Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.3.31: Toetsinligting

Beheer A.3.31 vereis dat organisasies toetsinligting met betrekking tot PII-verwerking op gepaste wyse moet selekteer, beskerm en bestuur. Hierdie gedeelde beheer voorkom die onnodige blootstelling van werklike persoonlike data in toets- en ontwikkelingsomgewings.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.3.31?

Toetsinligting met betrekking tot PII-verwerking moet toepaslik gekies, beskerm en bestuur word.

Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en spreek een van die mees algemene oorsake van onnodige PII-blootstelling aan: die kopiëring van produksiedata na toets- en ontwikkelingsomgewings. Toetsomgewings het tipies swakker toegangsbeheer, breër toegang, minder monitering en meer oorgangsinfrastruktuur as produksiestelsels, wat hulle 'n beduidende privaatheidsrisiko maak as hulle werklike PII bevat.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.3.31) verskaf die volgende riglyne:

  • Verkies sintetiese data — PII moet nie vir toetsdoeleindes gebruik word nie; vals of sintetiese PII moet eerder gebruik word
  • Pas ekwivalente beheermaatreëls toe wanneer PII onvermydelik is — Waar die gebruik van persoonlike inligting (PII) vir toetsdoeleindes nie vermy kan word nie, moet tegniese en organisatoriese maatreëls gelykstaande aan dié wat in die produksieomgewing gebruik word, geïmplementeer word om die risiko's te verminder.
  • Risiko-assessering wanneer ekwivalente beheermaatreëls nie haalbaar is nie — Waar sulke ekwivalente maatreëls nie haalbaar is nie, moet 'n risikobepaling onderneem word en gebruik word om die keuse van toepaslike versagtende beheermaatreëls te identifiseer.
  • Sien ook A.3.28: Toepassingsekuriteitsvereistes vir verwante vereistes
  • Sien ook A.3.29: Veilige Stelselargitektuur en Ingenieursbeginsels vir verwante vereistes

Die riglyne stel 'n duidelike hiërargie vas: sintetiese data eerste, dan produksie-ekwivalente kontroles indien werklike PII onvermydelik is, dan risiko-geassesseerde versagtingsmaatreëls as 'n laaste uitweg. Hierdie gegradeerde benadering erken dat sommige toetsscenario's werklik werklike data mag vereis, terwyl dit duidelik maak dat dit die uitsondering eerder as die reël moet wees.

Hoe pas dit by die GDPR?

Beheer A.3.31 karteer na die volgende BBP Artikel:

  • Artikel 5(1)(f) — Die integriteits- en vertroulikheidsbeginsel, wat toepaslike sekuriteit van persoonlike data vereis, insluitend beskerming teen ongemagtigde verwerking

Die gebruik van werklike persoonlike inligting (PII) in toetsomgewings waar sekuriteitsbeheer swakker is as produksie, is 'n direkte oortreding van Artikel 5(1)(f). Toesighoudende owerhede het handhawingsaksie geneem teen organisasies wat persoonlike data blootgestel het deur middel van onvoldoende beveiligde toetsomgewings.

Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.11.3.1 (beskerming van toetsdata). Die 2025-uitgawe behou die kernvereistes as A.3.31, met die implementeringsriglyne in B.3.31 wat nou 'n duideliker drievlak-hiërargie vir toetsdatabestuur bied: sintetiese data, ekwivalente beheermaatreëls, dan risiko-geassesseerde versagtingsmaatreëls. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online se kragtige dashboard

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.3.31 beoordeel word, sal ouditeure tipies kyk na:

  • Toetsdatabeleid — ’n Gedokumenteerde beleid wat spesifiseer dat sintetiese of geanonimiseerde data vir toetsing gebruik moet word, met ’n gedefinieerde proses vir uitsonderlike gevalle waar werklike persoonlike inligting vereis word.
  • Sintetiese datavermoë — Bewyse dat die organisasie gereedskap of prosesse het om realistiese maar fiktiewe toetsdata te genereer
  • Toets omgewing sekuriteit — Waar werklike PII in toetsing gebruik word, bewys dat die toetsomgewing sekuriteitsbeheermaatreëls gelykstaande aan produksie het (toegangsbeheer, enkripsie, logging, monitering)
  • Risikobeoordelings — Waar ekwivalente beheermaatreëls nie haalbaar is nie, gedokumenteerde risikobepalings wat die risiko's identifiseer en geselekteerde versagtende beheermaatreëls
  • Toetsdata lewensiklusbestuur — Bewyse dat werklike persoonlike inligting wat in toetsing gebruik is, verwyder of vernietig word nadat die toetsdoel voltooi is

Wat is die verwante kontroles?

