Wat vereis beheer A.3.15?
Die organisasie se benadering tot die bestuur van inligtingsekuriteit met betrekking tot PII-verwerking en die implementering daarvan, insluitend mense, prosesse en tegnologieë, moet onafhanklik hersien word met beplande tussenposes, of wanneer beduidende veranderinge plaasvind.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en spreek die behoefte aan objektiewe versekering aan. Selfassessering is belangrik, maar onafhanklike hersiening bied die geloofwaardigheid wat kliënte, reguleerders en sakevennote benodig.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.15) fokus veral op die verwerkerkonteks:
- Onpraktiesheid van individuele oudits — Waar individuele kliëntoudits onprakties is of sekuriteitsrisiko's kan verhoog (byvoorbeeld deur ander kliënte se data bloot te stel), moet verwerkers oorweeg om onafhanklike bewyse aan kliënte beskikbaar te stel.
- Bewyse voor en binne die kontrak — Onafhanklike bewyse moet aan kliënte beskikbaar gestel word voor en gedurende die kontrakperiode, wat deurlopende versekering moontlik maak.
- Aanvaarbare ouditbewyse — 'n Relevante onafhanklike oudit (soos ISO 27001 sertifisering of ISO 27701-sertifisering) behoort normaalweg aanvaarbaar te wees om 'n kliënt se belang in die hersiening van die verwerker se bedrywighede te bevredig.
- Sien ook A.3.3: Beleide vir Inligtingsekuriteit vir verwante vereistes
- Sien ook A.3.4: Inligtingsekuriteitsrolle en -verantwoordelikhede vir verwante vereistes
Dit is veral betekenisvol vir wolkdiensverskaffers en SaaS-platforms waar honderde kliënte elk 'n kontraktuele reg op ouditering kan hê – wat individuele oudits operasioneel onwerkbaar maak.
Hoe pas dit by die GDPR?
Beheer A.3.15 karteer na BBP Artikel 32(1)(d), wat 'n proses vereis vir die gereelde toetsing, assessering en evaluering van die doeltreffendheid van tegniese en organisatoriese maatreëls, en Artikel 32(2), wat die risiko's vir datasubjekte in ag neem wanneer die toepaslike vlak van sekuriteit geëvalueer word.
Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.15.2.1 (onafhanklike hersiening van inligtingsekuriteit). Die 2025-uitgawe behou die kernvereistes as A.3.15 met duideliker skeiding tussen die beheerverklaring en implementeringsriglyne in B.3.15. Die praktiese riglyne oor die gebruik van onafhanklike oudits om aan kliënteversekeringsbehoeftes te voldoen, bly 'n sleutelkenmerk. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.15 beoordeel word, sal ouditeure tipies kyk na:
- Interne ouditprogram — 'n Gedokumenteerde skedule van onafhanklike oorsigte wat die PIMS-omvang dek, insluitend frekwensie en seleksiekriteria
- Ouditeur onafhanklikheid — Bewyse dat beoordelaars onafhanklik is van die areas wat hersien word, of dit nou interne ouditeure van 'n ander departement of eksterne ouditfirmas is.
- Ouditverslae — Voltooide hersieningsverslae met bevindinge, risikograderings en aanbevole aksies
- Korrektiewe aksie-opsporing — Bewyse dat bevindinge aangespreek word deur middel van gedokumenteerde korrektiewe aksies met toegewyse eienaars en teikendatums
- Oorsigte gebaseer op snellers — Bewyse dat bykomende hersienings uitgevoer word wanneer beduidende veranderinge plaasvind, nie net met beplande tussenposes nie
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.16 Nakoming van beleide | A.3.15 bied onafhanklike versekering; A.3.16 Nakoming van Beleide dek operasionele nakomingskontrole |
| A.3.13 Wetlike en kontraktuele vereistes | Onafhanklike oorsigte moet voldoening aan geïdentifiseerde wetlike verpligtinge verifieer |
| A.3.10 Verskafferooreenkomste | Verskafferkontrakte kan ouditregte insluit waaraan onafhanklike oorsigte kan voldoen |
| A.3.14 Beskerming van rekords | Ouditverslae en -bevindinge moet as voldoeningsrekords beskerm word |
| A.3.9 Toegangsregte | Onafhanklike oorsigte behoort te bepaal of toegangsbeheer vir persoonlike inligting doeltreffend is |
Op wie is hierdie beheer van toepassing?
