Wat is die doel van Aanhangsel F?
Aanhangsel F is spesifiek in die 2025-uitgawe bekendgestel om organisasies te ondersteun wat oorskakel van ISO 27701:2019. Dit bied terugwaartse versoenbaarheid deur elke beheer in beide rigtings te karteer:
- Tabel F.1 — Koppel elke 2025-kontrole aan sy 2019-ekwivalent(e)
- Tabel F.2 — Verwys elke 2019-kontrole na sy 2025-ekwivalent (of merk dit N/A indien verwyder)
Dit is die definitiewe verwysing vir jou oorgangsgapingsanaliseGebruik Tabel F.2 om te kyk wat met elk van jou bestaande kontroles gebeur het, en Tabel F.1 om te verstaan waar elke nuwe 2025-kontrole vandaan kom.
Hoe vergelyk die gedeelde sekuriteitsbeheermaatreëls van 2025 met 2019?
Die 29 gedeelde sekuriteitskontroles in Tabel A.3 het die 90+ subklousules in die 2019-uitgawe se Klousule 6 vervang. Baie 2019-kontroles is gekonsolideer of verwyder omdat hulle nie PII-spesifieke riglyne bevat het nie.
| 2025 Beheer | 2019 Ekwivalent(e) | Beheer naam |
|---|---|---|
| A.3.3 Inligtingsekuriteitsbeleide | 6.2.1.1, 6.2.1.2 | Beleide vir inligtingsekuriteit |
| A.3.4 Sekuriteitsrolle | 6.3.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| A.3.5 Klassifikasie van inligting | 6.5.2.1 | Klassifikasie van inligting |
| A.3.6 Etikettering van inligting | 6.5.2.2 | Etikettering van inligting |
| A.3.7 Inligtingsoordrag | 6.10.2.1, 6.10.2.2, 6.10.2.3 | Inligting oordrag |
| A.3.8 Identiteitsbestuur | 6.6.2.1 | Identiteitsbestuur |
| A.3.9 Toegangsregte | 6.6.2.2, 6.6.2.5, 6.6.2.6 | Toegangsregte |
| A.3.10 Verskaffersooreenkomste | 6.12.1.1, 6.12.1.2 | Verskaffersooreenkomste |
| A.3.11 Voorvalbestuur | 6.13.1.4 | Beplanning van voorvalbestuur |
| A.3.12 Reaksie op sekuriteitsvoorvalle | 6.13.1.5 | Reaksie op sekuriteitsvoorvalle |
| A.3.13 Wetlike en Regulatoriese Vereistes | 6.15.1.1, 6.15.1.5 | Wetlike en regulatoriese vereistes |
| A.3.14 Beskerming van rekords | 6.15.1.3 | Beskerming van rekords |
| A.3.15 Onafhanklike Hersiening | 6.15.2.1 | Onafhanklike resensie |
| A.3.16 Nakoming van Beleide | 6.15.2.2, 6.15.2.3 | Nakoming van beleide en standaarde |
| A.3.17 Sekuriteitsbewustheid en -opleiding | 6.4.2.2 | Bewustheid, opvoeding en opleiding |
| A.3.18 Vertroulikheidsooreenkomste | 6.10.2.4 | Vertroulikheidsooreenkomste |
| A.3.19 Duidelike lessenaar en duidelike skerm | 6.8.2.9 | Duidelike lessenaar en duidelike skerm |
| A.3.20 Stoormedia | 6.5.3.1, 6.5.3.2, 6.5.3.3, 6.8.2.5 | Berging media |
| A.3.21 Veilige wegdoening van toerusting | 6.8.2.7 | Veilige wegdoening of hergebruik |
| A.3.22 Gebruikerseindpunttoestelle | 6.3.2.1, 6.8.2.8 | Gebruikerseindpunttoestelle |
| A.3.23 Veilige stawing | 6.6.4.2 | Veilige verifikasie |
| A.3.24 Rugsteun van inligting | 6.9.3.1 | Rugsteun van inligting |
| A.3.25 Logging | 6.9.4.1, 6.9.4.2, 6.9.4.3 | Logging |
| A.3.26 Gebruik van kriptografie | 6.7.1.1, 6.7.1.2 | Gebruik van kriptografie |
| A.3.27 Veilige ontwikkelingslewensiklus | 6.11.2.1 | Veilige ontwikkeling lewensiklus |
| A.3.28 Toepassingsekuriteit | 6.11.1.2, 6.11.1.3 | Aansoek sekuriteit vereistes |
| A.3.29 Veilige Stelselargitektuur | 6.11.2.5 | Veilige stelselargitektuur |
| A.3.30 Uitgekontrakteerde Ontwikkeling | 6.11.2.7 | Uitgekontrakteerde ontwikkeling |
| A.3.31 Toetsinligting | 6.11.3.1 | Toets inligting |
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter 2019-kontroles is verwyder?
'n Beduidende aantal van 2019 Klousule 6 Kontroles het geen direkte ekwivalent in 2025 nie. Dit is kontroles waar die 2019-uitgawe na ISO 27002 verwys het, maar geen PII-spesifieke riglyne bygevoeg het nie. Die 2025-uitgawe het gekies om slegs kontroles in te sluit wat spesifieke privaatheidsrelevansie het.
