Wat vereis beheer A.3.16?
Nakoming van die organisasie se inligtingsekuriteitsbeleid, onderwerpspesifieke beleide, reëls en standaarde met betrekking tot PII-verwerking sal gereeld hersien word.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en fokus op operasionele verifikasie — om te kontroleer dat die beheermaatreëls wat jy gedokumenteer het, werklik in die praktyk gevolg word. A.3.15 Onafhanklike Hersiening spreek onafhanklike hersiening op 'n strategiese vlak aan, A.3.16 verseker dat daaglikse nakoming gemonitor word.
Verstaan die volledige ouditproses in ons gids: Wat om te verwag tydens u ISO 27701:2025-oudit.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.16) verskaf die volgende riglyne:
- Hersien gereedskap en komponente — Sluit metodes in om die gereedskap en komponente wat verband hou met PII-verwerking te hersien, nie net beleide en prosedures nie
- Deurlopende monitering — Dit kan deurlopende of periodieke monitering insluit om te verifieer dat slegs toegelate verwerking plaasvind
- Penetrasie- en kwesbaarheidstoetsing — Spesifieke toetse soos penetrasietoetsing of kwesbaarheidsassesserings kan deel vorm van die nakomingshersieningsprogram
- Gemotiveerde indringertoetsing — Die riglyne noem spesifiek gemotiveerde indringertoetse op gedeïdentifiseerde datastelle om te verifieer dat anonimiserings- of pseudonimiseringsmaatreëls effektief is.
- Sien ook A.3.3: Beleide vir Inligtingsekuriteit vir verwante vereistes
- Sien ook A.3.4: Inligtingsekuriteitsrolle en -verantwoordelikhede vir verwante vereistes
Die riglyne maak dit duidelik dat voldoeningsbeoordeling nie net 'n papieroefening is nie. Tegniese toetsing – insluitend pogings om gedeïdentifiseerde data te heridentifiseer – is 'n belangrike deel van die verifikasie dat privaatheidsbeheer werk soos bedoel.
Hoe pas dit by die GDPR?
Beheer A.3.16 karteer na BBP Artikel 32(1)(d), wat 'n proses vereis vir die gereelde toetsing, assessering en evaluering van die doeltreffendheid van tegniese en organisatoriese maatreëls om die sekuriteit van verwerking te verseker, en Artikel 32(2), wat vereis dat die risiko's wat verwerking vir datasubjekte inhou, oorweging geneem word.
Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klausules 6.15.2.2 (nakoming van sekuriteitsbeleide en -standaarde) en 6.15.2.3 (tegniese nakomingsoorsig). Die 2025-uitgawe konsolideer hierdie in 'n enkele beheermaatreël (A.3.16), wat beleidsnakomingsoorsigte met tegniese nakomingstoetsing onder een vereiste kombineer. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.16 beoordeel word, sal ouditeure tipies kyk na:
- Nakomingshersieningskedule — ’n Gedokumenteerde program van gereelde nakomingskontroles wat alle PII-verwante beleide en standaarde dek
- Hersien rekords — Bewyse van voltooide oorsigte, insluitend wat geassesseer is, die bevindinge en enige geïdentifiseerde nie-ooreenstemmings
- Tegniese toetsverslae — Resultate van penetrasietoetse, kwesbaarheidskanderings of ander tegniese assesserings wat die doeltreffendheid van PII-sekuriteitsbeheermaatreëls evalueer
- Moniteringsbewyse — Logboeke of verslae van deurlopende moniteringstelsels wat verifieer dat slegs toegelate PII-verwerking plaasvind
- Korrektiewe aksie-opsporing — Bewyse dat nie-ooreenstemmings wat tydens oorsigte geïdentifiseer is, aangeteken, toegeken en opgelos word met gedokumenteerde opvolg
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.15 Onafhanklike hersiening | A.3.15 Onafhanklike Hersiening bied strategiese onafhanklike versekering; A.3.16 dek operasionele nakomingskontrole |
| A.3.9 Toegangsregte | Nakomingsbeoordelings moet bevestig dat toegangsbeheerbeleide gevolg word |
| A.3.13 Wetlike en kontraktuele vereistes | Nakomingsbeoordelings moet die nakoming van wetlike verpligtinge dek |
| A.3.17 Bewustheid en opleiding | Nie-nakomingsbevindinge dui dikwels op opleidingsgapings wat aangespreek moet word |
| A.3.14 Beskerming van rekords | Hersieningsrekords en toetsverslae moet as voldoeningsbewyse beskerm word |
Op wie is hierdie beheer van toepassing?
