Watter bewyse verwag ouditeure vir ISO 27701:2025?
ISO 27701:2025-sertifiseringsoudits volg 'n gestruktureerde, bewysgebaseerde benadering. Ouditeure neem nie bloot jou woord daarvoor nie – hulle benodig gedokumenteerde bewyse dat jou Privaatheidsinligtingbestuurstelsel (PIMS) aan elke toepaslike vereiste van die standaard voldoen.
Bewyse val in drie breë kategorieë:
- Dokumentêre getuienis — Beleide, prosedures, prosesdokumente, risikobepalings en die Verklaring van Toepaslikheid
- Rekords en logboeke — Vergadernotules, opleidingsrekords, ouditverslae, voorvallogboeke, dataverwerkingsrekords en korrektiewe aksielogboeke
- Bewese praktyk — Onderhoude met personeel, deurloop van regstreekse stelsels en waarneming van prosesse in aksie
Die 2025-uitgawe is nou 'n losstaande sertifiseerbare standaard, wat beteken dat jou bewyspakket die volle bestuurstelselvereistes in klousules 4 tot 10 sowel as die toepaslike Bylae A kontroles.
Watter bewyse word vir elke klousule-area vereis?
Elke klousule van ISO 27701:2025 vereis spesifieke tipes bewyse. Die tabel hieronder gee 'n oorsig van die belangrikste bewysitems. ouditeurs soek teen elke bestuurstelselklousule.
| klousule | Area | Belangrike Bewyse Vereiste |
|---|---|---|
| Klousule 4 | Konteks van die Organisasie | Omvangsverklaring, belanghebbendeparty-analise, PII-verwerkingskonteks, PIMS-grensdokumentasie |
| Klousule 5 | Leierskap | Privaatheidsbeleid (onderteken deur topbestuur), rol- en verantwoordelikheidsmatriks, bestuursverbintenisrekords |
| Klousule 6 | Beplanning | Privaatheidsrisikobepalingsmetodologie, risikoregister, risikobehandelingsplan, Verklaring van Toepaslikheid, privaatheidsdoelwitte |
| Klousule 7 | Ondersteuning | Bevoegdheidsrekords, opleidingslogboeke, bewyse van bewustmakingsprogramme, gedokumenteerde inligtingbeheerprosedure |
| Klousule 8 | Operasie | Operasionele beplanningsrekords, risikobepalingsresultate, bewyse van implementering van risikobehandeling |
| Klousule 9 | Prestasie Evaluering | Moniterings- en meetresultate, interne ouditverslae, bestuursoorsignotules |
| Klousule 10 | verbetering | Rekords van nie-ooreenstemming en korrektiewe aksies, bewyse van voortdurende verbeteringsaktiwiteite |
Benewens die bestuurstelselklousules, beoordeel ouditeure ook bewyse vir elke Aanhangsel A-beheer wat u in u toepaslik verklaar het. Verklaring van toepaslikheidDit sluit beheerder-spesifieke kontroles, verwerker-spesifieke kontroles en gedeelde sekuriteitskontroles in.
Hoe verskil die bewysvereistes vir Fase 1 en Fase 2?
Die ISO 27701:2025-sertifiseringsoudit word in twee fases verdeel, elk met verskillende bewysverwagtinge:
Fase 1: Dokumentasie-oorsig
Die Fase 1-oudit fokus op of u gedokumenteerde PIMS voldoende is. Ouditeur se hersiening:
- Jou PIMS-omvang en -grense
- Privaatheidsbeleid en privaatheidsdoelwitte
- Risikobepalingsmetodologie en risikobehandelingsplan
- Verklaring van toepaslikheid
- Belangrike prosedures en prosesdokumentasie
- Interne ouditprogram en bestuursoorsigskedule
Fase 1 is hoofsaaklik 'n gereedheidstoets. Die ouditeur bevestig dat u dokumentasie volledig genoeg is om na Fase 2 voort te gaan en identifiseer enige areas wat aandag benodig voor die implementeringsoudit.
Fase 2: Implementeringsassessering
Fase 2 is die volledige implementeringsoudit. Ouditeure verifieer dat u PIMS nie net gedokumenteer is nie, maar eintlik funksioneer. Bewyse in hierdie stadium sluit in:
- Voltooide risikobepalings met huidige resultate
- Opleidingsrekords wat toon dat personeel opgelei en geassesseer is
- Interne ouditverslae met aangespreekte bevindinge
- Bestuursbeoordelingsnotules met aangetekende besluite
- Insidentreaksie-rekords (selfs al het geen insidente plaasgevind nie, moet die proses bewys word)
- Rekords vir die hantering van versoeke vir data-onderwerpe
- Verskaffer- en verwerkerbestuursrekords
Vir meer besonderhede oor die volledige sertifiseringsproses, sien ons sertifiseringsgids.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Wat is die mees algemene bewysgapings?
