Wat vereis Klausule 9?
Klausule 9 is die "Kontroleer"-fase van die Beplan-Doen-Kontroleer-Optree-siklus. Dit bepaal hoe u organisasie die prestasie en doeltreffendheid van die Privaatheidsinligtingbestuurstelsel (PIMS) evalueer deur middel van drie meganismes: monitering en meting, interne oudit en bestuursoorsig.
Interne oudits beoordeel ooreenstemming teenoor die Bylae A kontroles en vereistes vir die bestuurstelsel.
9.1 Monitering, meting, ontleding en evaluering
Die organisasie sal bepaal:
- Wat gemonitor en gemeet moet word — Insluitend privaatheidsprosesse, beheermaatreëls en doelwitte
- Die metodes — Vir monitering, meting, analise en evaluering om geldige resultate te verseker
- Wanneer — Die monitering en meting moet uitgevoer word
- Wanneer — Die resultate moet geanaliseer en geëvalueer word
Die organisasie moet gedokumenteerde inligting as bewys van die resultate behou. Doeltreffende monitering gaan verder as blote nakomingskontrole. Dit moet bepaal of privaatheidsbeheermaatreëls hul beoogde uitkomste bereik en of die PIMS as geheel die verlangde privaatheidsprestasie lewer.
Algemene statistieke sluit in:
- Reaksietye en voltooiingsyfers van versoeke vir data-onderwerpe
- Aantal privaatheidsvoorvalle, ernsvlakke en oplossingstye
- Opleidingsvoltooiingsyfers en bewustheidsassesseringstellings
- Vordering van die implementering van risikobehandelingsplan
- Resultate van die verskaffer se nakomingsassessering
- Voltooiingskoerse vir privaatheidsimpakbepaling vir nuwe verwerkingsaktiwiteite
9.2 Interne oudit
9.2.1 Algemeen
Die organisasie moet interne oudits met beplande tussenposes uitvoer om inligting te verskaf oor of die PIMS:
- Voldoen aan die organisasie se eie vereistes vir sy PIMS
- Voldoen aan die vereistes van ISO 27701:2025
- Word effektief geïmplementeer en in stand gehou
9.2.2 Interne ouditprogram
Die organisasie moet 'n ouditprogram beplan, vestig, implementeer en in stand hou, insluitend:
- Frekwensie — Ouditintervalle (gewoonlik jaarliks vir 'n volle siklus, met meer gereelde geteikende oudits)
- Metodes — Hoe oudits uitgevoer sal word (dokumenthersiening, onderhoude, waarneming, toetsing)
- Verantwoordelikhede — Wie sal die oudits uitvoer (moet objektief en onpartydig wees)
- Beplanningsvereistes — Oorweging van die belangrikheid van die betrokke prosesse en die resultate van vorige oudits
- Kriteria en omvang — Wat word geouditeer en teen watter vereistes
- Verslagdoening — Resultate moet aan die betrokke bestuur gerapporteer word
Die ouditprogram en -resultate moet as gedokumenteerde inligting bewaar word.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
9.3 Bestuursoorsig
9.3.1 Algemeen
Topbestuur moet die PIMS met beplande tussenposes hersien om die voortgesette geskiktheid, toereikendheid en doeltreffendheid daarvan te verseker.
9.3.2 Bestuursoorsig-insette
Die bestuursoorsig moet die volgende insluit:
- Die status van aksies van vorige bestuursoorsigte
- Veranderinge in eksterne en interne kwessies wat relevant is vir die PIMS
- Veranderinge in behoeftes en verwagtinge van belanghebbende partye wat relevant is vir die PIMS
- Inligting oor PIMS-prestasie, insluitend tendense in nie-ooreenstemming en korrektiewe aksies, moniterings- en meetresultate, en ouditresultate
- Geleenthede vir voortdurende verbetering
9.3.3 Resultate van bestuursoorsig
Die uitsette van die bestuursoorsig moet besluite en aksies insluit wat verband hou met:
- Voortdurende verbeteringsgeleenthede
- Enige behoefte aan veranderinge aan die PIMS
Gedokumenteerde inligting moet bewaar word as bewys van bestuursoorsigresultate. Hierdie rekords toon dat topbestuur aktief betrokke is by die toesig oor die PIMS, 'n sleutelvereiste wat ouditeure noukeurig sal ondersoek.
Hoe hou dit verband met GDPR?
- Artikel 5 (2) — Die aanspreeklikheidsbeginsel vereis die demonstrasie van nakoming, wat monitering en oudit direk ondersteun
- Artikel 39 (1) (b) — DPO-monitering van nakoming stem ooreen met die vereistes van die interne ouditprogram
- Artikel 32(1)(d) — 'n Proses vir die gereelde toetsing, assessering en evaluering van die doeltreffendheid van maatreëls, direk ondersteun deur Klousule 9
- Artikel 24 — Verantwoordelikheid van die beheerder om maatreëls te hersien en op te dateer waar nodig, ondersteun deur bestuursoorsig
Vir die volledige kartering, sien die GDPR-nakomingsgids.
Wat het verander van ISO 27701:2019?
- Selfstandige vereistes — In 2019 het Klausule 5.7 ISO 27001 Klausule 9 aangevul. Nou is die prestasie-evalueringsvereistes volledig en selfstandig.
- Privaatheidspesifieke insette — Bestuursoorsig-insette sluit nou eksplisiet PIMS-prestasie-inligting en tendense in nie-ooreenstemming, moniteringsresultate en ouditresultate in.
