Wat vereis beheer A.3.22?
PII wat gestoor word op, verwerk word deur of toeganklik is via gebruikerseindpunttoestelle, moet beskerm word.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en spreek een van die belangrikste risikogebiede in moderne PII-verwerking aan: eindpunttoestelle. Skootrekenaars, slimfone, tablette en ander draagbare toestelle skep 'n groot en verspreide aanvalsoppervlak. Hulle kan verlore of gesteel word, op onveilige netwerke gebruik word, met ongemagtigde individue gedeel word of deur wanware gekompromitteer word. A.3.22 vereis dat organisasies beheermaatreëls implementeer wat PII beskerm, ongeag waar en hoe eindpunttoestelle gebruik word.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.22) verskaf die volgende riglyne:
- Voorkom die kompromie tussen mobiele toestelle — Die organisasie moet verseker dat die gebruik van mobiele toestelle nie lei tot 'n kompromie van persoonlike inligting nie
- Sien ook A.3.24: Inligtingrugsteun vir verwante vereistes
- Sien ook A.3.25: Logging vir verwante vereistes
Alhoewel die implementeringsriglyne bondig is, is die omvang van die beheer breed. Die beskerming van persoonlike inligting (PII) op eindpunttoestelle vereis 'n kombinasie van tegniese beheermaatreëls (enkripsie, afstanduitvee, skermslot), beleidsbeheermaatreëls (aanvaarbare gebruik, BYOD-reëls) en bewustheidsmaatreëls (opleiding van personeel oor veilige toestelgebruik). Die beheermaatreël is van toepassing op al drie scenario's: PII wat plaaslik op die toestel gestoor word, PII wat aktief deur die toestel verwerk word en PII wat op afstand via die toestel toeganklik is.
Hoe pas dit by die GDPR?
Beheer A.3.22 karteer na die volgende BBP Artikel:
- Artikel 5(1)(f) — Die integriteits- en vertroulikheidsbeginsel, wat toepaslike sekuriteit van persoonlike data vereis, insluitend beskerming teen ongemagtigde of onwettige verwerking en teen toevallige verlies
Verlore of gesteelde toestelle is een van die mees algemene tipes oortredings wat aangemeld word onder BBPDie implementering van robuuste eindpuntbeskerming is 'n praktiese en demonstreerbare manier om aan Artikel 5(1)(f) te voldoen.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.8.2.8 (onbewaakte gebruikerstoerusting). Die 2025-uitgawe konsolideer hierdie in A.3.22, wat die omvang van mobiele toestelle spesifiek na alle gebruikerseindpunttoestelle verbreed. Dit weerspieël die realiteit dat die onderskeid tussen mobiele en vaste eindpunte minder betekenisvol geword het. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.22 beoordeel word, sal ouditeure tipies kyk na:
- Eindpunt-sekuriteitsbeleid — ’n Gedokumenteerde beleid wat aanvaarbare gebruik, enkripsievereistes, skermsluitinstellings, opdateringsbestuur en afstandvee-vermoëns vir alle toesteltipes dek
- Mobiele toestelbestuur (MDM) — Bewyse dat 'n gesentraliseerde MDM- of eindpuntbestuursoplossing ontplooi word, met konfigurasieprofiele wat sekuriteitsbasislyne afdwing
- Volledige skyf-enkripsie — Bewyse dat alle eindpunte met PII volle skyf-enkripsie geaktiveer het (bv. BitLocker, FileVault of toestel-inheemse enkripsie)
- Afstandsvee-vermoë — Bewese vermoë om verlore of gesteelde toestelle op afstand uit te vee of te sluit
- BYOD-kontroles — Indien persoonlike toestelle vir werkgebruik toegelaat word, 'n BYOD-beleid wat sekuriteitsvereistes, houerisering en die organisasie se reg om korporatiewe data uit te vee, spesifiseer.
