Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Klousule 6: Beplanning

Klausule 6 dek die beplanningsaktiwiteite vir u PIMS, insluitend hoe om privaatheidsrisiko's te assesseer, risikobehandelingsaksies te bepaal, privaatheidsdoelwitte te stel en veranderinge aan die bestuurstelsel te beplan.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis Klausule 6?

Klousule 6 is die kernbeplanningsklousule vir u Privaatheidsinligtingbestuurstelsel (PIMS). Dit definieer hoe u risiko's en geleenthede identifiseer, privaatheidsrisiko's assesseer en behandel, meetbare doelwitte stel en veranderinge bestuur. Hierdie klousule verbind die kontekstuele begrip van Klousule 4 tot die operasionele aktiwiteite in Klousule 8.

6.1 Aksies om risiko's en geleenthede aan te spreek

6.1.1 Algemeen

Wanneer die organisasie vir die PIMS beplan, moet hulle die kwessies van Klousule 4.1 en die vereistes van Klousule 4.2, en bepaal die risiko's en geleenthede wat aangespreek moet word om:

  • Verseker dat die PIMS sy beoogde uitkomste kan bereik
  • Voorkom of verminder ongewenste effekte
  • Bereik voortdurende verbetering

Die organisasie moet aksies beplan om hierdie risiko's en geleenthede aan te spreek, hoe om die aksies in PIMS-prosesse te integreer en te implementeer, en hoe om die doeltreffendheid van hierdie aksies te evalueer.

6.1.2 Privaatheidsrisiko-assessering

Die organisasie moet 'n privaatheidsrisikobepalingsproses definieer en toepas wat:

  • Stel risikokriteria vas — Insluitend risiko-aanvaardingskriteria en kriteria vir die uitvoering van privaatheidsrisiko-assesserings
  • Verseker konsekwentheid — Herhaalde assesserings lewer konsekwente, geldige en vergelykbare resultate
  • Identifiseer risiko's — Pas die proses toe om risiko's te identifiseer wat verband hou met die beskerming van privaatheid en inligtingsekuriteit binne die bestek van die PIMS, en identifiseer die risiko-eienaars
  • Analiseer risiko's — Beoordeel die potensiële gevolge en realistiese waarskynlikheid van die geïdentifiseerde risiko's, en bepaal die vlakke van risiko
  • Evalueer risiko's — Vergelyk resultate met die vasgestelde kriteria en prioritiseer risiko's vir behandeling

Die risikobepalingsproses moet gedokumenteer word en die resultate daarvan as gedokumenteerde inligting bewaar word.

6.1.3 Hantering van privaatheidsrisiko

Die organisasie moet 'n proses vir die behandeling van privaatheidsrisiko's definieer en toepas om:

  • Kies gepaste risikobehandelingsopsies, met inagneming van die risikobepalingsresultate
  • Bepaal alle beheermaatreëls wat nodig is om die gekose risikobehandelingsopsies te implementeer
  • Identifiseer en dokumenteer die inligtingsekuriteitsprogram wat deur die organisasie geïmplementeer is, insluitend toepaslike sekuriteitsbeheermaatreëls wat (ten minste) die volgende aanspreek: inligtingsekuriteitsrisikobestuur, beleide, organisasie van inligtingsekuriteit, menslike hulpbronsekuriteit, batebestuur, toegangsbeheer, bedryfsekuriteit, netwerksekuriteitsbestuur, ontwikkelingsekuriteit, verskafferbestuur, voorvalbestuur, besigheidskontinuïteit, inligtingsekuriteitsoorsigte, kriptografie, en fisiese en omgewingsekuriteit
  • Vergelyk die bepaalde beheermaatreëls van die risikohanterings- en inligtingsekuriteitsprogram met dié in Aanhangsel A om te verifieer dat geen nodige kontroles weggelaat is nie
  • Produseer 'n Verklaring van toepaslikheid (SoA) wat die nodige beheermaatreëls bevat, regverdiging vir hul insluiting, of hulle geïmplementeer word, en regverdiging vir die uitsluiting van enige Aanhangsel A beheer
  • Formuleer 'n privaatheidsrisiko-behandelingsplan
  • Verkry risiko-eienaars se goedkeuring van die risikobehandelingsplan en aanvaarding van oorblywende privaatheidsrisiko's
  • Oorweeg die riglyne in Aanhangsel B vir die implementering van beheermaatreëls wat tydens risikohantering en in die inligtingsekuriteitsprogram bepaal is.

