Hyppää sisältöön
ISMS.online

ISO 27701:2025 Ohjaus A.2.4.4: PII-vaihteiston ohjaus

Kontroli A.2.4.4 edellyttää organisaatioilta, että tiedonsiirtoverkkojen kautta siirrettävien henkilötietojen on oltava asianmukaisia ​​sen varmistamiseksi, että tiedot saavuttavat aiotun määränpäänsä. Tämä suojaa siirrettäviä henkilötietoja sieppaukselta, harhaanjohtamiselta ja vaarantumiselta.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.2.4.4 edellyttää?

Organisaation on sovellettava tiedonsiirtoverkon kautta lähetettyihin henkilötietoihin asianmukaisia ​​​​valvontatoimia, joiden tarkoituksena on varmistaa, että tiedot saavuttavat aiotun määränpäänsä.

Tämä ohjaus sijaitsee PII-käsittelijän hallintalaitteet liite (A.2) ja käsittelee henkilötietojen turvallisuutta siirron aikana. Aina kun henkilötietoja liikkuu verkkojen välillä, olipa kyseessä sitten käsittelijän ympäristön järjestelmien välinen suhde, käsittelijän ja rekisterinpitäjän välinen suhde tai käsittelijän ja alihankkijan välinen suhde, ne on suojattava sieppaukselta, muuttamiselta ja harhaanjohtamiselta.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.2.4.4) annetaan seuraavat ohjeet:

  • Kulunvalvonta — Varmista, että vain valtuutetuilla henkilöillä on pääsy siirtojärjestelmiin
  • Dokumentoidut prosessit — Noudata asianmukaisia ​​prosesseja, mukaan lukien tarkastustietojen säilyttäminen vaatimustenmukaisuuden osoittamiseksi
  • Rehellisyys ja toimitus — Varmista, että henkilötiedot välitetään vaarantamatta oikeille vastaanottajille
  • Sopimusvaatimukset — Siirtovaatimukset voidaan määrittää asiakassopimuksessa
  • Asiakasneuvonta — Jos sopimusvaatimuksia ei ole, organisaation tulisi pyytää neuvoa asiakkaalta ennen tiedonsiirtoa.
  • Katso myös A.2.3.2: Noudata henkilötietojen suojaa koskevien velvollisuuksien vaatimuksia asiaankuuluvia vaatimuksia varten
  • Katso myös A.2.4.2: Väliaikaistiedostot asiaankuuluvia vaatimuksia varten

Ohjeissa korostetaan, että tiedonsiirron valvonta ei ole pelkästään tekninen asia. Käsittelijän on varmistettava, että oikeat tiedot saavuttavat oikean vastaanottajan vaarantumatta matkan varrella. Tämä edellyttää salauksen, pääsynhallinnan, todennusmekanismien ja tarkastusketjujen yhdistelmää. Jos asiakkaalla on erityisiä tiedonsiirtovaatimuksia, ne tulisi dokumentoida sopimuksessa.

Miten tämä vastaa GDPR:ää?

Kontrolli A.2.4.4 vastaa seuraavaa GDPR artikkeli:

  • 5 artiklan 1 kohdan f alakohta — Tietojen eheys ja luottamuksellisuus — Henkilötietoja on käsiteltävä tavalla, joka varmistaa asianmukaisen turvallisuuden, mukaan lukien suojaamisen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta katoamiselta, tuhoutumiselta tai vahingoittumiselta, käyttäen asianmukaisia ​​teknisiä tai organisatorisia toimenpiteitä.

Eheyden ja luottamuksellisuuden periaate edellyttää, että henkilötietoja suojataan sekä siirron aikana että niiden ollessa tallessa. Henkilökohtaisten tietojen siirtäminen verkkojen kautta ilman asianmukaisia ​​suojaustoimia (kuten salausta) altistaa tiedot sieppaukselle ja vaarantumiselle, mikä rikkoo suoraan tätä periaatetta.

Täydellinen GDPR:n ja ISO 27701 -standardin välinen vastaavuus on lueteltu alla. GDPR-vaatimustenmukaisuusopas.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin laajemman lausekerakenteen sisällä. Vuoden 2025 painoksessa A.2.4.4 on oma erillisenä säädöksenä, ja sen toteutusohjeistusta on kohdassa B.2.4.4, joka käsittelee erityisesti siirtoverkkoihin pääsyä, tarkastustietojen säilytystä ja asiakassopimusten roolia siirtovaatimusten määrittelyssä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.2.4.4 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Salausstandardit — Todiste siitä, että henkilötiedot salataan lähetyksen aikana käyttämällä alan hyväksymiä protokollia (kuten TLS 1.2 tai uudempi siirrettävälle tiedolle)
  • Kulunvalvonta — Dokumentaatio, joka osoittaa, että vain valtuutetuilla henkilöillä ja järjestelmillä on pääsy tiedonsiirtomekanismeihin
  • Tarkastuspolut — Säilytetyt auditointitiedot, jotka osoittavat onnistuneen lähetyksen, mukaan lukien lähettäjä, vastaanottaja, aikaleima ja toimitusvahvistus
  • Sopimuseritelmät — Sopimuslausekkeet, joissa määritellään asiakkaan siirtovaatimukset, mukaan lukien salausstandardit, sallitut kanavat ja vastaanottajan varmennusmenettelyt
  • Tapahtumatietueet — Tiedot kaikista tiedonsiirtohäiriöistä tai tietoturvahäiriöistä, mukaan lukien perussyyanalyysi ja toteutetut korjaavat toimenpiteet

