Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin A.3.20 mukainen valvonta: Tallennusvälineet

Kontrolli A.3.20 edellyttää organisaatioilta henkilötietoja sisältävien tallennusvälineiden hallintaa koko niiden elinkaaren ajan hankinnasta hävittämiseen luokittelujärjestelmänsä ja käsittelyvaatimustensa mukaisesti.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.20 edellyttää?

Henkilötietoja sisältäviä tallennusvälineitä on hallinnoitava niiden elinkaaren aikana – hankinta, käyttö, kuljetus ja hävittäminen – organisaation luokittelujärjestelmän ja käsittelyvaatimusten mukaisesti.

Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja käsittelee kaikkien henkilötietoja tallentavien fyysisten tai siirrettävien tallennusvälineiden koko elinkaarta. Toisin kuin puhtaasti digitaaliset turvatoimet, A.3.20 keskittyy tallennusvälineiden katoamisen, varastamisen, sieppaamisen tai virheellisen hävittämisen konkreettisiin riskeihin niiden matkan organisaatiossa jokaisessa vaiheessa.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liite B (kohta B.3.20) tarjoaa kattavat ohjeet useille keskeisille alueille:

  • Dokumentoi kaikki siirrettävien tietovälineiden käyttö — Organisaation tulisi dokumentoida henkilötietojen tallentamiseen tarkoitettujen siirrettävien tallennusvälineiden tai laitteiden käyttö ja luoda tarkastettava tietue siitä, mitä tallennusvälineitä on olemassa ja missä niitä käytetään.
  • Salaa aina kun mahdollista — Henkilötietojen tallentamiseen käytettyjen siirrettävien fyysisten tallennusvälineiden tai laitteiden tulisi sallia salaus. Salaamattomia tallennusvälineitä tulisi käyttää vain silloin, kun se on välttämätöntä, ja riskien minimoimiseksi tulisi käyttää korvaavia suojatoimia, kuten sinettipakkauksia.
  • Turvalliset hävitysmenettelyt — Jos henkilötietoja sisältävää siirrettävää tallennusvälinettä hävitetään, on dokumentoitava ja toteutettava turvalliset hävitysmenettelyt sen varmistamiseksi, että aiemmin tallennettuihin henkilötietoihin ei päästä käsiksi.
  • Fyysisen median siirron hallintalaitteet — Järjestelmän tulisi tallentaa saapuvat ja lähtevät fyysiset tallennusvälineet, jotka sisältävät henkilökohtaisia ​​tunnistetietoja, mukaan lukien tallennusvälineen tyyppi, valtuutettu lähettäjä, valtuutetut vastaanottajat, päivämäärä ja kellonaika sekä tallennusvälineen määrä.
  • Salaus kuljetuksen aikana — Mahdollisuuksien mukaan lisätoimenpiteillä, kuten salauksella, tulisi varmistaa, että tietoihin pääsee käsiksi vain määränpäässä, ei siirron aikana.
  • Valtuutus ennen tiloista poistumista — Henkilötietoja sisältävien fyysisten tallennusvälineiden on läpäistävä valtuutusmenettely ennen kuin ne poistuvat organisaation tiloista. Näin varmistetaan, että henkilötietoja ei ole kenenkään muun kuin valtuutetun henkilöstön saatavilla.

Ohjeistuksessa korostetaan, että organisaation fyysisten tilojen ulkopuolelle viedyt siirrettävät tallennusvälineet ovat erityisen alttiita katoamiselle, vahingoittumiselle ja luvattomalle käytölle. Siirrettävien tallennusvälineiden salaaminen lisää kriittisen suojakerroksen, joka vähentää sekä tietoturva- että yksityisyysriskejä, jos tallennusväline vaarantuu.

Miten tämä vastaa GDPR:ää?

Kontrolli A.3.20 vastaa seuraavaa GDPR artikkeleita:

  • 5 artiklan 1 kohdan f alakohta — Eheyden ja luottamuksellisuuden periaate, joka edellyttää asianmukaista turvallisuutta, mukaan lukien suojaus luvattomalta käsittelyltä ja vahingossa tapahtuvalta katoamiselta
  • 32 artikla (1) a) — Vaatimus asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta, mukaan lukien henkilötietojen pseudonymisointi ja salaus

GDPR:n nimenomainen maininta salauksesta artiklassa 32(1)(a) on suoraan linjassa A.3.20:n painotuksen kanssa irrotettavien tallennusvälineiden salaamisesta aina kun se on mahdollista.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tämä vaatimus jaettiin kohtiin 6.5.3.1 (irrotettavien tietovälineiden hallinta), 6.5.3.2 (tietovälineiden hävittäminen), 6.5.3.3 (fyysisten tietovälineiden siirto) ja 6.8.2.5. Vuoden 2025 painos yhdistää kaikki nämä yhdeksi säännöksi A.3.20, mikä tarjoaa yhtenäisemmän elinkaarikuvan tallennusvälineiden hallinnasta. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.20 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Mediavarasto — Rekisteri kaikista henkilötietojen tallentamiseen käytetyistä siirrettävistä ja kannettavista tallennusvälineistä, mukaan lukien tallennusvälineen tyyppi, omistaja, luokitustaso ja fyysinen sijainti
  • Salauskäytäntö ja todisteet — Käytäntö, joka edellyttää henkilötietoja sisältävien siirrettävien tallennusvälineiden salaamista, ja todisteet siitä, että salausta noudatetaan (esim. BitLocker, laitteistosalatut USB-asemat)
  • Siirtoloki — Fyysisten tallennusvälineiden siirtojen tiedot, joista käyvät ilmi lähettäjä, vastaanottaja, valtuutus, päivämäärä ja tallennusvälineen tyyppi
  • Hävitystiedot — Käytöstä poistettujen tietovälineiden tuhoamistodistukset tai turvallisen hävittämisen lokit
  • Lupamenettelyt — Dokumentoitu prosessi henkilötietoja sisältävien tallennusvälineiden poistamisen hyväksymiseksi organisaation tiloista

