Wat vereis beheer A.3.7?
Inligtingoordragreëls, prosedures of ooreenkomste met betrekking tot die verwerking van persoonlike inligting moet in plek wees vir alle tipes oordragfasiliteite binne die organisasie en tussen die organisasie en ander partye.
Hierdie beheer sit binne die gedeelde sekuriteitskontroles (Tabel A.3) en is van toepassing op beide PII-beheerders en PII-verwerkers. Dit spreek die sekuriteit van PII tydens oordrag aan, wat die beheerderspesifieke oordragkontroles in aanvulling op A.1.5 wat fokus op die regs- en bestuursaspekte van internasionale oordragte.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.3.7) verskaf die volgende riglyne:
- Verseker dat reëls met betrekking tot PII-verwerking afgedwing dwarsdeur en buite die stelsel waar van toepassing
- Oorweeg alle oordragmetodes, insluitend elektroniese oordragte (e-pos, lêerdeling, API's, wolksinchronisasie), fisiese oordragte (draagbare media, gedrukte dokumente, koerier) en verbale kommunikasie
- Oordragreëls moet die sekuriteitsbeheermaatreëls spesifiseer wat vir elke metode en klassifikasievlak vereis word
- Ooreenkomste met eksterne partye moet verantwoordelikhede vir PII-beskerming tydens oordrag definieer.
- Prosedures moet die hantering van oordragmislukkings, onderskeppings en verlore media aanspreek.
- Sien ook A.3.20: Stoormedia vir verwante vereistes
- Sien ook A.3.21: Veilige wegdoening of hergebruik van toerusting vir verwante vereistes
Die riglyne beklemtoon dat oordragsekuriteit nie beperk is tot enkripsie nie. Dit omvat die hele lewensiklus van 'n oordrag: magtiging, verpakking, oordrag, bevestiging van ontvangs en hantering van uitsonderings.
Hoe pas dit by die GDPR?
Beheer A.3.7 karteer na BBP Artikel 5(1)(f) (integriteits- en vertroulikheidsbeginsel). Die BBP vereis dat persoonlike data verwerk word op 'n wyse wat gepaste sekuriteit verseker, insluitend beskerming teen ongemagtigde of onwettige verwerking en teen toevallige verlies, vernietiging of skade. Veilige oordragprosedures is 'n kernkomponent van hierdie verpligting.
Hierdie beheer ondersteun ook voldoening aan Artikel 32 (sekuriteit van verwerking), wat toepaslike tegniese en organisatoriese maatreëls vereis, insluitend, waar toepaslik, die enkripsie van persoonlike data en die vermoë om die voortgesette vertroulikheid van verwerkingstelsels te verseker.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
As 'n gedeelde sekuriteitsbeheer ondersteun A.3.7 die breër ISO 29100 raamwerk. Oordragsekuriteit is 'n direkte implementering van die inligtingsekuriteitsbeginsel, wat verseker dat PII nie net in rusposisie beskerm word nie, maar dwarsdeur die beweging tussen stelsels, liggings en organisasies.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.7 beoordeel word, sal ouditeure tipies kyk na:
- Oordragbeleid of -prosedures — Gedokumenteerde reëls wat alle oordragmetodes (elektronies, fisies, mondeling) dek, met spesifieke bepalings vir persoonlike inligting (PII).