Beheer Verhoudings
A.3.27 Veilige ontwikkelingslewensiklus Toetsdatabestuur moet in die ontwikkelingslewensiklus ingebed wees
A.3.30 Uitkontraktering van ontwikkeling Uitkontrakteerde ontwikkelaars mag nie regte PII vir toetsing gebruik nie.
A.1.4.6 De-identifikasie en verwydering De-identifikasietegnieke kan bruikbare toetsdata uit produksiedata skep
A.3.9 Toegangsregte Toegang tot toetsomgewings wat werklike persoonlike inligting bevat, moet beheer word
A.3.25 Logging Toegang tot persoonlike inligting in toetsomgewings moet aangeteken word

Op wie is hierdie beheer van toepassing?

A.3.31 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Enige organisasie wat stelsels toets wat PII verwerk, moet toetsdata toepaslik bestuur. Dit is veral belangrik vir SaaS-verskaffers, sagtewarehuise en bestuurde diensverskaffers waar ontwikkeling en toetsing deurlopende aktiwiteite is eerder as eenmalige projekte.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir toetsdatabestuur?

ISMS.aanlyn bied praktiese gereedskap vir die veilige bestuur van toetsinligting:

  • Beleidsbestuur — Publiseer toetsdatabeleide met weergawebeheer en personeelerkenningsopsporing
  • Risikobeoordelings — Voer geteikende risikobepalings uit vir scenario's waar werklike PII in toetsing onvermydelik is, met gedokumenteerde versagtende beheermaatreëls.
  • Uitsonderingsbestuur — Spoor goedgekeurde uitsonderings op waar werklike PII vir toetsing gebruik word, insluitend regverdiging, goedkeuring, toegepaste sekuriteitsmaatreëls en bevestiging van datavernietiging
  • Nakomingsmonitering — Monitor die nakoming van die toetsomgewing met u toetsdatabeleid oor ontwikkelingspanne heen
  • Bewysbestuur — Stoor bewyse van toetsdatabestuur, insluitend dokumentasie van sintetiese datavermoë, risikobepalings en uitsonderingsrekords vir ouditgereedheid

Vrae & Antwoorde

Wanneer is dit aanvaarbaar om regte PII vir toetsing te gebruik?

Werklike PII moet slegs gebruik word wanneer sintetiese data nie die toetsscenario voldoende kan herhaal nie. Algemene regverdigings sluit in: die toets van datamigrasie vanaf 'n ouer stelsel (waar die datastruktuur en inhoud geverifieer moet word), die diagnose van 'n produksieprobleem wat nie met sintetiese data gereproduseer kan word nie, of prestasietoetsing waar datavolume en -eienskappe met produksie moet ooreenstem. In alle gevalle moet 'n risikobepaling uitgevoer word, ekwivalente sekuriteitskontroles moet toegepas word, en die werklike PII moet uit die toetsomgewing verwyder word sodra die toetsdoel voltooi is.

Watter tegnieke kan gebruik word om sintetiese toetsdata te skep?

Algemene tegnieke sluit in: datagenereringsinstrumente wat realistiese maar fiktiewe rekords (name, adresse, identifiseerders) skep; datamaskering of pseudonimisasie wat werklike PII-waardes met fiktiewe waardes vervang terwyl die datastruktuur en -verwantskappe behoue ​​bly; datasubversameling wat 'n klein steekproef uit produksie neem en dit anonimiseer; en datasintese-instrumente wat statistiese modelle gebruik om data met dieselfde verspreidingseienskappe as produksiedata te genereer. Die benadering moet die toetswaarde van die data behou terwyl die privaatheidsrisiko uitgeskakel word.

Watter sekuriteitskontroles is nodig vir toetsomgewings met werklike PII?

Die standaard vereis beheermaatreëls gelykstaande aan dié in die produksieomgewing. Dit sluit tipies in: dieselfde toegangsbeheermodel met dieselfde verifikasievereistes; enkripsie in rus en tydens transito; logging en monitering van alle datatoegang; gereelde toegangsoorsigte; veilige omgewingisolasie van openbare netwerke; en datavernietigingsprosedures vir wanneer toetsing voltooi is. Baie organisasies vind dit eenvoudiger en minder riskant om in sintetiese datavermoë te belê eerder as om produksiesekuriteitsbeheermaatreëls oor verskeie toetsomgewings te dupliseer.

Sluit toetsdatakontroles in jou Verklaring van toepaslikheid.

sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag rakende toetsdatabeskerming.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.