Sleutelkategorieë van verwyderde kontroles sluit in:
| kategorie | 2019 Kontroles Verwyder | Rede |
|---|---|---|
| Skeiding van pligte | 6.3.1.2 | Geen PII-spesifieke leiding nodig nie |
| Kontak met owerhede / spesiale belangegroepe | 6.3.1.3, 6.3.1.4 | Gedek deur bestuurstelselklousules |
| Batevoorraad en eienaarskap | 6.5.1.1-6.5.1.4 | Geen PII-spesifieke byvoegings nodig nie |
| Toegangsbeheerbeleid | 6.6.1.1, 6.6.1.2 | Gedek deur A.3.9 Toegangsregte (Toegangsregte) |
| Fisiese sekuriteit | 6.8.1.1–6.8.1.6, 6.8.2.1–6.8.2.6 | Geen PII-spesifieke riglyne buite media/beskikking nie |
| Malware beskerming | 6.9.2.1 | Geen PII-spesifieke leiding nodig nie |
| sekuriteit netwerk | 6.10.1.1-6.10.1.3 | Geen PII-spesifieke leiding nodig nie |
| Kwesbaarheidsbestuur | 6.9.6.1, 6.9.6.2 | Geen PII-spesifieke leiding nodig nie |
| Sakekontinuïteit | 6.14.1.1-6.14.2.1 | Geen PII-spesifieke leiding nodig nie |
Belangrik: Verwydering van ISO 27701 beteken nie dat hierdie kontroles onbelangrik is nie. Indien u organisasie ook ISO 27001 het, bly hierdie kontroles relevant onder daardie standaard. Hulle is eenvoudig uitgesluit van ISO 27701:2025 omdat hulle nie PII-spesifieke implementeringsleiding benodig nie.
Hoe moet jy Aanhangsel F vir jou oorgang gebruik?
- Begin met Tabel F.2 — Lys al u huidige 2019-kontroles en soek elkeen op. Merk of dit ooreenstem met 'n 2025-kontrole of N/A wys.
- Vir gekarteerde kontroles — Verifieer dat u bestaande implementering aan die 2025-bewoording voldoen. Die meeste sal met minimale veranderinge oorgedra word.
- Vir N/A-kontroles — Besluit of die dokumentasie teruggetrek moet word of onder 'n ander raamwerk behou moet word (bv. ISO 27001)
- Gaan Tabel F.1 na vir nuwe kontroles — Enige 2025-beheer wat as "Nuut" in die 2019-kolom gemerk is, benodig nuwe implementering.
- Dateer jou toepaslikheidsverklaring op — Herbou dit met behulp van die 2025 Aanhangsel A struktuur met die korrekte beheerverwysings
Vir 'n volledige deurloop van die oorgangsproses, sien ons ISO 27701 oorgangsgids.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Hoekom kies ISMS.aanlyn vir jou oorgang?
ISMS.aanlyn bied die gereedskap om jou oorgang gestruktureerd en ouditeerbaar te maak:
- Ingeboude korrespondensiekartering — Sien hoe jou bestaande 2019-kontroles ooreenstem met die 2025-struktuur sonder handmatige sigbladwerk
- Gapingsanalise-opsporing — Merk elke kontrole as gekarteer, benodig opdatering of nuut, en volg vordering tot voltooiing
- Verklaring van toepaslikheidsbouer — Genereer jou nuwe SoA gebaseer op die 78 Aanhangsel A-kontroles met regverdigings vir uitsluitings
- Weergawe-beheerde dokumentasie — Handhaaf beide u 2019- en 2025-dokumentasie gedurende die oorgangstydperk
- Ouditspoor — Demonstreer aan u sertifiseringsliggaam presies wat en wanneer tydens die oorgang verander het
Vrae & Antwoorde
Word alle 2019-kontroles in die 2025-uitgawe gedek?
Nee. Baie 2019 Klousule 6-kontroles (veral dié wat verband hou met fisiese sekuriteit, netwerksekuriteit, beskerming teen wanware en besigheidskontinuïteit) het geen direkte 2025-ekwivalent nie, omdat hulle nie PII-spesifieke riglyne bevat het nie. Hierdie word as N/V in die korrespondensietabel gemerk.
Is daar enige heeltemal nuwe beheermaatreëls in 2025?
Die 2025-uitgawe se beheermaatreëls is grootliks herorganiseer vanaf die 2019-inhoud eerder as splinternuut. Die bestuurstelselvereistes in klousules 4–10 is egter nou losstaande (nie uitbreidings van ISO 27001 nie), wat beteken dat sommige vereistes soos die losstaande privaatheidsbeleid en die losstaande privaatheidsrisikobepalingsproses nuut kan wees vir organisasies wat voorheen op hul ISMS-dokumentasie staatgemaak het.
Kan ek beide uitgawes gedurende die oorgangstydperk gebruik?
Ja. Gedurende die oorgangstydperk (Oktober 2025 tot Oktober 2028) is beide uitgawes geldig. Jou bestaande 2019-sertifisering bly geldig tot die geskeduleerde vervaldatum of Oktober 2028, wat ook al eerste plaasvind. Nuwe sertifisering kan teen enige uitgawe uitgereik word.
Gebruik hierdie korrespondensietabel saam met ons stap-vir-stap instruksies gapingontledingsgids om te identifiseer wat vir jou PIMS verander het.