Hierdie subklousule is waar die bestuurstelselvereistes met die Aanhangsel A-kontroles verbind word. Jou SoA word die sentrale dokument wat risikobepalingsresultate koppel aan die spesifieke kontroles wat jy implementeer.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


6.2 Privaatheidsdoelwitte en beplanning om dit te bereik

Die organisasie moet privaatheidsdoelwitte by relevante funksies en vlakke vasstel. Privaatheidsdoelwitte moet:

  • Wees konsekwent met die privaatheidsbeleid
  • Wees meetbaar (indien prakties moontlik)
  • Neem toepaslike vereistes in ag
  • Word gemonitor
  • Word gekommunikeer
  • Word opgedateer soos toepaslik
  • Wees beskikbaar as gedokumenteerde inligting

Wanneer die organisasie beplan hoe om doelwitte te bereik, moet hulle bepaal wat gedoen sal word, watter hulpbronne benodig word, wie verantwoordelik sal wees, wanneer dit voltooi sal wees en hoe resultate geëvalueer sal word.

6.3 Beplanning van veranderinge

Wanneer die organisasie die behoefte aan veranderinge aan die PIMS bepaal, moet die veranderinge op 'n beplande wyse uitgevoer word. Dit is 'n nuwe eksplisiete vereiste in die 2025-uitgawe, wat beklemtoon dat ad hoc-veranderinge aan die bestuurstelsel vermy moet word. Veranderinge moet beoordeel word vir hul impak op PIMS-effektiwiteit en bestuur word deur 'n gestruktureerde proses.

Hoe hou dit verband met GDPR?

Klausule 6 ondersteun verskeie BBP vereistes:

  • Artikel 35 — Impakassesserings vir Databeskerming (DPIA's) stem ooreen met die proses vir die assessering van privaatheidsrisiko's in 6.1.2
  • Artikel 32 — Sekuriteit van verwerking, wat toepaslike tegniese en organisatoriese maatreëls vereis gebaseer op risikobepaling
  • Artikel 24 — Verantwoordelikheid van die beheerder om gepaste maatreëls te implementeer met inagneming van risiko's van verskillende waarskynlikheid en erns
  • Artikel 25 — Databeskerming deur ontwerp en by verstek, ondersteun deur vooraf risikobeplanning

Wat het verander van ISO 27701:2019?

  • Terminologie vir privaatheidsrisiko — Die 2025-uitgawe gebruik eksplisiet "privaatheidsrisikobepaling" en "privaatheidsrisikobehandeling" eerder as om staat te maak op die inligtingsekuriteitsrisikoprosesse van ISO 27001.
  • Losstaande SoA — Die Verklaring van Toepaslikheid verwys nou direk na ISO 27701 Aanhangsel A-kontroles, eerder as om 'n ISO 27001 SoA aan te vul.
  • Klausule 6.3 bygevoeg — Beplanning van veranderinge is 'n nuwe eksplisiete vereiste wat nie in die 2019-uitgawe teenwoordig is nie
  • Aanhangsel A kontrolevergelyking — Die risikobehandelingsproses vereis nou eksplisiet vergelyking van bepaalde beheermaatreëls teen Aanhangsel A om te verifieer dat geen noodsaaklike beheermaatreëls weggelaat is nie.

Sien die Aanhangsel F korrespondensietabel vir die volledige kartering en ons wat is nuut gids vir 'n breër oorsig van veranderinge.

Watter bewyse verwag ouditeure?

  • Risikobepalingsmetodologie — ’n Gedokumenteerde proses vir die identifisering, analise en evaluering van privaatheidsrisiko's
  • Risiko-evaluering resultate — Rekords van voltooide assesserings met geïdentifiseerde risiko's, waarskynlikheid, impak en risikovlakke
  • Risikobehandelingsplan — ’n Plan wat toon hoe elke onaanvaarbare risiko hanteer sal word, met toegewyse eienaars en tydskale.
  • Verklaring van toepaslikheid — 'n Volledige SoA wat alle Aanhangsel A-kontroles dek met insluitings-/uitsluitingsregverdigings
  • Privaatheidsdoelwitte — Gedokumenteerde, meetbare doelwitte met planne om dit te bereik
  • Goedkeurings van risiko-eienaar — Bewyse dat risiko-eienaars die behandelingsplan goedgekeur het en oorblywende risiko's aanvaar het
  • Verander rekords — Bewyse dat veranderinge aan die PIMS sistematies beplan en bestuur word