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.19 Skoon lessenaar en skoon skerm | Skermslotvereistes op eindpunte implementeer duidelike skermreëls |
| A.3.23 Veilige verifikasie | Verifikasiekontroles beskerm toegang tot PII via eindpunttoestelle |
| A.3.26 Gebruik van kriptografie | Enkripsie van eindpuntberging is 'n belangrike beskermingsmaatreël |
| A.3.20 Stoormedia | Verwyderbare media wat met eindpunte gebruik word, moet mediabestuurreëls volg |
| A.3.21 Veilige wegdoening of hergebruik | Eindpunttoestelle moet veilig uitgevee word voor wegdoening of hertoewysing |
Op wie is hierdie beheer van toepassing?
A.3.22 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Enige organisasie wie se personeel eindpunttoestelle gebruik om PII te stoor, te verwerk of toegang daartoe te verkry, moet toepaslike beskermings implementeer. Dit sluit in organisasies met afstandwerkers, veldpersoneel, BYOD-beleide of enige scenario waar PII van buite die korporatiewe netwerkperimeter verkry kan word.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir eindpunttoestelbestuur?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van eindpunttoestelsekuriteit:
- Toestelregister — Handhaaf 'n sentrale inventaris van alle eindpunttoestelle met PII-toegang, gekoppel aan eienaars, sekuriteitskonfigurasies en voldoeningsstatus
- Beleidsbestuur — Publiseer en versprei eindpuntsekuriteit en BYOD-beleide met erkenningsopsporing en weergawebeheer
- Risikobeoordelings — Voer geteikende risikobepalings uit vir eindpuntverwante bedreigings, met voorafgeboude risikoscenario's vir verlore toestelle, onveilige netwerke en BYOD (Bring Your Own Device)
- Voorvalbestuur — Meld en bestuur toestelverlies- of diefstalvoorvalle met ingeboude werkvloeie vir oortredingsassessering en kennisgewing
- Voldoening dashboards — Monitor eindpuntsekuriteitsnakoming regdeur u organisasie met intydse sigbaarheid van beleidsnakoming en uitstaande aksies
Vrae & Antwoorde
Is hierdie beheer van toepassing op persoonlike toestelle wat vir werk gebruik word?
Ja. Indien persoonlike toestelle (BYOD) gebruik word om persoonlike inligting te stoor, te verwerk of toegang daartoe te verkry, val dit binne die bestek van A.3.22. Organisasies moet 'n BYOD-beleid implementeer wat minimum sekuriteitsvereistes spesifiseer, soos enkripsie, wagwoordkompleksiteit, outomatiese opdaterings en die reg om korporatiewe data op afstand uit te vee. Containeriseringsoplossings kan help om persoonlike en korporatiewe data op dieselfde toestel te skei.
Watter tipe toestelle word as eindpunttoestelle beskou?
Eindpunttoestelle sluit enige toestel in wat deur 'n individu gebruik word om toegang tot, verwerk of stoor van persoonlike inligting te verkry: skootrekenaars, rekenaars, slimfone, tablette, dun kliënte en draagbare toestelle. Die 2025-uitgawe gebruik doelbewus die breër term "gebruikerseindpunttoestelle" eerder as "mobiele toestelle" om alle toesteltipes in te sluit, insluitend vaste werkstasies wat in gedeelde of onbeveiligde liggings mag wees.
Hoe moet organisasies verlore of gesteelde toestelle hanteer?
Organisasies moet 'n gedokumenteerde reaksieprosedure vir verlore of gesteelde toestelle hê. Dit moet onmiddellike afstandsluit- en vee-vermoëns insluit, assessering van of persoonlike inligting in gevaar was (met inagneming van enkripsiestatus), kennisgewing aan die databeskermingspan en, waar nodig, kennisgewing aan die toesighoudende owerheid kragtens GDPR Artikel 33. Die toestelinventaris moet opgedateer word om die verlies te weerspieël, en toegangsbewyse wat op die toestel gebruik word, moet herroep word.
Teken hierdie kontrole in jou Verklaring van toepaslikheid met jou implementeringsbenadering.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag.
