Wat vereis beheer A.3.14?
Rekords met betrekking tot PII-verwerking moet beskerm word teen verlies, vernietiging, vervalsing, ongemagtigde toegang en ongemagtigde vrystelling.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en spreek 'n fundamentele bestuursvereiste aan: die rekords wat u privaatheidsnakoming demonstreer, moet self veilig wees. Indien rekords verlore, verander of sonder magtiging verkry kan word, verloor hulle hul waarde as bewys van nakoming.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.14) verskaf die volgende riglyne:
- Historiese beleidsoorsig — Hersiening van beide huidige en historiese beleide mag in sekere situasies vereis word, soos die oplos van kliëntgeskille of die reaksie op ondersoeke deur toesighoudende owerhede.
- Bewaar kopieë van privaatheidsdokumentasie — Hou kopieë van privaatheidsbeleide en -prosedures vir die tydperk wat in die organisasie se bewaringskedule gespesifiseer word, insluitend vorige weergawes wanneer beleide opgedateer word.
Die riglyne beklemtoon dat rekordbeskerming nie net oor huidige dokumente gaan nie. Organisasies moet dalk demonstreer watter beleide op 'n spesifieke tydstip in plek was – byvoorbeeld, om aan te toon dat voldoende voorsorgmaatreëls bestaan het toe 'n oortreding plaasgevind het, of om te reageer op 'n klagte van 'n data-onderwerp wat verwys na historiese verwerking.
Hoe pas dit by die GDPR?
Beheer A.3.14 karteer na BBP Artikel 5(2) (aanspreeklikheidsbeginsel) en Artikel 24(2) (implementering van toepaslike databeskermingsbeleide). Die aanspreeklikheidsbeginsel vereis dat beheerders voldoening moet kan demonstreer, wat geheel en al afhang van die besit van betroubare, beskermde rekords. Indien rekords verlore gaan of daarmee gepeuter word, kan die organisasie nie hierdie verpligting nakom nie.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.15.1.3 (beskerming van rekords). Die 2025-uitgawe behou die kernvereistes as A.3.14 met duideliker skeiding tussen die beheerverklaring en implementeringsriglyne in B.3.14. Die klem op die behoud van historiese weergawes van privaatheidsbeleide bly 'n sleutelkenmerk van die riglyne. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.14 beoordeel word, sal ouditeure tipies kyk na:
- Rekordbewaringsbeleid — ’n Gedokumenteerde beleid wat spesifiseer hoe lank PII-verwerkingsrekords behou word, insluitend minimum bewaringstydperke vir verskillende rekordkategorieë.
- Weergawe beheer — Bewyse dat vorige weergawes van privaatheidsbeleide, prosedures en verwerkingsrekords behou en toeganklik is, met duidelike weergawenommering en datums
- Toegangsbeheer — Beperkings op wie toegang tot privaatheidsrekords kan verkry, dit kan wysig en verwyder, met ouditlogging van enige veranderinge
- Rugsteun en herstel — Bewyse dat rekords gerugsteun word en herwin kan word in die geval van stelselfout of dataverlies
- Integriteitskontroles — Meganismes om vervalsing van rekords op te spoor en te voorkom, soos ouditspore, digitale handtekeninge of sekure berging
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.9 Toegangsregte | Toegang tot privaatheidsrekords moet beperk word tot gemagtigde personeel |
| A.3.12 Insidentrespons | Oortredingsrekords moet beskerm word as deel van die organisasie se rekordbestuur. |
| A.3.13 Wetlike en kontraktuele vereistes | Bewaringstydperke kan deur wetlike verpligtinge gedryf word |
| A.3.15 Onafhanklike hersiening | Ouditeure benodig toegang tot historiese rekords om voortgesette nakoming te verifieer |
| A.3.16 Nakoming van beleide | Rekordbeskermingspraktyke moet tydens voldoeningsoorsigte geverifieer word |
Op wie is hierdie beheer van toepassing?
A.3.14 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beheerders moet rekords beskerm wat hul voldoening aan databeskermingswette demonstreer, insluitend verwerkingsrekords, toestemmingsrekords en privaatheidsimpakstudies. Verwerkers moet rekords van verwerkingsaktiwiteite wat namens beheerders uitgevoer word, kennisgewings van oortredings en kontraktuele dokumentasie beskerm.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die beskerming van PII-verwerkingsrekords?
ISMS.aanlyn bied praktiese gereedskap vir die handhawing van veilige, ouditeerbare privaatheidsrekords:
- Weergawe-beheerde dokumentbestuur — Elke beleid, prosedure en rekord word weergawebeheer met 'n volledige veranderingsgeskiedenis, sodat u altyd die weergawe kan herwin wat op enige tydstip van krag was.
- Rolgebaseerde toegangskontroles — Beperk toegang tot privaatheidsrekords volgens rol, en verseker dat slegs gemagtigde personeel sensitiewe dokumentasie kan besigtig, wysig of uitvoer
- Sekuriteitsbestande ouditroete — Alle veranderinge aan rekords word aangeteken met tydstempels en gebruikersidentiteite, wat bewys van integriteit lewer.
- Outomatiese behoudbestuur — Stel bewaringsperiodes vir verskillende rekordtipes met waarskuwings voor verstryking, en verseker dat u bewaringskedule nagekom word
- Veilige wolkberging — Rekords word met enkripsie gestoor tydens rus en tydens vervoer, met outomatiese rugsteun en rampherstel.
Vrae & Antwoorde
Waarom is dit belangrik om vorige weergawes van privaatheidsbeleide te behou?
Toesighoudende owerhede of howe moet moontlik die beleide wat op 'n spesifieke tydstip in plek was, hersien – byvoorbeeld toe 'n oortreding plaasgevind het, toe 'n datasubjek se persoonlike inligting verwerk is, of toe 'n klagte ingedien is. Sonder historiese weergawes kan die organisasie nie demonstreer watter voorsorgmaatreëls in plek was nie. Die behoud van gedateerde, weergawe-beheerde kopieë van alle privaatheidsdokumentasie is noodsaaklik vir aanspreeklikheid.
Hoe lank moet PII-verwerkingsrekords behou word?
Die standaard skryf nie 'n spesifieke bewaringstydperk voor nie. Dit moet in die organisasie se bewaringskedule gedefinieer word op grond van toepaslike wetlike vereistes, kontraktuele verpligtinge en sakebehoeftes. BBP spesifiseer nie presiese bewaringstydperke vir voldoeningsrekords nie, maar organisasies moet dit lank genoeg behou om te reageer op ondersoeke van toesighoudende owerhede en klagtes van data-onderwerpe, wat etlike jare na verwerking kan ontstaan.
Watter tipe rekords dek hierdie beheermaatreël?
Dit dek alle rekords wat verband hou met PII-verwerking, insluitend: verwerkingsaktiwiteitrekords, privaatheidsbeleide en -prosedures, toestemmingsrekords, impakstudies van databeskerming, oortredingsverslae, versoeklogboeke vir data-onderwerpe, verskafferooreenkomste, opleidingsrekords en ouditverslae. Die gemeenskaplike draad is dat enige rekord wat gebruik word om privaatheidsnakoming te demonstreer, onder hierdie beheer beskerm moet word.
ons gids vir vereistes vir ouditbewyse karteer die spesifieke rekords wat ouditeure vir elke klousule en beheerarea verwag.