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.5 Tietojen luokittelu Median käsittelyvaatimukset määräytyvät sen sisältämien henkilötietojen luokituksen mukaan.
A.3.6 Tietojen merkitseminen Tallennusvälineet tulee merkitä niiden luokitustason mukaisesti
A.3.21 Turvallinen hävittäminen tai uudelleenkäyttö Tallennusvälineitä sisältävien laitteiden hävittämisessä on noudatettava turvallisia menettelyjä.
A.3.26 Salauksen käyttö Median salausvaatimuksia säätelee kryptografiakäytäntö.
A.3.7 Tiedonsiirto Fyysinen tiedonsiirto on yksi tiedonsiirron muoto, jota kattaa A.3.7 Tiedonsiirto

Ketä tämä valvonta koskee?

A.3.20 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Organisaatioiden, jotka käyttävät fyysisiä tai irrotettavia tallennusvälineitä henkilötietojen tallentamiseen, on hallittava kyseisiä tallennusvälineitä koko niiden elinkaaren ajan. Tämä on erityisen tärkeää organisaatioille, jotka siirtävät henkilötietoja irrotettavien tallennusvälineiden kautta toimipaikkojen välillä, kolmansille osapuolille tai asiakkaille.



ISMS.onlinen tehokas kojelauta

Aloita helposti henkilökohtaisella tuote-esittelyllä

Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.

Varaa esittelysi


Miksi valita ISMS.online tallennusvälineiden hallintaa varten?

ISMS.online tarjoaa käytännön työkaluja henkilökohtaisia ​​tietoja sisältävien tallennusvälineiden hallintaan:

  • Omaisuusrekisteri — Ylläpidä keskitettyä luetteloa kaikista tallennusvälineistä, jotka on linkitetty luokittelutasoihin, omistajiin ja fyysisiin sijainteihin, ja seuraa elinkaarta hankinnasta hävittämiseen
  • Siirrä työnkulut — Kirjaa ja valtuuta fyysisten tallennusvälineiden siirrot hyväksyntätyönkulkujen avulla varmistaen, että jokainen siirto kirjataan ja että se on auditoitavissa
  • Hävityksen seuranta — Kirjaa turvallisesti hävitystapahtumat tuhoamistodistuksin, jotka on linkitetty suoraan omaisuusrekisteriin täydellisen jäljitettävyyden takaamiseksi
  • Politiikan hallinta — Julkaise ja jaa tallennusvälinekäytäntöjä kuittausten seurannalla, jotta voit osoittaa henkilöstön ymmärtävän vaatimukset
  • Auditointitodistepaketit — Luo A.3.20-standardia varten valmiita todistusaineistopaketteja, jotka kokoavat yhteen medialuettelosi, siirtolokisi, hävitystietueesi ja käytäntöjen vahvistukset

UKK

Mitä pidetään tallennusvälineinä tässä valvonnassa?

Tallennusvälineisiin kuuluvat kaikki fyysiset laitteet, joihin voidaan tallentaa tietoja: USB-muistitikut, ulkoiset kiintolevyt, SD-kortit, optiset levyt (CD-, DVD- ja Blu-ray-levyt), magneettinauhat, SSD-levyt ja jopa paperitiedostot. Valvonta kattaa sekä irrotettavat tallennusvälineet että kannettaviin laitteisiin, kuten kannettaviin tietokoneisiin, sisäänrakennetut tallennusvälineet. Jos tallennusväline voi tallentaa henkilötietoja ja se voidaan viedä organisaation tiloista, se kuuluu A.3.20 kohdan soveltamisalaan.

Onko salaus pakollinen kaikille siirrettäville tallennusvälineille?

Ohjeistuksessa todetaan, että salausta tulisi käyttää aina kun se on mahdollista. Salaamatonta tallennusvälinettä tulisi käyttää vain silloin, kun se on välttämätöntä, ja korvaavia suojaustoimenpiteitä on oltava käytössä. Käytännössä nykyaikaiset laitteistopohjaiset USB-asemat ja koko levyn salaustyökalut mahdollistavat salauksen lähes kaikissa tilanteissa. Tilintarkastajat odottavat selkeää perustelua kaikille tapauksille, joissa salausta ei käytetä.

Miten organisaatioiden tulisi käsitellä pilvitallennusta tämän valvonnan alaisena?

A.3.20 keskittyy erityisesti fyysisiin ja siirrettäviin tallennusvälineisiin pilvitallennuksen sijaan. Pilvitallennusta käsitellään muilla säännöillä, kuten A.3.10 Toimittajasopimukset (toimittajasopimukset) ja A.3.7 Tiedonsiirto (tiedonsiirto). Jos tietoja kuitenkin ladataan pilvitallennustilasta siirrettävälle tallennusvälineelle, kyseinen tallennusväline kuuluu välittömästi A.3.20 kohdan soveltamisalaan ja sitä on hallinnoitava sen mukaisesti.

Tallenna tämä ohjausobjekti muistiisi Ilmoitus soveltuvuudesta toteutustapojesi kanssa.

Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.