sonder om onderweg in die gedrang te kom. Dit vereis 'n kombinasie van enkripsie, toegangsbeheer, verifikasiemeganismes en ouditroetes. Waar die kliënt spesifieke oordragvereistes het, moet dit in die kontrak gedokumenteer word.

Hoe pas dit by die GDPR?

Beheer A.2.4.4 karteer na die volgende BBP Artikel:

  • Artikel 5(1)(f) — Integriteit en vertroulikheid — Persoonlike data moet verwerk word op 'n wyse wat gepaste sekuriteit verseker, insluitend beskerming teen ongemagtigde of onwettige verwerking en teen toevallige verlies, vernietiging of skade, deur gebruik te maak van gepaste tegniese of organisatoriese maatreëls.

Die integriteits- en vertroulikheidsbeginsel vereis dat persoonlike data beskerm word tydens oordrag sowel as in rus. Die oordrag van persoonlike inligting oor netwerke sonder toepaslike beheermaatreëls (soos enkripsie) stel die data bloot aan onderskepping en kompromie, wat hierdie beginsel direk skend.

Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste binne die breër klousulestruktuur aangespreek. Die 2025-uitgawe verskaf A.2.4.4 as 'n losstaande beheermaatreël met implementeringsriglyne in B.2.4.4 wat spesifiek toegang tot transmissiestelsels, ouditdata-bewaring en die rol van kliëntkontrakte in die definiëring van transmissievereistes aanspreek. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online se kragtige dashboard

Begin jou gratis toets

Wil jy verken?

Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand

Aan die begin


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.2.4.4 beoordeel word, sal ouditeure tipies kyk na:

  • Enkripsie standaarde — Bewyse dat PII tydens oordrag geïnkripteer word met behulp van huidige, industrie-aanvaarde protokolle (soos TLS 1.2 of hoër vir data in transito)
  • Toegangsbeheer — Dokumentasie wat toon dat slegs gemagtigde individue en stelsels toegang tot transmissiemeganismes het
  • Ouditspore — Behoue ​​ouditdata wat suksesvolle oordrag aantoon, insluitend sender, ontvanger, tydstempel en bevestiging van aflewering
  • Kontraktuele spesifikasies — Kontrakklousules wat die kliënt se transmissievereistes spesifiseer, insluitend enkripsiestandaarde, toegelate kanale en ontvangerverifikasieprosedures
  • Insidentrekords — Rekords van enige transmissiefoute of sekuriteitsvoorvalle, insluitend oorsaakontleding en korrektiewe stappe wat geneem is

Wat is die verwante kontroles?

Beheer Verhoudings
A.2.5.2 Basis vir PII-oordrag tussen jurisdiksies Grensoorskrydende oordrag vereis beide tegniese beheermaatreëls en 'n wetlike basis
A.2.2.2 Kliëntooreenkoms Transmissievereistes moet in die kliëntkontrak gespesifiseer word
A.2.4.3 Terugbesorging, oordrag of beskikking Die terugbesorging van persoonlike inligting aan die kliënt is 'n vorm van oordrag wat toepaslike beheermaatreëls vereis
A.3 Gedeelde sekuriteitskontroles Netwerksekuriteit en kriptografiese beheermaatreëls ondersteun transmissiesekuriteit
A.2.5.3 Lande vir PII-oordrag Oordragbestemmings moet gedokumenteer en bekend gemaak word

Op wie is hierdie beheer van toepassing?

A.2.4.4 is uitsluitlik van toepassing op PII-verwerkersVerwerkers dra gereeld persoonlike inligting oor as deel van hul bedrywighede, of dit nou data van beheerders ontvang, verwerkte resultate terugstuur, data met subkontrakteurs deel of data tussen stelsels repliseer. Elk van hierdie oordragpunte verteenwoordig 'n potensiële blootstelling. Hierdie beheer verseker dat verwerkers toepaslike voorsorgmaatreëls implementeer vir alle persoonlike inligting wat onderweg is.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir PII-oordragkontroles?

ISMS.aanlyn bied praktiese gereedskap vir die bestuur van PII-oordragsekuriteit:

  • Beleidsdokumentasie — Dokumenteer u transmissiesekuriteitsbeleide, insluitend enkripsiestandaarde, toegelate kanale en toegangsbeheer, met weergawebeheer en hersieningskedulering
  • Bate kartering — Kaart datavloei wat PII-oordrag behels, identifisering van sender- en ontvangerstelsels, oordragmetodes en die beheermaatreëls wat op elkeen toegepas word
  • Kontrakbestuur — Volg kliëntspesifieke transmissievereistes saam met u standaardkontroles, en verseker dat kontraktuele verpligtinge nagekom word
  • Voorvalbestuur — Teken transmissiesekuriteitsvoorvalle aan en bestuur dit met oorsaakontleding, korrektiewe aksies en geleerde lesse
  • Ouditbewyse — Stoor transmissie-ouditdata, enkripsiesertifikate en toegangsbeheerrekords as gestruktureerde bewyse vir interne en eksterne oudits

Vrae & Antwoorde

Watter enkripsiestandaarde moet vir PII-oordrag gebruik word?

Die standaard skryf nie spesifieke enkripsieprotokolle voor nie, maar huidige beste praktyk vereis TLS 1.2 of hoër vir data wat oor netwerke oorgedra word. Vir e-posoordrag, oorweeg S/MIME- of PGP-enkripsie. Vir lêeroordragte, gebruik SFTP of SCP eerder as ongeënkripteerde FTP. Vir API-kommunikasie, dwing HTTPS met sertifikaatvalidering af. Die spesifieke vereistes kan ook deur die kliëntkontrak of deur toepaslike databeskermingsregulasies gedefinieer word.

Wat as die kliënt nie die transmissievereistes spesifiseer nie?

Die Aanhangsel B-riglyne bepaal dat waar geen kontraktuele vereistes bestaan ​​nie, die organisasie advies van die kliënt moet inwin voor oordrag. In die praktyk beteken dit om proaktief met die kliënt te konsulteer oor hul voorkeur-oordragmetodes, enkripsievereistes en ontvangerverifikasieprosedures. Die dokumentasie van hierdie konsultasie en die ooreengekome benadering beskerm beide partye en demonstreer goeie praktyk aan ouditeure.

Is hierdie beheer van toepassing op interne netwerkoordrag?

Ja. Die beheer is van toepassing op PII wat oor enige data-oordragnetwerk oorgedra word, insluitend interne netwerke. Terwyl eksterne oordragte tipies 'n hoër risiko inhou, kan interne netwerkverkeer ook onderskep word, veral in gedeelde of wolkomgewings. Die beste praktyk is om PII tydens oordrag te enkripteer, ongeag of die netwerk intern of ekstern is, en om netwerksegmentering en toegangsbeheer te implementeer om blootstelling te beperk.

sien ons gids vir vereistes vir ouditbewyse vir die verwerker-spesifieke bewyse wat ouditeure vereis.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.