ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Sikre sikre informasjonsoverføringer: ISO 27701 klausul 6.10.2 forklart
Informasjon er ofte på sitt mest sårbare når den overføres fra et sted til et annet – enten fysisk, digitalt eller verbalt.
Organisasjoner må ivareta PII som er under transport, og gi ansatte og leverandører et klart sett med retningslinjer for hvordan de skal oppføre seg når de flytter informasjon fra en kilde til en annen.
Hva dekkes av ISO 27701 klausul 6.10.2
ISO 27701 klausul 6.10.2 inneholder 4 underklausuler som tar for seg personvern innenfor omfanget av informasjonsoverføringer. Hver underklausul er avhengig av veiledningsinformasjon fra ISO 27002:
- ISO 27701 6.10.2.1 – retningslinjer og prosedyrer for informasjonsoverføring (ISO 27002 kontroll 5.14).
- ISO 27701 6.10.2.2 – Avtaler for informasjonsoverføring (ISO 27002 Kontroll 5.14).
- ISO 27701 6.10.2.3 – Elektroniske meldinger (ISO 27002 kontroll 5.14).
- ISO 27701 6.10.2.4 – Konfidensialitet eller taushetserklæring (ISO 27002 kontroll 6.6).
To underklausuler inneholder veiledning som gjelder i Storbritannia GDPR lovgivning – (klausuler 6.10.2.1 og 6.10.2.4), uten ytterligere PIMS eller PII-relatert veiledning som tilbys utenom de generelle veiledningspunktene som allerede er oppgitt.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.10.2.1 – retningslinjer og prosedyrer for informasjonsoverføring
Referanser ISO 27002 Kontroll 5.14
Informasjonsoverføringsoperasjoner bør:
- Fokuser på kontroller som forhindrer avlytting, uautorisert tilgang, kopiering, modifisering, feilruting, ødeleggelse og nektelse av tjeneste av PII og personvernrelatert informasjon (se ISO 27002 Kontroll 8.24).
- Sørg for at informasjonen er sporbar.
- Kategoriser en liste over kontakter – dvs. eiere, risikoeiere osv.
- Skissere ansvar i tilfelle en sikkerhetshendelse.
- Inkluder klare og konsise merkesystemer (se ISO 27002 kontroll 5.13).
- Sikre en pålitelig overføringsmulighet, inkludert emnespesifikke retningslinjer for overføring av data (se ISO 27002 kontroll 5.10).
- Skisser retningslinjer for oppbevaring og avhending, inkludert eventuelle region- eller sektorspesifikke lover og retningslinjer.
Elektronisk overføring
Når organisasjoner bruker elektroniske overføringsfasiliteter, bør:
- Forsøk å oppdage og beskytte mot skadelige programmer (se ISO 27002 kontroll 8.7).
- Fokuser på å beskytte vedlegg.
- Vær nøye med å sende informasjon til riktig adresse.
- Mandat for en godkjenningsprosess, før ansatte kan overføre informasjon via 'eksterne offentlige tjenester' (f.eks. direktemeldinger), og utøve større kontroll over slike metoder.
- Unngå å bruke SMS-tjenester og faksmaskiner, der det er mulig.
Fysiske overføringer (inkludert lagringsmedier)
Ved overføring av fysiske medier (inkludert papirdokumenter) mellom lokaler eller eksterne lokasjoner, bør organisasjoner:
- Skisser tydelig ansvar for forsendelse og mottak.
- Vær nøye med å legge inn riktig adresseinformasjon.
- Bruk emballasje som gir beskyttelse mot fysisk skade eller tukling.
- Operer med en liste over autoriserte kurerer og tredjepartssender, inkludert robuste identifikasjonsstandarder.
- Hold grundige logger over alle fysiske overføringer, inkludert mottakerdetaljer, datoer og klokkeslett for overføringer og eventuelle fysiske beskyttelsestiltak.
Verbal overføringer
Verbal formidling av sensitiv informasjon utgjør en unik sikkerhetsrisiko, spesielt når det gjelder PII og personvern.
Organisasjoner bør minne ansatte om å:
- Unngå å ha slike samtaler på et offentlig sted, eller usikret internt sted.
- Unngå å legge igjen talepostmeldinger som inneholder sensitiv eller begrenset informasjon.
- Sørg for at personen de snakker med er på et passende nivå for å motta nevnte informasjon, og informer dem om hva som kommer til å bli sagt før du avslører informasjon.
- Vær oppmerksom på omgivelsene og sørg for at romkontrollene overholdes.
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
ISO 27701 klausul 6.10.2.2 – Avtaler for informasjonsoverføring
Referanser ISO 27002 Kontroll 5.14
Se ISO 27701 klausul 6.10.2.1
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.10.2.3 – Elektronisk meldinger
Referanser ISO 27002 Kontroll 5.14
Se ISO 27701 klausul 6.10.2.1
ISO 27701 klausul 6.10.2.4 – Konfidensialitet eller taushetserklæring
Referanser ISO 27002 Kontroll 6.6
Organisasjoner bør bruke taushetserklæringer (NDAer) og konfidensialitetsavtaler for å beskytte forsettlig eller utilsiktet avsløring av sensitiv informasjon til uautorisert personell.
Når organisasjoner utarbeider, implementerer og vedlikeholder slike avtaler, bør:
- Gi en definisjon av informasjonen som skal beskyttes.
- Angi tydelig forventet varighet av avtalen.
- Angi tydelig eventuelle nødvendige handlinger når en avtale er avsluttet.
- Eventuelle forpliktelser som er avtalt av bekreftede underskrivere.
- Eierskap til informasjon (inkludert IP og forretningshemmeligheter).
- Hvordan underskrivere har lov til å bruke informasjonen.
- Beskriv tydelig organisasjonens rett til å overvåke konfidensiell informasjon.
- Eventuelle konsekvenser som vil oppstå av manglende overholdelse.
- Gjennomgå regelmessig deres behov for konfidensialitet, og justere eventuelle fremtidige avtaler deretter.
Konfidensialitetslover varierer fra jurisdiksjon til jurisdiksjon, og organisasjoner bør vurdere sine egne juridiske og regulatoriske forpliktelser når de utarbeider NDAer og konfidensialitetsavtaler (se ISO 27002 kontroller 5.31, 5.32, 5.33 og 5.34).
Gjeldende GDPR-artikler
- Artikkel 5 – (1)
- Artikkel 25 – (1)(f)
- Artikkel 28 – (3)(b)
- Artikkel 38 – (5)
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.10.2.1 | Retningslinjer og prosedyrer for informasjonsoverføring |
5.14 – Informasjonsoverføring for ISO 27002 |
Artikkel (5) |
| 6.10.2.2 | Avtaler for informasjonsoverføring |
5.14 – Informasjonsoverføring for ISO 27002 |
none |
| 6.10.2.3 | Elektroniske meldinger |
5.14 – Informasjonsoverføring for ISO 27002 |
none |
| 6.10.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.6 – Konfidensialitet eller taushetserklæring for ISO 27002 |
Artikkel (5), (25), (28), (38) |
Hvordan ISMS.online hjelper
Enten du akkurat har begynt å se på personvern, eller en ekspert som ønsker å integrere flere standarder og forskrifter, er funksjonene våre enkle å bruke, og du vil gjøre fremskritt med en gang du logger på.
- Innebygd risikobank
- ROPA gjort enkelt
- Sikre plass for DRR
Finn ut mer av bestille en demo.
