Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Klousule 8: Bediening

Klausule 8 dek die operasionele uitvoering van u PIMS-planne. Dit vereis dat u operasionele beheermaatreëls implementeer, privaatheidsrisiko-assesserings met beplande tussenposes uitvoer en u privaatheidsrisiko-behandelingsplan implementeer.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis Klausule 8?

Klausule 8 is die "Doen"-fase van die PDCA-siklus. Terwyl Klousule 6 definieer hoe om jou risikobestuursaktiwiteite te beplan, vereis klousule 8 dat jy daardie planne in daaglikse bedrywighede uitvoer. Dit is 'n doelbewus bondige klousule met drie subklousules wat fokus op die implementering van planne.

8.1 Operasionele beplanning en beheer

Die organisasie moet die prosesse beplan, implementeer en beheer wat nodig is om aan PIMS-vereistes te voldoen en die aksies wat in Klousule 6, deur:

  • Die vasstelling van kriteria vir die prosesse — Definieer hoe “goed” lyk vir elke operasionele proses
  • Implementering van beheer van die prosesse — Toepassing van die kriteria in die praktyk deur middel van prosedures, werkinstruksies en beheermaatreëls
  • Bewaring van gedokumenteerde inligting — Bewaring van bewyse dat prosesse volgens plan uitgevoer is

Die organisasie moet ook beplande veranderinge beheer en die gevolge van onbedoelde veranderinge hersien, en stappe doen om enige nadelige gevolge te verminder soos nodig.

Waar prosesse ekstern verskaf word (uitkontrakteer), moet die organisasie verseker dat dit beheer word. Dit is veral relevant vir PII-verwerking, waar uitkontrakteringsaktiwiteite subkontrakteurs kan behels wat persoonlike data namens u hanteer.

8.2 Privaatheidsrisiko-assessering

Die organisasie moet privaatheidsrisiko-assesserings met beplande tussenposes of wanneer beduidende veranderinge voorgestel word of plaasvind, uitvoer, met inagneming van die kriteria wat in Klousule 6.1.2.

Dit beteken dat die risikobepaling nie 'n eenmalige aktiwiteit is nie. Dit moet herhaal word:

  • Met beplande tussenposes — Die meeste organisasies stel 'n jaarlikse siklus vas, hoewel hoërrisiko-omgewings dalk meer gereelde assessering vereis
  • Wanneer veranderinge plaasvind — Nuwe verwerkingsaktiwiteite, stelselveranderinge, regulatoriese opdaterings, organisatoriese herstrukturering of sekuriteitsvoorvalle behoort 'n herevaluering te veroorsaak
  • Wanneer veranderinge voorgestel word — Proaktiewe assessering voordat veranderinge geïmplementeer word, nie net reaktiewe assessering daarna nie

Die resultate van privaatheidsrisikobepalings moet as gedokumenteerde inligting bewaar word.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


8.3 Hantering van privaatheidsrisiko

Die organisasie moet die privaatheidsrisikobehandelingsplan implementeer. Die resultate van privaatheidsrisikobehandeling moet as gedokumenteerde inligting bewaar word.

Alhoewel hierdie subklousule kort is, is die implikasies daarvan betekenisvol. Dit vereis dat u:

  • Voer alle behandelingsaksies uit wat in u risikobehandelingsplan gedefinieer is vanaf Klousule 6.1.3
  • Implementeer die beheermaatreëls wat in u Verklaring van Toepaslikheid geïdentifiseer is
  • Moniteer die implementeringsstatus van behandelingsaksies
  • Dokumenteer die resultate, insluitend enige oorblywende risiko's na behandeling

Ouditeure sal jou risikobehandelingsplan vergelyk (van Klousule 6) met die werklike implementeringsbewyse (uit Klousule 8) om te verifieer dat planne deurgevoer is.

Hoe hou dit verband met GDPR?

  • Artikel 32 — Sekuriteit van verwerking, wat die implementering van toepaslike tegniese en organisatoriese maatreëls vereis. Klausule 8.3 is waar hierdie maatreëls in die praktyk toegepas word.
  • Artikel 35 — Impakassesserings vir Databeskerming (DPIA's) stem ooreen met die deurlopende risikobepalingsvereiste in 8.2
  • Artikel 28 (1) — Verwerkervereistes vir voldoende waarborge, ondersteun deur die ekstern verskafde proseskontroles in 8.1
  • Artikel 24 — Verantwoordelikheid van die beheerder om toepaslike maatreëls te implementeer en dit waar nodig te hersien/op te dateer

Wat het verander van ISO 27701:2019?

