Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Klousule 4: Konteks van die Organisasie

Klausule 4 is die beginpunt vir u Privaatheidsinligtingbestuurstelsel. Dit vereis dat u u organisasie se konteks verstaan, belanghebbende partye identifiseer, die omvang van u PIMS definieer en bepaal of u as 'n PII-beheerder, verwerker of albei optree.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis Klausule 4?

Klausule 4 lê die grondslag vir u Privaatheidsinligtingbestuurstelsel (PIMS) deur te vereis dat u die konteks waarin u organisasie funksioneer, wie u belanghebbende partye is en watter omvang u PIMS dek, verstaan. Dit bestaan ​​uit vier subklousules wat op mekaar voortbou om 'n volledige prentjie van u privaatheidslandskap te skep.

4.1 Verstaan ​​die organisasie en sy konteks

Die organisasie moet die eksterne en interne kwessies bepaal wat relevant is vir sy doel en wat sy vermoë beïnvloed om die beoogde uitkomste van die PIMS te bereik. Dit sluit in:

  • Eksterne kwessies — Privaatheidswetgewing en -regulasies (soos BBP), bedryfsvereistes, kontraktuele verpligtinge, tegnologiese ontwikkelings en die mededingende omgewing
  • Interne kwessies — Organisasiekultuur, bestuursstruktuur, bestaande beleide, beskikbaarheid van hulpbronne en personeelbevoegdheid
  • Klimaatsverandering (Klausules 4.1 en 4.2) — 'n Nuwe toevoeging in die 2025-uitgawe, wat vereis dat organisasies bepaal of klimaatsverandering 'n relevante kwessie is wat die PIMS kan beïnvloed.
  • Rol van die beheerder of verwerker — Die organisasie moet bepaal of dit as 'n PII-beheerder, PII-verwerker of albei optree, aangesien dit bepaal watter Bylae A kontroles aansoek doen

4.2 Verstaan ​​die behoeftes en verwagtinge van belanghebbende partye

Die organisasie moet die belanghebbende partye identifiseer wat relevant is tot sy PIMS en hul vereistes verstaan. Belangrike belanghebbende partye sluit tipies in:

  • PII-hoofde — Die individue wie se persoonlike data verwerk word
  • Kliënte — Of jy nou optree as PII-beheerders wat jou organisasie as verwerker betrek, of as verwerkerkliënte wat data verskaf
  • Reguleerders en toesighoudende owerhede — Databeskermingsowerhede met toesigverantwoordelikhede
  • Werknemers en kontrakteurs — Personeel betrokke by PII-verwerkingsaktiwiteite
  • Derde partye en subkontrakteurs — Entiteite betrokke by die voorsieningsketting wat PII mag verwerk

Vir elke belangstellende party moet u bepaal watter van hul vereistes relevant is vir die PIMS en watter deur die bestuurstelsel aangespreek sal word.

4.3 Bepaling van die omvang van die PIMS

Die organisasie moet die grense en toepaslikheid van die PIMS bepaal om die omvang daarvan te bepaal. Wanneer die omvang bepaal word, moet die organisasie die volgende in ag neem:

  • Die eksterne en interne kwessies wat in 4.1 geïdentifiseer is
  • Die vereistes van belanghebbende partye wat in 4.2 geïdentifiseer is
  • Die koppelvlakke en afhanklikhede tussen aktiwiteite wat deur die organisasie uitgevoer word en dié wat deur ander organisasies uitgevoer word
  • Die PII-verwerkingsaktiwiteite binne die bestek, insluitend tipes PII, kategorieë van PII-beginsels en verwerkingsdoeleindes

Die omvang moet gedokumenteer word en as gedokumenteerde inligting beskikbaar gestel word.



ISMS.online se kragtige dashboard

Begin jou gratis toets

Wil jy verken?

Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand

Aan die begin


4.4 Privaatheidsinligtingbestuurstelsel

Die organisasie moet 'n PIMS vestig, implementeer, onderhou en voortdurend verbeter, insluitend die prosesse wat benodig word en hul interaksies, in ooreenstemming met die vereistes van die standaard. Dit is die oorkoepelende vereiste wat alle daaropvolgende klousules saambind.

Hoe hou dit verband met GDPR?

Klausule 4 ondersteun verskeie BBP vereistes:

  • Artikel 24 — Verantwoordelikheid van die beheerder, wat vereis dat organisasies toepaslike maatreëls implementeer met inagneming van die aard, omvang, konteks en doeleindes van verwerking.
  • Artikel 25 — Databeskerming deur ontwerp en by verstek, wat ondersteun word deur vooraf konteks en omvang te verstaan
  • Artikel 26 — Gesamentlike beheerders, relevant wanneer u rol as beheerder of verwerker bepaal word
  • Artikel 28 — Verwerkervereistes, wat afhang van die korrekte identifisering van u rol kragtens Klousule 4.1.
  • Artikel 30 — Rekords van verwerkingsaktiwiteite, wat vereis dat die omvang van PII-verwerking verstaan ​​word

Wat het verander van ISO 27701:2019?

