Wat vereis beheer A.3.11?
Die organisasie moet beplan en voorberei vir die bestuur van inligtingsekuriteitsvoorvalle wat verband hou met PII-verwerking deur voorvalbestuursprosesse, rolle en verantwoordelikhede te definieer, te vestig en te kommunikeer.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3), wat verpligtinge vir beide PII-beheerders en PII-verwerkers bevat. Dit fokus spesifiek op die beplannings- en voorbereidingsfase — om te verseker dat u organisasie gereed is om te reageer voordat 'n voorval plaasvind, eerder as om na 'n oortreding te skarrel.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.11) verskaf die volgende riglyne:
- Stel identifikasie- en opnameprosedures vas — Definieer duidelike verantwoordelikhede en prosedures vir die identifisering en aantekening van PII-oortredings, insluitend hoe om die erns van 'n voorval te klassifiseer
- Stel kennisgewingprosedures vas — Skep gedokumenteerde prosedures vir die kennisgewing van relevante partye van PII-oortredings, insluitend die tydsberekening van kennisgewings
- Rekening hou met wetlike vereistes — Neem rekening met toepaslike wetlike en regulatoriese vereistes vir kennisgewing van oortredings, wat volgens jurisdiksie verskil
- Jurisdiksionele bewustheid — Sommige jurisdiksies stel spesifieke regulasies vir oortredingsreaksie op met gedefinieerde tydlyne en inhoudvereistes vir kennisgewings.
Die riglyne beklemtoon dat voorvalbeplanning nie generies kan wees nie. Prosedures moet rekening hou met die spesifieke tipes PII wat u organisasie verwerk, die jurisdiksies waarin u werksaam is, en die kennisgewingsvereistes wat op u omstandighede van toepassing is.
Hoe pas dit by die GDPR?
Beheer A.3.11 karteer na verskeie BBP artikels:
- Artikel 5(1)(f) — Integriteit en vertroulikheid, insluitend die vermoë om op oortredings te reageer
- Artikel 33 (1) — Beheerders moet die toesighoudende owerheid binne 72 uur in kennis stel nadat hulle van 'n oortreding bewus geword het
- Artikel 33(3)(ad) — Kennisgewings moet die aard van die oortreding, kontakpunt, waarskynlike gevolge en maatreëls wat geneem is, insluit.
- Artikel 33(4-5) — Inligting kan in fases verskaf word; die beheerder moet alle oortredings dokumenteer
- Artikel 34(1-4) — Kommunikasie van oortredings aan datasubjekte wanneer daar 'n hoë risiko vir hul regte en vryhede is
Die 72-uur BBP kennisgewingvenster maak voorafbeplanning noodsaaklik. Sonder voorafbepaalde prosesse is dit uiters moeilik om hierdie sperdatum te haal.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.13.1.4, wat verantwoordelikhede en prosedures vir voorvalbestuur aangespreek het. Die 2025-uitgawe behou die kernvereistes as A.3.11, maar bied duideliker skeiding tussen die beheerverklaring en die implementeringsriglyne in B.3.11. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.11 beoordeel word, sal ouditeure tipies kyk na:
- Voorvalbestuursbeleid en -prosedures — 'n Gedokumenteerde plan wat die identifisering, klassifikasie, eskalasie en kennisgewing van PII-oortredings dek
- Gedefinieerde rolle en verantwoordelikhede — Duidelike toewysing van wie wat doen tydens 'n voorval, insluitend 'n aangewese voorvalbestuurder en kennisgewingskoördineerder
- Kennisgewingsjablone — Vooraf voorbereide sjablone vir die kennisgewing van toesighoudende owerhede, betrokke individue en sakevennote, in lyn met wetlike vereistes
- Register van wetlike vereiste — 'n Gedokumenteerde lys van verpligtinge om kennisgewing van oortredings per jurisdiksie te gee, insluitend tydlyne en inhoudvereistes
- Opleidings- en oefenrekords — Bewyse dat voorvalreaksiespanne opgelei is en dat die plan deur middel van tafelbladoefeninge of simulasies getoets is
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.12 Reaksie op voorvalle | A.3.11 dek beplanning; A.3.12 Reaksie op sekuriteitsvoorvalle dek die werklike reaksie wanneer 'n voorval plaasvind |
| A.3.13 Wetlike en kontraktuele vereistes | Tydlyne en verpligtinge vir kennisgewing van oortredings hang af van toepaslike wetlike vereistes |
| A.3.17 Bewustheid en opleiding | Personeel moet weet hoe om potensiële PII-voorvalle te herken en aan te meld |
| A.3.14 Beskerming van rekords | Insidentrekords moet beskerm word teen verlies, vernietiging of ongemagtigde toegang |
| A.3.10 Verskafferooreenkomste | Verskafferkontrakte moet verpligtinge om kennisgewing van oortredings en reaksietydlyne insluit |
Op wie is hierdie beheer van toepassing?
