Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.3.20: Stoormedia

Beheer A.3.20 vereis dat organisasies stoormedia wat PII bevat deur sy hele lewensiklus, van verkryging tot beskikking, moet bestuur in ooreenstemming met hul klassifikasieskema en hanteringsvereistes.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.3.20?

Stoormedia met PII moet bestuur word deur hul lewensiklus van verkryging, gebruik, vervoer en wegdoening in ooreenstemming met die organisasie se klassifikasieskema en hanteringsvereistes.

Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en spreek die volle lewensiklus van enige fisiese of verwyderbare media aan wat persoonlike inligting stoor. Anders as suiwer digitale sekuriteitsbeheermaatreëls, fokus A.3.20 op die tasbare risiko's dat media verlore, gesteel, onderskep of onbehoorlik weggedoen word in elke stadium van hul reis deur die organisasie.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.3.20) verskaf uitgebreide leiding wat verskeie sleutelareas dek:

  • Dokumenteer alle gebruik van verwyderbare media — Die organisasie moet enige gebruik van verwyderbare media of toestelle vir die berging van persoonlike inligting dokumenteer, en 'n ouditeerbare rekord skep van watter media bestaan ​​en waar dit gebruik word.
  • Enkripteer waar moontlik — Verwyderbare fisiese media of toestelle wat gebruik word vir die berging van persoonlike inligting (PII) moet enkripsie toelaat. Ongeënkripteerde media moet slegs gebruik word waar dit onvermydelik is, met kompenserende beheermaatreëls soos seëlbare verpakking om risiko's te verminder.
  • Veilige wegdoenprosedures — Waar verwyderbare media wat PII bevat, weggedoen word, moet veilige wegdoeningsprosedures gedokumenteer en geïmplementeer word om te verseker dat voorheen gestoorde PII nie toeganklik is nie.
  • Fisiese media-oordragkontroles — ’n Stelsel moet inkomende en uitgaande fisiese media wat persoonlike inligting bevat, opneem, insluitend mediatipe, gemagtigde sender, gemagtigde ontvangers, datum en tyd, en volume van media.
  • Enkripsie in transito — Waar moontlik, moet bykomende maatreëls soos enkripsie verseker dat data slegs by die bestemmingspunt verkry kan word, nie tydens transito nie.
  • Magtiging voor vertrek van perseel — Fisiese media wat persoonlike inligting bevat, moet deur 'n magtigingsprosedure gaan voordat hulle die organisasie se perseel verlaat, om te verseker dat persoonlike inligting nie toeganklik is vir enigiemand anders as gemagtigde personeel nie.

Die riglyne beklemtoon dat verwyderbare media wat buite die organisasie se fisiese perseel geneem word, veral kwesbaar is vir verlies, skade en onvanpaste toegang. Die enkripsie van verwyderbare media voeg 'n kritieke laag beskerming by wat beide sekuriteits- en privaatheidsrisiko's verminder indien die media gekompromitteer word.

Hoe pas dit by die GDPR?

Beheer A.3.20 karteer na die volgende BBP artikels:

  • Artikel 5(1)(f) — Die integriteits- en vertroulikheidsbeginsel, wat toepaslike sekuriteit vereis, insluitend beskerming teen ongemagtigde verwerking en toevallige verlies
  • Artikel 32 (1) (a) — Die vereiste om toepaslike tegniese en organisatoriese maatreëls te implementeer, insluitend die pseudonimisasie en enkripsie van persoonlike data

Die BBPse eksplisiete vermelding van enkripsie in Artikel 32(1)(a) stem direk ooreen met A.3.20 se klem op die enkripsie van verwyderbare media waar moontlik.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste versprei oor Klousules 6.5.3.1 (bestuur van verwyderbare media), 6.5.3.2 (verwydering van media), 6.5.3.3 (fisiese media-oordrag) en 6.8.2.5. Die 2025-uitgawe konsolideer al hierdie in 'n enkele beheer A.3.20, wat 'n meer samehangende lewensiklusbeskouing van stoormediabestuur bied. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.3.20 beoordeel word, sal ouditeure tipies kyk na:

  • Mediavoorraad — 'n Register van alle verwyderbare en draagbare stoormedia wat vir PII gebruik word, insluitend mediatipe, eienaar, klassifikasievlak en fisiese ligging
  • Enkripsiebeleid en bewyse — ’n Beleid wat enkripsie vir verwyderbare media wat persoonlike inligting bevat, verplig, met bewyse dat enkripsie afgedwing word (bv. BitLocker, hardeware-geënkripteerde USB-skywe)
  • Oordrag log — Rekords van fisiese media-oordragte wat die sender, ontvanger, magtiging, datum en mediatipe toon
  • Beskikkingsrekords — Sertifikate van vernietiging of veilige wegdoeningslogboeke vir media wat buite werking gestel is
  • Magtigingsprosedures — 'n Gedokumenteerde proses vir die goedkeuring van die verwydering van PII-bevattende media van organisatoriese persele

Wat is die verwante kontroles?

