Hyppää sisältöön
ISMS.online

ISO 27701:2025 -valvonta A.3.7: Tiedonsiirto

Kontrollin A.3.7 mukaan organisaatioilla on oltava tiedonsiirtoa koskevat säännöt, menettelyt tai sopimukset kaikentyyppisille siirtojärjestelmille, jotka kattavat henkilötietojen käsittelyn. Turvallinen siirto on kriittisen tärkeää aina, kun henkilötietoja liikkuu organisaation sisällä tai sen ulkopuolella.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.7 edellyttää?

Henkilötietojen käsittelyyn liittyvien tiedonsiirtosääntöjen, -menettelyjen tai -sopimusten on oltava käytössä kaikenlaisissa tiedonsiirtopalveluissa organisaation sisällä ja organisaation ja muiden osapuolten välillä.

Tämä ohjaus sijaitsee jaetut suojauskontrollit (Taulukko A.3) ja koskee sekä PII-ohjaimia että PII-käsittelijöitä. Se käsittelee PII:n turvallisuutta siirron aikana ja täydentää ohjainkohtaisia ​​siirtorajoituksia A.1.5 jotka keskittyvät kansainvälisten siirtojen oikeudellisiin ja hallinnollisiin näkökohtiin.

Mitä käyttöönotto-ohjeissa sanotaan?

Liitteessä B (kohta B.3.7) annetaan seuraavat ohjeet:

  • Varmista, että henkilötietojen käsittelyyn liittyvät säännöt ovat voimassa valvotaan koko järjestelmässä ja sen ulkopuolella missä käytettävissä
  • Harkita kaikki siirtotavat, mukaan lukien sähköiset siirrot (sähköposti, tiedostojen jakaminen, API:t, pilvisynkronointi), fyysiset siirrot (kannettavat mediat, tulostetut asiakirjat, kuriiripalvelut) ja suullinen viestintä
  • Siirtosäännöissä tulisi määrittää kullekin menetelmälle ja luokitustasolle vaadittavat turvatoimet.
  • Ulkopuolisten osapuolten kanssa tehtävissä sopimuksissa tulisi määritellä henkilötietojen suojaamiseen liittyvät vastuut siirron aikana
  • Menettelyissä tulisi käsitellä siirtovirheitä, sieppauksia ja kadonneita tallennusvälineitä.
  • Katso myös A.3.20: Tallennusvälineet asiaankuuluvia vaatimuksia varten
  • Katso myös A.3.21: Laitteiden turvallinen hävittäminen tai uudelleenkäyttö asiaankuuluvia vaatimuksia varten

Ohjeistus korostaa, että tiedonsiirron turvallisuus ei rajoitu salaukseen. Se kattaa siirron koko elinkaaren: valtuutuksen, pakkaamisen, lähettämisen, vastaanoton vahvistamisen ja poikkeusten käsittelyn.

Miten tämä vastaa GDPR:ää?

Kontrollin A.3.7 kohdennus GDPR 5 artiklan 1 kohdan f alakohta (eheyden ja luottamuksellisuuden periaate). GDPR edellyttää, että henkilötietoja käsitellään tavalla, joka varmistaa asianmukaisen turvallisuuden, mukaan lukien suojaamisen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta katoamiselta, tuhoutumiselta tai vahingoittumiselta. Turvalliset siirtomenettelyt ovat tämän velvoitteen keskeinen osa.

Tämä valvonta tukee myös 32 artiklan (käsittelyn turvallisuus) noudattamista, joka edellyttää asianmukaisia ​​teknisiä ja organisatorisia toimenpiteitä, mukaan lukien tarvittaessa henkilötietojen salaus ja kyky varmistaa käsittelyjärjestelmien jatkuva luottamuksellisuus.

Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?

