Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.3.4: Inligtingsekuriteitsrolle en -verantwoordelikhede

Beheer A.3.4 vereis dat organisasies inligtingsekuriteitsrolle en -verantwoordelikhede met betrekking tot PII-verwerking definieer en toewys. Duidelike aanspreeklikheid is noodsaaklik vir effektiewe privaatheidsbestuur.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.3.4?

Inligtingsekuriteitsrolle en -verantwoordelikhede met betrekking tot PII-verwerking moet gedefinieer en toegeken word volgens die organisatoriese behoeftes.

Hierdie beheer sit binne die gedeelde sekuriteitskontroles (Tabel A.3), van toepassing op beide PII-beheerders en PII-verwerkers. Dit bou voort op A.3.3 Inligtingsekuriteitsbeleide deur te verseker dat die beleide wat daar gedefinieer word duidelike eienaarskap en verantwoordbaarheid het.

Wat sê die implementeringsriglyne?

Aanhangsel B (afdeling B.3.4) verskaf gedetailleerde leiding oor die rolle wat vasgestel moet word:

  • Kliëntkontakpunt — Wys 'n kontakpunt aan vir kliënte rakende PII-verwerkingsaangeleenthede
  • PII hoofkontakpunt — Wys 'n kontakpunt aan vir PII-hoofde (datasubjekte) om hul regte uit te oefen en bekommernisse te opper
  • Eienaar van privaatheidsprogram — Stel een of meer persone aan wat verantwoordelik is vir die privaatheidsprogram, soos 'n Databeskermingsbeampte (DPO)
  • Die verantwoordelike persoon moet wees onafhanklike, met die gesag om hul rol sonder belangebotsing uit te voer
  • Die verantwoordelike persoon moet hê kundige kennis van databeskermingswetgewing en -praktyk
  • Die verantwoordelike persoon moet optree as die kontak vir toesighoudende owerhede
  • Sien ook A.3.13: Wetlike en Regulatoriese Vereistes vir verwante vereistes
  • Sien ook A.3.15: Onafhanklike Hersiening van Inligtingsekuriteit vir verwante vereistes

Die leiding stem nou ooreen met BBP DPO-vereistes, maar is geskryf in jurisdiksie-neutrale terme, wat dit van toepassing maak ongeag watter privaatheidswette die organisasie onderneem.

Hoe pas dit by die GDPR?

Beheer A.3.4 karteer (via Klousule 5.3 van ISO 27701) na BBP Artikels 37–39 (verwante bepalings, nie formeel in Aanhangsel D gekarteer nie):

  • Artikel 37 — Aanwysing van die Databeskermingsbeampte, insluitend die omstandighede waaronder 'n DPO aangestel moet word
  • Artikel 38 — Posisie van die DPO, insluitend onafhanklikheid, hulpbronne en rapporteringslyn
  • Artikel 39 — Take van die DPO, insluitend inligting, advies, monitering van nakoming en optree as kontakpersoon vir die toesighoudende gesag

Organisasies wat onderworpe is aan die AVG en wat 'n DPO moet aanstel, sal vind dat die voldoening aan A.3.4 grootliks hul DPO-verpligtinge aanspreek, mits die aangestelde persoon aan die spesifieke AVG-vereistes vir kundigheid en onafhanklikheid voldoen.

Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?

As 'n gedeelde sekuriteitsbeheer ondersteun A.3.4 die breër ISO 29100 raamwerk. Duidelike toewysing van rolle en verantwoordelikhede is 'n fundamentele beheermeganisme wat die aanspreeklikheidsbeginsel onderlê en verseker dat iemand aanspreeklik gehou word vir elke aspek van PII-beskerming.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.3.4 beoordeel word, sal ouditeure tipies kyk na:

  • Roldefinisies — Gedokumenteerde beskrywings van alle privaatheidsverwante rolle, insluitend omvang, gesag en rapporteringslyne
  • Afspraakrekords — Bewyse dat rolle formeel aan genoemde individue toegeken is (DPO-aanstellingsbrief, raadsbesluit, ens.)
  • Bewyse van onafhanklikheid — Demonstrasie dat die eienaar van die privaatheidsprogram nie 'n belangebotsing het nie (bv. hulle bepaal nie ook die doeleindes van PII-verwerking nie)
  • Bevoegdheidsrekords — Bewyse van die aangestelde persoon se kundigheid in databeskerming (kwalifikasies, opleidingsrekords, ervaring)
  • Kontakpuntdokumentasie — Gepubliseerde kontakbesonderhede vir PII-hoofde en kliënte, toeganklik deur privaatheidskennisgewings of die organisasie se webwerf

Wat is die verwante kontroles?

