Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin A.3.22 mukainen valvonta: Käyttäjän päätelaitteet

Kontroli A.3.22 edellyttää organisaatioilta, että ne suojaavat käyttäjien päätelaitteille tallennettuja, niiden käsittelemiä tai niiden kautta saatavilla olevia henkilötietoja. Tämä jaettu valvonta puuttuu kasvavaan riskiin, jonka aiheuttavat kannettavat tietokoneet, älypuhelimet, tabletit ja muut kannettavat laitteet, joita käytetään henkilötietojen käyttämiseen.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.22 edellyttää?

Käyttäjän päätelaitteille tallennetut, niiden käsittelemät tai niiden kautta saatavilla olevat henkilötiedot on suojattava.

Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja käsittelee yhtä merkittävimmistä riskialueista nykyaikaisessa henkilötietojen käsittelyssä: päätelaitteita. Kannettavat tietokoneet, älypuhelimet, tabletit ja muut kannettavat laitteet luovat laajan ja hajautetun hyökkäyspinnan. Ne voidaan kadottaa tai varastaa, niitä voidaan käyttää suojaamattomissa verkoissa, jakaa luvattomien henkilöiden kanssa tai haittaohjelmat voivat vaarantaa ne. A.3.22 edellyttää organisaatioilta, että ne ottavat käyttöön suojaustoimenpiteitä, jotka suojaavat henkilötietoja riippumatta siitä, missä ja miten päätelaitteita käytetään.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.3.22) annetaan seuraavat ohjeet:

  • Estä mobiililaitteen vaarantuminen — Organisaation tulee varmistaa, että mobiililaitteiden käyttö ei johda henkilötietojen vaarantumiseen
  • Katso myös A.3.24: Tietojen varmuuskopiointi asiaankuuluvia vaatimuksia varten
  • Katso myös A.3.25: Lokikirjaus asiaankuuluvia vaatimuksia varten

Vaikka käyttöönotto-ohjeet ovat ytimekkäät, valvonnan laajuus on laaja. Päätelaitteissa olevien henkilötietojen suojaaminen edellyttää teknisten toimenpiteiden (salaus, etätyhjennys, näytön lukitus), käytäntöjen (hyväksyttävä käyttö, BYOD-säännöt) ja tietoisuustoimenpiteiden (henkilökunnan kouluttaminen laitteen turvalliseen käyttöön) yhdistelmää. Valvonta koskee kaikkia kolmea tilannetta: laitteelle paikallisesti tallennettuja henkilötietoja, laitteen aktiivisesti käsittelemiä henkilötietoja ja laitteen kautta etänä saatavilla olevia henkilötietoja.

Miten tämä vastaa GDPR:ää?

Kontrolli A.3.22 vastaa seuraavaa GDPR artikkeli:

  • 5 artiklan 1 kohdan f alakohta — Eheyden ja luottamuksellisuuden periaate, joka edellyttää henkilötietojen asianmukaista turvallisuutta, mukaan lukien suojaaminen luvattomalta tai laittomalta käsittelyltä ja vahingossa tapahtuvalta katoamiselta

Kadonneet tai varastetut laitteet ovat yksi yleisimmin ilmoitetuista tietomurtotyypeistä GDPRVankan päätepisteiden suojauksen toteuttaminen on käytännöllinen ja osoitettavissa oleva tapa täyttää 5(1)(f) artiklan vaatimukset.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.8.2.8 (valvomattomat käyttäjälaitteet). Vuoden 2025 painos yhdistää nämä kohtaan A.3.22, laajentaen soveltamisalaa mobiililaitteista erityisesti kaikkiin käyttäjien päätelaitteisiin. Tämä heijastaa sitä tosiasiaa, että mobiilien ja kiinteiden päätelaitteiden välinen ero on menettänyt merkitystään. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.22 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Päätepisteen suojauskäytäntö — Dokumentoitu käytäntö, joka kattaa hyväksyttävän käytön, salausvaatimukset, näytön lukitusasetukset, korjauspäivitysten hallinnan ja etätyhjennysominaisuudet kaikissa laitetyypeissä
  • Mobiililaitteiden hallinta (MDM) — Todiste siitä, että keskitetty MDM- tai päätepisteiden hallintaratkaisu on käytössä ja että konfiguraatioprofiilit valvovat tietoturvan perusvaatimuksia
  • Koko levyn salaus — Todiste siitä, että kaikissa henkilötietoja sisältävissä päätepisteissä on käytössä koko levyn salaus (esim. BitLocker, FileVault tai laitekohtainen salaus)
  • Etätyhjennysmahdollisuus — Osoitettu kyky etäpyyhintä tai lukita kadonneet tai varastetut laitteet
  • BYOD-säätimet — Jos henkilökohtaisten laitteiden käyttö työssä on sallittua, on laadittava BYOD-käytäntö, jossa määritellään turvallisuusvaatimukset, säilöinti ja organisaation oikeus pyyhkiä yritystietoja.