Sekere bewysgapings verskyn herhaaldelik in ISO 27701:2025-oudits. Om te weet wat organisasies uitvang, help jou om dieselfde foute te vermy.
| Algemene gaping | Waarom dit gebeur | Hoe om dit reg te stel |
|---|---|---|
| Geen bewyse van bestuursoorsig nie | Resensies vind informeel plaas sonder notules | Beplan formele oorsigte met agenda, deelnemers en aangetekende besluite |
| Opleidingsrekords ontbreek of is onvolledig | Opleiding vind plaas, maar word nie aangeteken nie | Gebruik 'n opleidingsbestuurstelsel wat voltooiing en bevoegdheidsassessering dophou |
| Risikobepaling nie op datum nie | Aanvanklike assessering gedoen, maar nie opgedateer nie | Beplan gereelde hersienings en opdaterings na beduidende veranderinge |
| Geen interne ouditbewyse nie | Organisasie maak staat op eksterne konsultante en slaan interne oudits oor | Voer ten minste een volledige interne ouditsiklus uit voor die sertifiseringsoudit |
| Verklaring van Toepaslikheid ontbrekende regverdigings | Kontroles gemerk as nie van toepassing sonder verduideliking | Dokumenteer die rasionaal vir elke uitsluiting in die SoA |
| Verskaffersooreenkomste het nie privaatheidsklousules nie | Kontrakte dateer uit voor die implementering van PIMS | Hersien en werk verskafferskontrakte op om dataverwerking en privaatheidsbepalings in te sluit |
| Insidentrespons nie getoets nie | Geen voorvalle het plaasgevind nie, dus is die proses ongetoets | Doen tafelbladoefeninge en teken die resultate aan |
Hoe moet jy jou bewysstuk organiseer?
’n Goed georganiseerde bewyspakket maak oudits gladder en verminder die risiko van bevindinge wat veroorsaak word deur bewyse wat bestaan, maar nie opgespoor kan word nie. Volg hierdie beginsels:
- Koppel bewyse aan vereistes — Skep 'n bewysmatriks wat elke klousule en Aanhangsel A-kontrole koppel aan die spesifieke dokumente, rekords en skermkiekies wat voldoening demonstreer
- Gebruik konsekwente naamkonvensies — Benoem dokumente duidelik sodat ouditeure hulle sonder jou hulp kan identifiseer (bv. PIMS-Risikobepaling-2026-K1.pdf)
- Behou weergawebeheer — Elke dokument moet sy weergawe, goedkeuringsdatum en eienaar aandui. Ouditeure sal kontroleer dat u vanaf huidige, goedgekeurde dokumente werk.
- Hou rekords tydstempeld — Opleidingslogboeke, vergaderingnotules en ouditverslae moet wys wanneer dit plaasgevind het. Ongedateerde rekords is moeilik vir ouditeure om te aanvaar.
- Sentraliseer berging — Verspreide bewyse oor e-posinbokse, gedeelde skywe en individuele skootrekenaars skep risiko. Gebruik 'n enkele, beheerde ligging.
Organisasies wat hul bewyse in lyn bring met die Aanhangsel D GDPR-kartering kan ook dieselfde bewyspakket gebruik om te demonstreer reguleerdernakoming, wat doeltreffendheid skep oor beide privaatheidsertifisering en databeskermingsverpligtinge.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoe ondersteun ISMS.online die bestuur van ouditbewyse?