A.3.15 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beheerders benodig onafhanklike versekering dat hul privaatheidsbeheer doeltreffend werk. Verwerkers trek aansienlik voordeel uit hierdie beheer omdat onafhanklike ouditbewyse (soos ISO 27701 of ISO 27001 sertifisering) kan gelyktydig aan verskeie kliënte se ouditvereistes voldoen, wat die las van individuele kliëntoudits verminder.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die bestuur van onafhanklike resensies?
ISMS.aanlyn bied praktiese gereedskap vir die beplanning, uitvoering en dophou van onafhanklike hersienings van u privaatheidsprogram:
- Interne ouditprogram — Beplan en skeduleer oudits met omvangsdefinisies, ouditeurtoewysings en outomatiese herinneringe vir komende hersienings
- Ouditbestuurswerkvloeie — Lei ouditeure deur die hersieningsproses met kontrolelyste, bewysversoeke en vindsjablone
- Korrektiewe aksie-opsporing — Teken bevindinge aan met ernsgraderings, ken eienaars toe, stel sperdatums en volg vordering tot afsluiting
- Bewyspakketgenerering — Stel ouditbewyse saam in gestruktureerde pakkette vir eksterne ouditeure of kliëntversekeringsversoeke
- Sertifisering ondersteuning — Handhaaf u ISO 27701- en ISO 27001-sertifiseringsstatus met voorbereiding vir toesigoudits en gapingontledingsinstrumente
- Kliëntversekeringsportaal — Deel relevante ouditbewyse veilig met kliënte, wat die behoefte aan individuele oudits op die perseel verminder
Vrae & Antwoorde
Hoe gereeld moet onafhanklike oorsigte uitgevoer word?
Die standaard vereis hersienings met beplande tussenposes of wanneer beduidende veranderinge plaasvind. Die meeste organisasies doen jaarliks formele onafhanklike hersienings, in lyn met hul ISO 27001-toesigouditsiklus. Beduidende veranderinge soos 'n groot stelselmigrasie, organisatoriese herstrukturering of 'n nuwe tipe PII-verwerking behoort egter 'n bykomende hersiening buite die beplande skedule te veroorsaak.
Kan 'n interne oudit aan die onafhanklikheidsvereiste voldoen?
Ja, mits die ouditeure onafhanklik is van die gebied wat hersien word. 'n Interne ouditspan wat nie aan die bestuur van die gebied onder hersiening rapporteer nie, kan onafhanklike versekering bied. Vir verwerkingsorganisasies wat aan kliënte se ouditvereistes wil voldoen, verskaf eksterne sertifiseringsliggame egter tipies die sterkste bewys van onafhanklikheid.
Hoe help dit verwerkers om veelvuldige kliëntouditversoeke te bestuur?
Die implementeringsriglyne erken eksplisiet dat individuele kliëntoudits onprakties kan wees en sekuriteitsrisiko's kan verhoog. Deur huidige onafhanklike ouditbewyse (soos ISO 27701- of ISO 27001-sertifisering) te handhaaf, kan verwerkers gestandaardiseerde versekering aan alle kliënte bied. Dit verminder ouditmoegheid, beskerm die vertroulikheid van ander kliënte se data en bied 'n skaalbare benadering tot versekering namate die kliëntebasis groei.
Vir 'n volledige deurloop van die sertifiseringsoudit, lees Wat om te verwag tydens u ISO 27701:2025-oudit.
Die keuse van die regte ouditeur is van kritieke belang — sien hoe om 'n sertifiseringsliggaam te kies.