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.19 Tyhjä työpöytä ja selkeä sermi Päätelaitteiden näytön lukitusvaatimukset toteuttavat selkeät näytön säännöt
A.3.23 Suojattu todennus Todennustyökalut suojaavat pääsyä henkilötietoihin päätelaitteiden kautta
A.3.26 Salauksen käyttö Päätepisteiden tallennuksen salaus on keskeinen suojaustoimenpide
A.3.20 Tallennusvälineet Päätepisteiden kanssa käytettävien siirrettävien tallennusvälineiden on noudatettava tallennusvälineiden hallintasääntöjä
A.3.21 Turvallinen hävittäminen tai uudelleenkäyttö Päätelaitteet on tyhjennettävä turvallisesti ennen hävittämistä tai uudelleensijoittamista

Ketä tämä valvonta koskee?

A.3.22 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Kaikkien organisaatioiden, joiden henkilöstö käyttää päätelaitteita henkilötietojen tallentamiseen, käsittelyyn tai käyttämiseen, on toteutettava asianmukaiset suojaustoimet. Tämä koskee myös organisaatioita, joissa on etätyöntekijöitä, kenttähenkilöstöä, BYOD-käytäntöjä tai missä tahansa tilanteessa, jossa henkilötietoihin pääsee käsiksi yrityksen verkon ulkopuolelta.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online päätelaitteiden hallintaa varten?

ISMS.online tarjoaa käytännön työkaluja päätelaitteiden tietoturvan hallintaan:

  • Laiterekisteri — Ylläpidä keskitettyä luetteloa kaikista päätelaitteista, joilla on henkilökohtaisten tietojen käyttöoikeus, linkitettynä omistajiin, tietoturva-asetuksiin ja vaatimustenmukaisuustilaan
  • Politiikan hallinta — Julkaise ja jaa päätepisteiden tietoturva- ja BYOD-käytäntöjä kuittausten seurannalla ja versionhallinnalla
  • Riskianalyysit — Suorita kohdennettuja riskinarviointeja päätepisteisiin liittyville uhkille valmiilla riskiskenaarioilla kadonneille laitteille, suojaamattomille verkoille ja BYOD:lle
  • Tapahtumien hallinta — Kirjaa ja hallinnoi laitteiden katoamis- tai varkaustapauksia sisäänrakennettujen työnkulkujen avulla tietomurtojen arviointia ja ilmoittamista varten
  • Vaatimustenmukaisuuden kojelaudat — Valvo päätepisteiden tietoturvan noudattamista koko organisaatiossasi reaaliaikaisen näkymän avulla käytäntöjen noudattamiseen ja jäljellä oleviin toimiin

UKK

Koskeeko tämä rajoitus työssä käytettäviä henkilökohtaisia ​​laitteita?

Kyllä. Jos henkilökohtaisia ​​laitteita (BYOD) käytetään henkilötietojen tallentamiseen, käsittelyyn tai käyttämiseen, ne kuuluvat A.3.22:n soveltamisalaan. Organisaatioiden tulisi ottaa käyttöön BYOD-käytäntö, jossa määritellään vähimmäisturvallisuusvaatimukset, kuten salaus, salasanan monimutkaisuus, automaattiset päivitykset ja oikeus poistaa yrityksen tiedot etänä. Konttiratkaisut voivat auttaa erottamaan henkilökohtaiset ja yrityksen tiedot samalla laitteella.

Minkä tyyppisiä laitteita pidetään päätelaitteina?

Päätelaitteisiin kuuluvat kaikki laitteet, joita yksilö käyttää henkilötietojen käyttämiseen, käsittelyyn tai tallentamiseen: kannettavat tietokoneet, pöytätietokoneet, älypuhelimet, tabletit, ohuet asiakaslaitteet ja puettavat laitteet. Vuoden 2025 painoksessa käytetään tarkoituksella laajempaa termiä "käyttäjän päätelaitteet" "mobiililaitteiden" sijaan kattaakseen kaikki laitetyypit, mukaan lukien kiinteät työasemat, jotka voivat sijaita jaetuissa tai suojaamattomissa tiloissa.

Miten organisaatioiden tulisi käsitellä kadonneita tai varastettuja laitteita?

Organisaatioilla tulisi olla dokumentoitu menettelytapa kadonneiden tai varastettujen laitteiden varalta. Tähän tulisi sisältyä välittömät etälukitus- ja -tyhjennysmahdollisuudet, henkilötietojen vaaran arviointi (salaustilan huomioon ottaen), ilmoitus tietosuojatiimille ja tarvittaessa ilmoitus valvontaviranomaiselle GDPR:n 33 artiklan mukaisesti. Laiteluettelo tulisi päivittää katoamisen huomioon ottamiseksi, ja laitteella käytetyt tunnistetiedot tulisi peruuttaa.

Tallenna tämä ohjausobjekti muistiisi Ilmoitus soveltuvuudesta toteutustapojesi kanssa.

Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.