Beheer Verhoudings
A.3.3 Beleide vir inligtingsekuriteit Beleide bepaal wat gedoen moet word; rolle bepaal wie daarvoor verantwoordelik is
A.3.8 Identiteitsbestuur Rolgebaseerde toegang is gegrond op duidelik gedefinieerde rolle en verantwoordelikhede
A.1.3.3 Inligting vir PII-hoofde Bepaling van inligting vir PII-hoofde Kontakpunte vir PII-hoofde moet gekommunikeer word as deel van die inligting wat aan hulle verskaf word.
A.1.2.9 Rekords van Verwerking van PII Verwerkingsrekords moet die verantwoordelike persone vir elke verwerkingsaktiwiteit identifiseer
A.3.5 Klassifikasie van inligting Inligtingseienaars (’n gedefinieerde rol) is verantwoordelik vir klassifikasiebesluite

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste onder Klousule 6.3.1.1 gedek. Die 2025-weergawe konsolideer die riglyne in 'n skoner struktuur onder A.3.4/B.3.4 en plaas sterker klem op die DPO-ekwivalente rol. Die vereistes vir onafhanklikheid, kundigheid en kontak met die toesighoudende owerheid is nou meer prominent geplaas. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



Vind jou nakomingsvertroue, met ISMS.online

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir die definisie van privaatheidsrolle en -verantwoordelikhede?

ISMS.aanlyn bied die struktuur om aanspreeklikheid oor jou privaatheidsprogram te definieer, toe te ken en na te spoor:

  • Organisatoriese struktuur kartering — Definieer privaatheidsrolle met duidelike beskrywings, omvang en gesag, en ken hulle toe aan benoemde individue binne die platform
  • RACI-matrikse — Bepaal wie verantwoordelik, aanspreeklik, geraadpleeg en ingelig is vir elke privaatheidsbeheer- en verwerkingsaktiwiteit
  • Taakopdrag en dop — Ken spesifieke privaatheidstake aan rolhouers toe en hou die voltooiing teen sperdatums dop
  • Bevoegdheidsrekords — Handhaaf opleidings- en kwalifikasierekords vir privaatheidsrolhouers saam met hul roltoewysings
  • Ouditgereed verslagdoening — Genereer verslae wat alle privaatheidsrolle, hul houers en die bewyse van hul bevoegdheid en onafhanklikheid toon
  • Skeiding van pligte — Konfigureer toegangsbeheer binne die platform om die onafhanklikheidsvereistes vir die DPO/privaatheidsprogram-eienaar te weerspieël

Vrae & Antwoorde

Is 'n Databeskermingsbeampte verpligtend kragtens ISO 27701?

ISO 27701 vereis "een of meer persone verantwoordelik vir die privaatheidsprogram", maar skryf nie die spesifieke titel van DPO voor nie. Indien die AVG egter op u organisasie van toepassing is en u aan die kriteria in Artikel 37 voldoen (openbare gesag, grootskaalse monitering of grootskaalse verwerking van spesiale kategorieë), is 'n DPO verpligtend. Die ISO 27701-beheer is ontwerp om aan DPO-vereistes te voldoen waar dit bestaan, terwyl dit buigsaam genoeg is vir jurisdiksies sonder 'n formele DPO-vereiste.

Wat beteken onafhanklikheid in die praktyk?

Die persoon wat verantwoordelik is vir die privaatheidsprogram moet nie in 'n posisie wees waar hul ander verantwoordelikhede 'n botsing van belange met hul privaatheidsrol skep nie. Byvoorbeeld, 'n Hooftegnologiebeampte wat die doeleindes en middele van verwerking bepaal, sal nie as onafhanklik beskou word nie. Die privaatheidsrolhouer moet aan senior bestuur rapporteer, toegang tot hulpbronne hê en nie instruksies ontvang rakende die uitvoering van hul privaatheidstake nie.

Kan een persoon verskeie privaatheidsrolle beklee?

Ja, mits daar geen belangebotsing is nie en die persoon die kapasiteit en bevoegdheid het om alle toegewyse rolle te vervul. In kleiner organisasies is dit algemeen dat een individu as beide die kliëntkontakpunt en die PII-hoofkontakpunt dien. Die rol van eienaar van die privaatheidsprogram moet egter nie gekombineer word met rolle wat die doeleindes en middele van verwerking bepaal nie, aangesien dit onafhanklikheid in die gedrang sal bring.

DPO's kan 'n omvattende oorsig van hul ISO 27701-verantwoordelikhede in ons vind. gids vir DPO's.

KISO's wat sekuriteits- en privaatheidsverantwoordelikhede balanseer, moet ons lees CISO-gids tot ISO 27701:2025.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.