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.2.5.2 Henkilötietojen siirron peruste lainkäyttöalueiden välillä Rajat ylittävä tiedonsiirto edellyttää sekä teknisiä suojatoimia että oikeusperustaa
A.2.2.2 Asiakassopimus Tiedonsiirtovaatimukset tulee määritellä asiakassopimuksessa
A.2.4.3 Palautus, siirto tai hävittäminen Henkilötietojen palauttaminen asiakkaalle on tiedonsiirtomuoto, joka vaatii asianmukaisia ​​​​valvontatoimia.
A.3 Jaetut tietoturvakontrollit Verkkoturvallisuus ja kryptografiset hallintalaitteet tukevat tiedonsiirron turvallisuutta
A.2.5.3 Maat, joihin henkilötietoja siirretään Lähetysten määränpäät on dokumentoitava ja julkistettava

Ketä tämä valvonta koskee?

A.2.4.4 koskee yksinomaan PII-käsittelijätKäsittelijät lähettävät usein henkilötietoja osana toimintaansa, olipa kyse sitten tietojen vastaanottamisesta rekisterinpitäjiltä, ​​käsiteltyjen tulosten palauttamisesta, tietojen jakamisesta alihankkijoiden kanssa tai tietojen replikoinnista järjestelmien välillä. Jokainen näistä siirtopisteistä edustaa mahdollista riskiä. Tämä valvonta varmistaa, että käsittelijät toteuttavat asianmukaiset suojatoimet kaikille siirrettäville henkilötiedoille.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online PII-lähetyksen ohjaimille?

ISMS.online tarjoaa käytännön työkaluja PII-siirron turvallisuuden hallintaan:

  • Käytäntöasiakirjat — Dokumentoi tiedonsiirtotietoturvakäytäntösi, mukaan lukien salausstandardit, sallitut kanavat ja käyttöoikeuksien hallinta, versionhallinta ja tarkistusaikataulutus mukaan lukien
  • Omaisuuden kartoitus — Kartoittaa henkilötietojen siirtoon liittyvät tietovirrat, tunnistaa lähettäjän ja vastaanottajan järjestelmät, siirtomenetelmät ja kuhunkin sovellettavat valvontakeinot
  • Sopimusten hallinta — Seuraa asiakaskohtaisia ​​lähetysvaatimuksia vakiovalvontatoimenpiteiden ohella ja varmista sopimusvelvoitteiden täyttyminen
  • Tapahtumien hallinta — Kirjaa ja hallinnoi tiedonsiirtoturvallisuuspoikkeamia analysoimalla niiden perimmäisiä syitä, tekemällä korjaavia toimenpiteitä ja opittua
  • Tarkastusevidenssi — Säilytä tiedonsiirron tarkastustietoja, salausvarmenteita ja käyttöoikeustietoja jäsenneltynä todisteena sisäisiä ja ulkoisia tarkastuksia varten

UKK

Mitä salausstandardeja tulisi käyttää henkilötietojen siirrossa?

Standardi ei määrää tiettyjä salausprotokollia, mutta nykyinen paras käytäntö edellyttää TLS 1.2:ta tai uudempaa verkkojen kautta siirrettävälle tiedolle. Sähköpostin lähetyksessä kannattaa harkita S/MIME- tai PGP-salausta. Tiedostonsiirrossa käytetään SFTP:tä tai SCP:tä salaamattoman FTP:n sijaan. API-tiedonsiirrossa on käytettävä HTTPS:ää ja varmenteen validointia. Erityisvaatimukset voidaan määritellä myös asiakassopimuksessa tai sovellettavissa tietosuojamääräyksissä.

Entä jos asiakas ei määritä lähetysvaatimuksia?

Liitteessä B olevien ohjeiden mukaan organisaation tulisi pyytää neuvoa asiakkaalta ennen lähetystä, jos sopimusvaatimuksia ei ole. Käytännössä tämä tarkoittaa asiakkaan ennakoivaa kuulemista heidän suosimistaan ​​lähetysmenetelmistä, salausvaatimuksista ja vastaanottajan varmennusmenettelyistä. Tämän kuulemisen ja sovitun lähestymistavan dokumentointi suojaa molempia osapuolia ja osoittaa tilintarkastajille hyvän käytännön.

Koskeeko tämä rajoitus sisäisen verkon tiedonsiirtoa?

Kyllä. Valvonta koskee henkilötietoja, joita lähetetään minkä tahansa tiedonsiirtoverkon, myös sisäisten verkkojen, kautta. Vaikka ulkoisiin tietoihin liittyy tyypillisesti suurempi riski, myös sisäisen verkon liikennettä voidaan siepata, erityisesti jaetuissa tai pilviympäristöissä. Paras käytäntö on salata henkilötiedot siirron aikana riippumatta siitä, onko verkko sisäinen vai ulkoinen, ja ottaa käyttöön verkon segmentointi ja käyttöoikeuksien hallinta altistumisen rajoittamiseksi.

Katso tarkastusevidenssivaatimusten opas käsittelijäkohtaisten tilintarkastajien vaatimien todisteiden osalta.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.