Beheer Verhoudings
A.3.5 Klassifikasie van inligting Mediahanteringsvereistes word bepaal deur die klassifikasie van die PII wat dit bevat
A.3.6 Etikettering van inligting Stoormedia moet volgens hul klassifikasievlak gemerk word
A.3.21 Veilige wegdoening of hergebruik Die wegdoening van toerusting wat stoormedia bevat, moet veilige prosedures volg
A.3.26 Gebruik van kriptografie Enkripsievereistes vir media word deur die kriptografiebeleid beheer
A.3.7 Inligtingsoordrag Fisiese media-oordrag is een vorm van inligtingoordrag wat gedek word deur A.3.7 Inligtingsoordrag

Op wie is hierdie beheer van toepassing?

A.3.20 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Enige organisasie wat fisiese of verwyderbare stoormedia vir PII gebruik, moet daardie media dwarsdeur sy hele lewensiklus bestuur. Dit is veral relevant vir organisasies wat PII via verwyderbare media tussen terreine, na derde partye of na kliënte oordra.



ISMS.online se kragtige dashboard

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die bestuur van stoormedia?

ISMS.aanlyn bied praktiese gereedskap vir die bestuur van stoormedia wat PII bevat:

  • Bateregister — Handhaaf 'n sentrale inventaris van alle stoormedia, gekoppel aan klassifikasievlakke, eienaars en fisiese liggings, met lewensiklusopsporing van verkryging tot beskikking
  • Oordragwerkvloeie — Teken fisiese media-oordragte aan en magtig dit met goedkeuringswerkvloeie, en verseker dat elke beweging aangeteken en ouditeerbaar is
  • Verwyderingsporing — Teken veilige wegdoeningsgebeurtenisse aan met vernietigingsertifikate, direk gekoppel aan die bateregister vir volledige naspeurbaarheid
  • Beleidsbestuur — Publiseer en versprei stoormediabeleide met erkenningsopsporing, sodat u kan demonstreer dat personeel die vereistes verstaan
  • Ouditbewyspakkette — Genereer voorafgeboude bewyspakkette vir A.3.20 wat u media-inventaris, oordraglogboeke, wegdoeningsrekords en beleidserkennings bymekaarbring

Vrae & Antwoorde

Wat tel as stoormedia onder hierdie beheer?

Stoormedia sluit enige fisiese toestel in wat data kan stoor: USB-geheuestokkies, eksterne hardeskywe, SD-kaarte, optiese skywe (CD's, DVD's, Blu-ray), magnetiese bande, vastetoestandaandrywers en selfs papierrekords. Die beheer dek beide verwyderbare media en media wat in draagbare toerusting soos skootrekenaars ingebou is. Indien die media persoonlike inligting kan stoor en die organisasie se perseel kan verlaat, val dit binne die bestek van A.3.20.

Is enkripsie verpligtend vir alle verwyderbare media?

Die riglyne bepaal dat enkripsie waar moontlik gebruik moet word. Ongeënkripteerde media moet slegs gebruik word waar dit onvermydelik is, en kompenserende beheermaatreëls moet in plek wees. In die praktyk maak moderne hardeware-geënkripteerde USB-skywe en volskyf-enkripsie-instrumente enkripsie in byna alle scenario's moontlik. Ouditeure sal 'n duidelike regverdiging verwag vir enige gevalle waar enkripsie nie gebruik word nie.

Hoe moet organisasies wolkberging onder hierdie beheer hanteer?

A.3.20 fokus spesifiek op fisiese en verwyderbare stoormedia eerder as wolkberging. Wolkberging word deur ander kontroles aangespreek, insluitend A.3.10 Verskaffersooreenkomste (verskafferooreenkomste) en A.3.7 Inligtingsoordrag (inligtingsoordrag). Indien data egter van wolkberging na verwyderbare media afgelaai word, val daardie media onmiddellik binne die bestek van A.3.20 en moet dienooreenkomstig bestuur word.

Teken hierdie kontrole in jou Verklaring van toepaslikheid met jou implementeringsbenadering.

sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.