A.3.11 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beheerders dra die primêre verpligting om toesighoudende owerhede en betrokke individue in kennis te stel, terwyl verwerkers prosedures in plek moet hê om oortredings op te spoor en sonder onnodige vertraging aan hul beheerders te rapporteer. Beide rolle benodig gedokumenteerde, getoetste voorvalbestuursplanne.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoekom kies ISMS.aanlyn vir voorvalbestuurbeplanning?
ISMS.aanlyn bied praktiese gereedskap vir die bou en instandhouding van u PII-insidentresponsvermoë:
- Voorvalbestuur werkvloeie — Voorafgeboude, konfigureerbare werkvloeie wat jou span deur identifikasie-, klassifikasie-, eskalasie- en kennisgewingstappe lei
- Roltoewysing — Definieer voorvalrolle en -verantwoordelikhede met duidelike eskalasiepaaie, sodat almal hul deel ken voordat 'n voorval plaasvind
- Kennisgewingopsporing — Volg kennisgewings van toesighoudende owerhede en data-onderwerpe teen regulatoriese sperdatums, met outomatiese waarskuwings soos tydsbeperkings nader kom
- Oortredingsregister — Hou 'n volledige logboek by van alle PII-voorvalle met ernsgraderings, reaksieaksies en uitkomste, wat voldoen aan die dokumentasievereiste van Artikel 33(5) van die AVG.
- Oefenbestuur — Beplan en teken tafelbladoefeninge op en beplan hersienings om voortgesette voorbereiding te demonstreer
Vrae & Antwoorde
Hoe spesifiek moet prosedures vir voorvalreaksie wees?
Prosedures moet spesifiek genoeg wees sodat 'n spanlid dit onder druk sonder dubbelsinnigheid kan volg. Dit beteken benoemde rolle (nie net postitels nie), spesifieke kontakbesonderhede, stap-vir-stap eskalasiepaaie en vooraf voorbereide kennisgewingsjablone. Generiese prosedures wat nie rekening hou met PII-spesifieke vereistes en jurisdiksionele kennisgewingstydlyne nie, sal ouditeure nie tevrede stel nie.
Watter jurisdiksionele faktore beïnvloed die beplanning van kennisgewing van oortredings?
Kennisgewingsvereistes verskil aansienlik volgens jurisdiksie. Die AVG stel 'n sperdatum van 72 uur op vir die kennisgewing van toesighoudende owerhede. Ander jurisdiksies kan verskillende tydlyne, verskillende drempels hê vir wanneer kennisgewing vereis word, en verskillende vereistes vir die inhoud van kennisgewings. Jou voorvalplan moet rekening hou met elke jurisdiksie waarin jy persoonlike inligting verwerk.
Hoe gereeld moet voorvalreaksieplanne getoets word?
Die beste praktyk is om ten minste een tafelblad-oefening per jaar uit te voer, met bykomende hersienings wanneer daar 'n beduidende verandering aan u verwerkingsaktiwiteite, IT-infrastruktuur of organisatoriese struktuur is. Die standaard vereis dat planne met beplande tussenposes hersien word of wanneer beduidende veranderinge plaasvind. Die dokumentasie van die resultate van elke oefening en enige verbeterings wat aangebring is, is noodsaaklik vir ouditbewyse.
Verstaan die volle koste-implikasies van privaatheidsvoorvalle in ons koste van nie-nakoming teenoor sertifisering analise.
sien ons gids vir vereistes vir ouditbewyse vir die voorvaldokumentasie wat ouditeure verwag.