  • Onafhanklike operasionele vereistes — In 2019 het Klausule 5.6 ISO 27001 Klausule 8 aangevul. Nou is die operasionele vereistes selfstandig.
  • Terminologie vir privaatheidsrisiko — Die 2025-uitgawe gebruik "privaatheidsrisikobepaling" en "privaatheidsrisikobehandeling" eksplisiet, wat die fokus op privaatheid duidelik maak.
  • Ekstern verskafde prosesse — Groter klem op die beheer van uitkontrakteringsprosesse, wat die werklikheid weerspieël dat baie organisasies op derde partye staatmaak vir die verwerking van persoonlike inligting.
  • Verander beheer — Eksplisiete vereistes om beplande veranderinge te beheer en onbedoelde veranderinge te hersien

Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.

Watter bewyse verwag ouditeure?

  • Operasionele prosedures — Gedokumenteerde prosedures vir PII-verwerkingsaktiwiteite met gedefinieerde kriteria en beheermaatreëls
  • Prosesmoniteringsrekords — Bewyse dat operasionele prosesse gemonitor en beheer word teen gedefinieerde kriteria
  • Risikobeoordelingsrekords — Voltooi risikobepalings met beplande tussenposes en word deur veranderinge veroorsaak
  • Implementering van risikobehandeling — Bewyse dat behandelingsaksies soos beplan geïmplementeer is, met statusopsporing
  • Verander rekords — Dokumentasie van beplande en onbedoelde veranderinge, insluitend impakbepaling en versagtingsaksies
  • Verskaffer-/uitkontrakteringsbeheermaatreëls — Bewyse dat ekstern verskafde prosesse geïdentifiseer en beheer word


ISMS.online se kragtige dashboard

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Verwante klousules

klousule Verhoudings
Klousule 6: Beplanning Klausule 8 implementeer die risikobepalingsmetodologie (6.1.2) en risikobehandelingsplan (6.1.3) soos gedefinieer in Klausule 6.
Klousule 7: Ondersteuning Operasionele prosesse hang af van die hulpbronne, bevoegdheid en dokumentasie wat in Klousule 7
Klousule 9: Prestasie-evaluering Monitering en interne oudit evalueer of bedrywighede volgens plan uitgevoer word
Klousule 10: Verbetering Operasionele afwykings wat in Klousule 8 geïdentifiseer is, word in die korrektiewe aksieproses ingesluit.
Bylae A Kontroles Die kontroles van u SoA word geïmplementeer deur middel van Klousule 8-bedryfsprosesse.

Hoekom kies ISMS.aanlyn vir voldoening aan Klousule 8?

ISMS.aanlyn bied operasionele gereedskap vir die daaglikse bestuur van u PIMS:

  • Risikobepalingskedulering — Stel beplande intervalle vir risikobepalings met outomatiese herinneringe en veranderingsgeïnduseerde herbeoordelingswerkvloeie
  • Behandelingsplanopsporing — Monitor die implementeringsstatus van elke risikobehandelingsaksie met eienaartoewysings en sperdatums
  • Prosesbeheer — Dokumenteer en bestuur operasionele prosedures met kriteria, werkinstruksies en bewysinsameling
  • Verskaffersbestuur — Volg ekstern verskafde prosesse met omsigtigheidsrekords en deurlopende monitering
  • Veranderings bestuur — Teken beplande en onbedoelde veranderinge aan met impakbepaling en versagtingsopsporing

Vrae & Antwoorde

Hoe gereeld moet privaatheidsrisiko-assesserings uitgevoer word?

Die standaard vereis assesserings met "beplande tussenposes" sonder om 'n frekwensie te spesifiseer. Die meeste organisasies doen jaarliks ​​'n omvattende hersiening, met bykomende assesserings wat veroorsaak word deur beduidende veranderinge. Die beplande interval moet as deel van u risikobepalingsmetodologie gedokumenteer word in Klousule 6.1.2 en moet proporsioneel wees tot die volume en sensitiwiteit van PII wat jy verwerk.

Wat tel as 'n "beduidende verandering" wat herevaluering veroorsaak?

Voorbeelde sluit in die bekendstelling van nuwe verwerkingsaktiwiteite of -stelsels, die verandering van subkontrakteurs of wolkverskaffers, die toetrede tot nuwe markte of jurisdiksies, regulatoriese veranderinge (soos nuwe databeskermingswette), organisatoriese herstrukturering, en sekuriteitsvoorvalle of data-oortredings. Jou risikobepalingsmetodologie moet kriteria definieer vir wat 'n beduidende verandering in jou konteks uitmaak.

Hoe beheer jy ekstern voorsiene prosesse?

Deur 'n kombinasie van kontraktuele beheermaatreëls (dataverwerkingsooreenkomste), behoorlike sorgvuldigheidsassesserings, deurlopende monitering en ouditregte. U moet 'n register van ekstern verskafde prosesse byhou, elke verskaffer se privaatheidsbeheermaatreëls assesseer, toepaslike kontraktuele klousules insluit en hul prestasie gereeld hersien. Sien die A.3 gedeelde beheermaatreëls vir spesifieke verskafferbestuurvereistes.

SaaS-platforms het spesifieke operasionele oorwegings — sien ons gids vir SaaS-platforms.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.