- Duideliker ouditomvang — Interne oudits word eksplisiet gefokus op PIMS-konformiteit en -effektiwiteit eerder as om 'n ISMS-ouditprogram uit te brei.
- Gestruktureerde hersieningsinsette — Die bestuursoorsig-insette is meer gedetailleerd, met spesifieke items eerder as algemene verwysings na ISO 27001-insette.
Vir 'n breër oorsig, sien wat is nuut in ISO 27701:2025.
Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Watter bewyse verwag ouditeure?
- Moniteringsrekords — Dashboards, verslae of logboeke wat wys wat gemonitor word en die resultate oor tyd
- Ouditprogram — 'n Beplande skedule van interne oudits wat alle PIMS-vereistes oor die ouditsiklus dek
- Ouditverslae — Voltooide ouditverslae met bevindinge, nie-ooreenstemmings en waarnemings
- Ouditeur onafhanklikheid — Bewyse dat ouditeure nie hul eie werk geoudit het nie
- Bestuur hersien notule — Rekords wat toon dat alle vereiste insette oorweeg is en besluite geneem is
- Aksieopsporing — Bewyse dat aksies uit bestuursoorsigte en oudits tot voltooiing gevolg word
- Tendense-analise — Bewyse dat moniteringsdata vir tendense geanaliseer word, nie net as geïsoleerde datapunte hersien word nie
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Verwante klousules
| klousule | Verhoudings |
|---|---|
| Klousule 5: Leierskap | Bestuursbeoordeling is waar topbestuur sy leierskapsverbintenis in die praktyk uitoefen |
| Klousule 6: Beplanning | Privaatheidsdoelwitte (6.2) word gemonitor vir bereiking; risikobepalingsresultate word in bestuursoorsig ingevoer |
| Klousule 8: Werking | Operasionele prosesse is onderhewig aan monitering en interne ouditering |
| Klousule 10: Verbetering | Ouditbevindinge en hersieningsuitsette word direk in die korrektiewe aksie- en verbeteringsproses ingevoer. |
Sien ook Klousule 4 (Konteks) vir konteks en Klousule 7 (Ondersteuning) vir ondersteunende hulpbronne.
Hoekom kies ISMS.aanlyn vir voldoening aan Klousule 9?
ISMS.aanlyn bied geïntegreerde gereedskap vir die evaluering van PIMS-prestasie:
Vir sertifiseringbeplanning, sien die losstaande sertifiseringsgids.
- Prestasie-kontroleskerms — Monitering van belangrike privaatheidsmaatstawwe in reële tyd met tendensanalise en waarskuwings
- Interne ouditbestuur — Beplan, skeduleer en voer oudits uit met sjablone, vindopsporing en bewysinsameling
- Bestuursoorsig templates — Gestruktureerde agendas wat alle vereiste insette dek, met aksieopsporing en notule-opname
- Korrektiewe aksie-opsporing — Koppel ouditbevindinge en hersieningsaksies aan regstellende aksie-werkvloeie met eienaartoewysing en sperdatums
- Verslagdoening — Genereer prestasieverslae vir bestuursoorsiginsette en sertifiseringsouditbewyse
Vrae & Antwoorde
Hoe gereeld moet bestuursbeoordelings uitgevoer word?
Die standaard vereis hersienings met "beplande tussenposes" sonder om 'n frekwensie te spesifiseer. Die meeste organisasies doen ten minste jaarliks bestuursoorsigte, met baie wat kies vir kwartaallikse hersienings, veral in die eerste jaar van implementering. Die frekwensie moet gepas wees vir die volwassenheid van jou PIMS en die tempo van verandering in jou privaatheidslandskap. Watter interval jy ook al kies, dit moet gedokumenteer en konsekwent gevolg word.
Kan interne oudits deur interne personeel uitgevoer word?
Ja, mits hulle objektief en onpartydig is. Die belangrikste vereiste is dat ouditeure nie hul eie werk oudit nie. In die praktyk beteken dit dat die persoon wat verantwoordelik is vir die implementering van 'n spesifieke beheermaatreël of proses nie die een moet wees wat dit oudit nie. Kleiner organisasies moet dalk eksterne ouditeure vir sommige areas gebruik om onafhanklikheid te handhaaf. Ouditeure moet ook oor toepaslike bevoegdheid in privaatheidsbestuur en oudittegnieke beskik.
Watter privaatheidsmaatstawwe moet gemonitor word?
Begin met statistieke wat betekenisvol is vir u organisasie en haalbaar is om in te samel. Algemene voorbeelde sluit in die volumes en reaksietye van data-onderwerpversoeke, privaatheidsvoorvalkoerse en oplossingstye, persentasies van opleidingsvoltooiing, vordering met risikobehandelingsplan, voltooiingsyfers van verskafferassessering en afsluitingsyfers van ouditbevindinge. Die statistieke moet ontwikkel soos u PIMS volwasse word, en beweeg van basiese voldoeningsstatistieke na doeltreffendheids- en uitkomsgebaseerde maatstawwe.
Verstaan die volledige sertifiseringsouditproses in ons gids: Wat om te verwag tydens u ISO 27701:2025-oudit.
ons gids vir vereistes vir ouditbewyse gee presies besonderhede oor watter dokumentasie ouditeure vir elke klousule-area verwag.
Die keuse van die regte ouditeur is belangrik — sien hoe om 'n sertifiseringsliggaam te kies.