- Enkripsie standaarde — Bewyse dat PII tydens oordrag geïnkripteer word met behulp van huidige standaarde (bv. TLS 1.2+ vir elektroniese oordragte, geïnkripteerde houers vir draagbare media)
- Oordragooreenkomste — Uitgevoerde ooreenkomste met eksterne partye wat sekuriteitsvereistes vir PII in transito definieer
- Tegniese beheermaatreëls — Konfigurasiebewyse vir e-posenkripsie, veilige lêeroordragplatforms, VPN'e en API-sekuriteit
- Hantering van voorvalle — Prosedures vir die hantering van oordragmislukkings, soos verlore draagbare media of onderskepte kommunikasie
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.5 Klassifikasie van inligting | Klassifikasievlakke bepaal die oordragsekuriteitsbeheermaatreëls wat benodig word |
| A.3.6 Etikettering van inligting | Etikette maak klassifikasie sigbaar, wat personeel help om korrekte oordragprosedures toe te pas |
| A.1.5.2 Basis vir PII-oordrag tussen jurisdiksies | Die wettige oordragbasis (beheerderbeheer) vul die sekuriteitsmaatreëls in A.3.7 aan |
| A.1.5.4 Rekords van oordrag van persoonlike inligting | Oordragrekords moet verwys na die sekuriteitsmaatreëls wat tydens die oordrag toegepas is |
| A.3.3 Beleide vir inligtingsekuriteit | Oordragprosedures moet gegrond wees in die oorkoepelende sekuriteitsbeleid |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste versprei oor Klausules 6.10.2.1, 6.10.2.2 en 6.10.2.3, wat onderskeidelik elektroniese boodskappe, inligtingoordragbeleide en -prosedures, en vertroulikheidsooreenkomste dek. Die 2025-uitgawe konsolideer hierdie in 'n enkele beheermaatreël (A.3.7) met verenigde leiding in B.3.7. Dit maak die vereiste meer samehangend en makliker om te implementeer, terwyl dieselfde substantiewe omvang behoue bly. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die bestuur van veilige inligtingoordrag?
ISMS.aanlyn verskaf die gereedskap om jou oordragsekuriteitsbeheer te dokumenteer, af te dwing en te bewys:
- Oordragproseduredokumentasie — Skep en onderhou oordragprosedures vir elke metode (e-pos, lêerdeling, fisiese media) met weergawebeheer en goedkeuringswerkvloeie
- Verskaffer- en vennootbestuur — Stoor oordragooreenkomste saam met verskafferprofiele, spoor voldoening aan ooreengekome sekuriteitsvereistes na, en merk wanneer ooreenkomste hernu moet word
- Beheer bewyse — Koppel tegniese beheermaatreëls (enkripsiekonfigurasies, veilige oordragplatforminstellings) aan die relevante beleidsvereistes
- Voorvalbestuur — Teken oordragverwante voorvalle aan en spoor dit op met oorsaakontleding en korrektiewe aksies
- Geïntegreerde risikoregister — Evalueer oordragrisiko's saam met ander inligtingsekuriteitsrisiko's, en verseker dat proporsionele beheermaatreëls toegepas word gebaseer op klassifikasievlak
Vrae & Antwoorde
Geld hierdie beheer slegs vir eksterne oordragte?
Nee. Die beheer dek eksplisiet oordragte "binne die organisasie en tussen die organisasie en ander partye." Interne oordragte, soos die verskuiwing van persoonlike inligting tussen departemente, stelsels of liggings binne dieselfde organisasie, moet ook onderhewig wees aan oordragreëls. Dit sluit in interne e-pos, lêerdeling tussen spanne, datareplikasie tussen datasentrums en fisiese beweging van dokumente tussen kantore.
Watter enkripsiestandaarde moet vir PII tydens transito gebruik word?
Gebruik ten minste TLS 1.2 of later vir elektroniese oordragte. Vir e-pos, oorweeg S/MIME of PGP vir sensitiewe PII. Vir draagbare media, gebruik AES-256-enkripsie. Vir API-oordragte, dwing HTTPS met wedersydse TLS af waar moontlik. Die spesifieke standaarde moet proporsioneel wees tot die klassifikasievlak van die PII wat oorgedra word en in lyn wees met huidige beste praktyke in die bedryf en regulatoriese riglyne.
Hoe moet ons mondelinge oordragte van persoonlike inligting hanteer?
Mondelinge kommunikasie van persoonlike inligting (bv. telefoonoproepe, persoonlike besprekings) moet deur u oordragprosedures gedek word. Oorweeg maatreëls soos identiteitsverifikasie voordat u persoonlike inligting mondeling bekend maak, vermy bespreking van sensitiewe persoonlike inligting in openbare ruimtes, gebruik veilige kommunikasiekanale vir sensitiewe gesprekke, en opleiding van personeel oor gepaste mondelinge hantering van persoonlike data.
Dokumenteer hierdie beheer in jou Verklaring van toepaslikheid met jou implementeringsrasionaal.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag.