ISMS.aanlyn is doelgerig gebou om organisasies te help om die bewyse wat nodig is vir ISO 27701:2025-sertifisering in te samel, te organiseer en te onderhou. Sleutelvermoëns sluit in:
- Voorafgeboude bewysraamwerk — Bewysvereistes gekarteer op elke klousule en Aanhangsel A-kontrole, sodat jy presies weet wat jy nodig het voordat die ouditeur opdaag
- Dokumentbestuur met weergawebeheer — Laai alle beleide, prosedures en ondersteunende dokumente op, keur dit goed en hou dit dop met volledige ouditspore
- Risiko bestuur — Voer risikobeoordelings direk in die platform uit en teken dit op, met risikoregisters wat skakel na behandelingsplanne en beheerimplementerings
- Opleiding en bewustmakingsopsporing — Ken opleiding toe, hou voltooiing dop en teken bevoegdheidsassesserings met tydstempelbewyse aan
- Interne ouditbestuur — Beplan, voer uit en teken interne oudits aan met bevindinge gekoppel aan korrektiewe aksies
- Ondersteuning vir bestuursoorsig — Gestruktureerde hersieningsjablone wat insette, besluite en aksies vaslê in 'n formaat wat ouditeure verwag
- Verskaffersbestuur — Volg verwerkingsooreenkomste, doen behoorlike sorgvuldigheid en hou toesigrekords in stand
Eerder as om 'n bewyspakket van nuuts af te bou, ISMS.aanlyn gee jou 'n gereedgemaakte struktuur wat bewyse versamel soos jy deur jou implementering werk. Teen die tyd dat jou oudit plaasvind, is jou bewyse reeds georganiseerd en toeganklik.
Om die volle omvang van wat jou PIMS moet dek, te verstaan, sien ons gids tot aan die gang kom met implementering.
Waarom ISMS.online vir ouditbewysbestuur kies?
- Bewyse gekarteer volgens standaard — Elke klousule en Aanhangsel A-kontrole het 'n gekoppelde bewysvereiste, so niks word gemis nie
- Outomatiese ouditroetes — Veranderinge aan dokumente, risikobepalings en aksies word outomaties aangeteken met tydstempels en gebruikerserkenning.
- Gesentraliseerde, ouditeur-gereed bewyse — Alles wat jou ouditeur benodig, is op een plek, toeganklik via veilige, rolgebaseerde toestemmings
- Vooraf gekonfigureerde sjablone — Beleide, risikobepalingsmetodologieë en SoA-sjablone wat in lyn is met ISO 27701:2025 verminder opsteltyd
- Korrektiewe aksie-opsporing — Koppel nie-ooreenstemmings aan korrektiewe aksies met sperdatums, eienaars en statusopsporing
- Nakomingsdashboards vir intydse voldoening — Sien jou gereedheidsstatus in 'n oogopslag, identifiseer gapings en prioritiseer werk voor die oudit
- Vertrou deur duisende organisasies - ISMS.aanlyn ondersteun maatskappye van alle groottes om ISO-sertifisering te behaal en te handhaaf
Vrae & Antwoorde
Wat is die minimum bewys wat benodig word vir ISO 27701:2025-sertifisering?
Ten minste benodig u gedokumenteerde beleide, 'n risikobepaling- en behandelingsplan, 'n Verklaring van Toepaslikheid, interne ouditresultate, bestuursoorsignotules en rekords wat toon dat u Aanhangsel A-beheermaatreëls funksioneer. Die presiese omvang hang af van u organisasie en die beheermaatreëls wat u van toepassing verklaar het.
Hoe ver terug moet ouditbewyse gaan?
Vir aanvanklike sertifisering wil ouditeure tipies ten minste drie maande se operasionele bewyse sien, insluitend 'n volledige interne ouditsiklus en ten minste een bestuursoorsig. Vir toesigoudits moet bewyse die tydperk sedert die laaste oudit dek.
Kan ons digitale bewyse gebruik of moet dit gedruk word?
Digitale bewyse word ten volle aanvaar en word dikwels deur ouditeure verkies. Skermskote, stelseluitvoere, tydstempelrekords en dokumente wat in platforms soos ISMS.aanlyn is almal geldig. Die belangrikste vereiste is dat bewyse outentiek, toeganklik en weergawe-beheerd is.
Wat gebeur as die ouditeur ontbrekende bewyse vind?
Ontbrekende bewyse lei tipies tot 'n bevinding van nie-ooreenstemming. Geringe nie-ooreenstemmings laat jou toe om die bewyse binne 'n ooreengekome tydsbestek (gewoonlik 90 dae) te verskaf. Groot nie-ooreenstemmings mag 'n opvolgouditbesoek vereis voordat sertifisering toegestaan kan word.
Het ons aparte bewyse vir ISO 27701 en ISO 27001 nodig?
Indien u beide sertifikate besit, oorvleuel baie van die bestuurstelselbewyse (risikobestuur, interne oudit, bestuursoorsig). ISO 27701 vereis egter addisionele privaatheidspesifieke bewyse soos PII-verwerkingsrekords, hantering van versoeke deur data-onderwerpe en privaatheidsimpakbepalings. ISMS.aanlyn laat jou toe om beide standaarde in 'n geïntegreerde stelsel te bestuur.