Belangrike veranderinge in Klousule 4 in vergelyking met die 2019-uitgawe:

  • Onafhanklike vereistes — In 2019 het Klausule 5.2 ISO 27001 Klausule 4 aangevul. Nou is die vereistes selfstandig en volledig.
  • Oorweging van klimaatsverandering — Nuwe vereiste in Klausules 4.1 en 4.2 om te bepaal of klimaatsverandering 'n relevante kwessie is
  • Eksplisiete rolbepaling — Die vereiste om die status van die beheerder of verwerker te bepaal, is nou duidelik in die konteksanalise ingebed.
  • PII-verwerkingsomvang — Groter klem op die dokumentasie van die tipes en kategorieë van persoonlike inligting binne die bestek

Vir die volledige kartering tussen 2019 en 2025 klousules, sien die Aanhangsel F korrespondensietabel.

Watter bewyse verwag ouditeure?

Wanneer ouditeure voldoening aan Klousule 4 beoordeel, sal hulle tipies kyk na:

  • Konteksanalise-dokument — 'n Formele assessering van interne en eksterne kwessies wat relevant is tot die PIMS
  • Belangstellendes registreer — 'n Gedokumenteerde lys van relevante belanghebbende partye, hul vereistes en hoe dit aangespreek word
  • PIMS-omvangverklaring — 'n Duidelike, gedokumenteerde omvang wat die grense en toepaslikheid van die PIMS definieer
  • Rolbepaling — Gedokumenteerde bewyse van hoe u bepaal het of u as beheerder, verwerker of albei optree
  • PII-voorraad — 'n Register van PII-tipes, kategorieë van PII-hoofde en verwerkingsdoeleindes binne die bestek


ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


Verwante klousules

klousule Verhoudings
Klousule 5: Leierskap Leierskapsverbintenis en privaatheidsbeleid word deur die konteksanalise beïnvloed
Klousule 6: Beplanning Risikobepaling en doelwitte is gebaseer op die omvang en konteks wat hier vasgestel word
Klousule 8: Werking Operasionele prosesse moet binne die gedefinieerde bestek funksioneer

Hoekom kies ISMS.aanlyn vir voldoening aan Klousule 4?

ISMS.aanlyn bied gestruktureerde gereedskap vir die vestiging van jou PIMS-konteks:

  • Konteksanalise-sjablone — Voorafgeboude raamwerke vir die identifisering en dokumentasie van interne en eksterne kwessies wat relevant is tot privaatheid
  • Belangstellendes registreer — Handhaaf 'n dinamiese register van belanghebbendes met hul vereistes en hoe jy dit aanspreek
  • Bestek van omvang — Definieer en dokumenteer u PIMS-omvang met duidelike grense, insluitend PII-verwerkingsaktiwiteite
  • Rolkartering — Dokumenteer u beheerder- en verwerkerrolle oor verskillende verwerkingsaktiwiteite
  • Gapingsanalise — Identifiseer waar u huidige praktyke aan die vereistes van Klousule 4 voldoen en waar verbeterings nodig is

Vrae & Antwoorde

Kan die PIMS-omvang nouer wees as die hele organisasie?

Ja. Die omvang kan spesifieke sake-eenhede, liggings, verwerkingsaktiwiteite of produklyne dek. Die omvang moet egter geregverdig en gedokumenteer word, en u moet aanspreek hoe koppelvlakke met buite-omvanggebiede bestuur word. Ouditeure sal kontroleer dat die omvang gepas is en nie kunsmatig eng is om sleutel privaatheidsrisiko's te vermy nie.

Hoe werk die klimaatsveranderingsvereiste in die praktyk?

Die vereiste is om te bepaal of klimaatsverandering 'n relevante kwessie is, nie om 'n volledige omgewingsassessering uit te voer nie. Vir die meeste organisasies beteken dit om kortliks te oorweeg of klimaatverwante gebeurtenisse (soos ekstreme weer, regulatoriese veranderinge of ontwrigtings in die voorsieningsketting) die PIMS kan beïnvloed. Dokumenteer u oorweging en gevolgtrekkings as deel van u konteksanalise.

Wat as ons organisasie as beide 'n beheerder en verwerker optree?

Baie organisasies tree op as beide, afhangende van die verwerkingsaktiwiteit. Jy moet identifiseer watter rol op elke verwerkingsaktiwiteit van toepassing is en dit duidelik dokumenteer. Beide stelle Bylae A kontroles (Tabel A.1 vir beheerders en Tabel A.2 vir verwerkers) sal dan van toepassing wees op die betrokke aktiwiteite, tesame met die gedeelde beheermaatreëls in Tabel A.3.

'N Deeglike gapingsanalise help jou om jou omvang te definieer deur te identifiseer waar jou huidige PIMS aan hierdie vereistes voldoen – of nie daaraan voldoen nie.

SaaS-organisasies staar dikwels unieke uitdagings in die gesig wat hul verwerkingsrol bepaal — sien ons gids vir SaaS-platforms.

Ons is nie seker of sertifisering nodig is nie? Ons gids dek of jy ISO 27701:2025-sertifisering benodig.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.