Vind jou nakomingsvertroue, met ISMS.online

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Verwante klousules

klousule Verhoudings
Klousule 4: Konteks Konteksanalise en vereistes van belanghebbendes dra by tot risiko-identifikasie
Klousule 5: Leierskap Die privaatheidsbeleid bied die raamwerk vir die stel van doelwitte (6.2)
Klousule 8: Werking Operasionele risikobepaling (8.2) en behandeling (8.3) implementeer die planne wat hier gedefinieer word
Klousule 9: Prestasie-evaluering Moniterings- en hersieningsaktiwiteite evalueer die doeltreffendheid van risikohantering
Bylae A Kontroles Die SoA in 6.1.3 bepaal watter Aanhangsel A-kontroles van toepassing is

Hoekom kies ISMS.aanlyn vir voldoening aan Klousule 6?

ISMS.aanlyn bied geïntegreerde gereedskap vir privaatheidsrisikobeplanning:

  • Privaatheidsrisikoregister — Identifiseer, assesseer en prioritiseer privaatheidsrisiko's met konfigureerbare kriteria, waarskynlikheids- en impakskale
  • Risikobehandelingswerkvloeie — Ken behandelingsaksies aan eienaars toe met sperdatums, hou vordering dop en teken goedkeurings aan
  • Verklaring van Toepaslikheid-bouer — Genereer en onderhou u SoA met alle Aanhangsel A-kontroles, insluitings-/uitsluitingsregverdigings en implementeringsstatus
  • Doelwitspoorsnyer — Stel, monitor en rapporteer privaatheidsdoelwitte met vorderingsdashboards
  • Veranderings bestuur — Beplan en spoor veranderinge aan die PIMS op met impakassessering en goedkeuringswerkvloeie

Vrae & Antwoorde

Wat is die verskil tussen 'n DPIA en die Klousule 6 risikobepaling?

'n Impakassessering vir Databeskerming (DPIA) kragtens GDPR Artikel 35 word veroorsaak deur spesifieke hoërisiko-verwerkingsaktiwiteite en fokus op die impak op individue. Die privaatheidsrisikobepaling in klousule 6.1.2 is 'n breër, sistematiese proses wat alle privaatheidsrisiko's binne die PIMS-bestek dek. DPIA's kan in jou klousule 6-risikobepaling insluit, en baie organisasies integreer die twee prosesse. Die klousule 6-bepaling is egter verpligtend vir alle verwerkingsaktiwiteite, nie net hoërisiko-aktiwiteite nie.

Kan Aanhangsel A-kontroles van die Toepaslikheidsverklaring uitgesluit word?

Ja. Die SoA moet alle Aanhangsel A-kontroles dek, maar u kan kontroles uitsluit wat nie op u organisasie van toepassing is nie. Elke uitsluiting moet geregverdig word. Byvoorbeeld, as u slegs as 'n PII-beheerder optree, kan u die Tabel A.2 verwerkerkontroles met daardie regverdiging. Jy kan egter nie 'n kontrole uitsluit bloot omdat dit moeilik of duur is om te implementeer nie.

Hoe gereeld moet die privaatheidsrisikobepaling hersien word?

Klausule 6 vereis dat die risikobepalingsproses gedefinieer word, terwyl Klousule 8.2 vereis dat dit met beplande tussenposes of wanneer beduidende veranderinge plaasvind, uitgevoer word. Die meeste organisasies doen jaarliks ​​'n volledige hersiening, met bykomende assesserings wat veroorsaak word deur veranderinge soos nuwe verwerkingsaktiwiteite, regulatoriese opdaterings, sekuriteitsvoorvalle of organisatoriese herstrukturering.

Begin jou beplanning met 'n gestruktureerde gapingsanalise om prioriteitsareas vir u risikobehandelingsplan te identifiseer.

Dokumenteer jou beheerbesluite in 'n Verklaring van toepaslikheid — 'n belangrike uitset van die beplanningsproses.

Moet u die belegging regverdig? Ons s’n ROI-sakevalraamwerk help om die voordele te kwantifiseer.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.