A.3.16 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beide rolle moet verifieer dat hul gedokumenteerde beleide en tegniese beheermaatreëls gevolg word. Vir verwerkers sluit dit in om te verifieer dat verwerking beperk is tot die beheerder se instruksies en dat tegniese maatreëls soos enkripsie en toegangsbeheer soos bedoel funksioneer.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir deurlopende nakomingsbeoordelings?
ISMS.aanlyn bied praktiese gereedskap vir die monitering en verifiëring van nakoming regdeur u privaatheidsprogram:
- Nakomingsoorsigskeduleerder — Beplan en skeduleer gereelde nakomingskontroles met outomatiese herinneringe, taaktoewysings en sperdatumopsporing
- Beleidserkenningsopsporing — Verifieer dat personeel die huidige weergawes van PII-verwante beleide gelees en erken het, met outomatiese herinnerings vir diegene wat dit nie gedoen het nie.
- Nie-ooreenstemmingsbestuur — Teken bevindinge van nakomingsbeoordelings aan, ken korrektiewe aksies toe, hou vordering dop en verifieer afsluiting
- Monitering van beheerdoeltreffendheid — Volg die prestasie van individuele beheermaatreëls oor tyd, identifiseer tendense en herhalende probleme
- Rapportering oor paneelbord — Nakomingsdashboards intyds wat hersieningsstatus, uitstaande bevindinge en algehele programgesondheid toon
Vrae & Antwoorde
Hoe gereeld moet nakomingsbeoordelings uitgevoer word?
Die standaard vereis gereelde hersienings, maar spesifiseer nie die frekwensie nie. Die beste praktyk is om 'n rollende hersieningsprogram te vestig wat alle PII-verwante beleide en beheermaatreëls binne 'n gedefinieerde siklus dek – tipies jaarliks vir lae-risiko-areas en kwartaalliks vir hoë-risiko-verwerkingsaktiwiteite. Tegniese toetse soos kwesbaarheidskanderings kan meer gereeld uitgevoer word, dikwels maandeliks of na beduidende stelselveranderinge.
Wat is 'n gemotiveerde indringertoets en wanneer is dit nodig?
'n Gemotiveerde indringertoets bepaal of 'n vasberade teenstander met toegang tot publiek beskikbare inligting individue kan heridentifiseer uit gedeïdentifiseerde of gepseudonimiseerde datastelle. Die implementeringsriglyne beveel hierdie tipe toetsing aan waar organisasies staatmaak op anonimisering of pseudonimisasie as 'n privaatheidsbeheer. Indien die toets toon dat heridentifikasie haalbaar is, is die de-identifikasiemetode onvoldoende en moet dit versterk word.
Hoe verskil dit van die onafhanklike hersiening in A.3.15 Onafhanklike Hersiening?
A.3.15 Onafhanklike Hersiening fokus op periodieke, strategiese oorsigte wat deur onafhanklike partye (interne ouditeure of eksterne sertifiseringsliggame) uitgevoer word wat die algehele benadering tot die bestuur van inligtingsekuriteit beoordeel. A.3.16 fokus op gereelde, operasionele nakomingskontrole — verifieer dat spesifieke beleide, reëls en tegniese standaarde in daaglikse bedrywighede gevolg word. Beide is nodig: A.3.15 Onafhanklike Hersiening bied versekering op stelselvlak, terwyl A.3.16 operasionele afwykings tussen formele oudits opspoor.
ons gids vir vereistes vir ouditbewyse besonderhede gee oor waarna ouditeure op soek is na voldoeningsbewyse.