Jaettuna tietoturvakontrollina A.3.7 tukee laajempaa ISO 29100 viitekehys. Siirtojen turvallisuus on tietoturvaperiaatteen suora toteutus, joka varmistaa, että henkilötietoja suojataan paitsi levossa myös koko niiden siirron ajan järjestelmien, sijaintien ja organisaatioiden välillä.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.7 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Siirtopolitiikka tai -menettelyt — Dokumentoidut säännöt, jotka kattavat kaikki siirtomenetelmät (sähköiset, fyysiset, suulliset), ja niihin sisältyvät erityismääräykset henkilötietoja varten
  • Salausstandardit — Todiste siitä, että henkilötiedot on salattu siirron aikana nykyisiä standardeja käyttäen (esim. TLS 1.2+ sähköisille siirroille, salatut säilöt kannettaville tallennusvälineille)
  • Siirtosopimukset — Ulkopuolisten osapuolten kanssa tehdyt sopimukset, joissa määritellään siirrettävien henkilötietojen turvallisuusvaatimukset
  • Tekniset tarkastukset — Sähköpostin salauksen, turvallisten tiedostonsiirtoalustojen, VPN-rajapintojen ja API-tietoturvan konfigurointitodisteet
  • Tapahtumien käsittely — Menettelyt siirtovirheiden, kuten kadonneiden kannettavien tallennusvälineiden tai siepattujen tietoliikenneyhteyksien, käsittelemiseksi

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.5 Tietojen luokittelu Luokittelutasot määräävät tarvittavat siirtoon liittyvät turvatoimet
A.3.6 Tietojen merkitseminen Tarrat tekevät luokittelusta näkyvää ja auttavat henkilöstöä soveltamaan oikeita siirtomenettelyjä
A.1.5.2 Henkilötietojen siirron peruste lainkäyttöalueiden välillä Lakisääteinen siirtoperuste (rekisterinpitäjän määräysvalta) täydentää kohdassa A.3.7 olevia turvatoimenpiteitä
A.1.5.4 Henkilötietojen siirtoa koskevat tiedot Siirtotietojen tulee sisältää viittaukset siirron aikana sovellettuihin turvatoimenpiteisiin
A.3.3 Tietoturvakäytännöt Siirtomenettelyjen tulisi perustua yleiseen turvallisuuspolitiikkaan

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tämä vaatimus jaettiin kohtiin 6.10.2.1, 6.10.2.2 ja 6.10.2.3, jotka kattavat sähköisen viestinnän, tiedonsiirtokäytännöt ja -menettelyt sekä luottamuksellisuussopimukset. Vuoden 2025 painos yhdistää nämä yhdeksi säännöksi (A.3.7) ja yhtenäiset ohjeet kohdassa B.3.7. Tämä tekee vaatimuksesta johdonmukaisemman ja helpommin toteutettavan säilyttäen samalla sisällön. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Miksi valita ISMS.online turvallisen tiedonsiirron hallintaan?

ISMS.online tarjoaa työkalut siirtojesi turvallisuuskontrollien dokumentointiin, valvontaan ja todentamiseen:

  • Siirtomenettelyn dokumentaatio — Luo ja ylläpidä siirtomenettelyjä kullekin menetelmälle (sähköposti, tiedostojen jakaminen, fyysinen media) versionhallinta- ja hyväksyntätyönkulkuineen
  • Toimittajien ja kumppaneiden hallinta — Säilytä siirtosopimuksia toimittajaprofiilien rinnalla, seuraa sovittujen turvallisuusvaatimusten noudattamista ja merkitse, milloin sopimukset on uusittava
  • Kontrollitodisteet — Yhdistä tekniset valvontatoimenpiteet (salausmääritykset, suojatun tiedonsiirron alustan asetukset) asiaankuuluviin käytäntövaatimuksiin
  • Tapahtumien hallinta — Kirjaa ja seuraa siirtoon liittyviä tapahtumia, analysoi niiden perimmäiset syyt ja tee korjaavia toimenpiteitä
  • Integroitu riskirekisteri — Arvioi siirtoriskejä muiden tietoturvariskien ohella ja varmista, että sovelletaan oikeasuhteisia suojatoimia luokitustason perusteella

UKK

Koskeeko tämä valvonta vain ulkoisia siirtoja?

Ei. Valvonta kattaa nimenomaisesti siirrot "organisaation sisällä sekä organisaation ja muiden osapuolten välillä". Sisäisiin siirtoihin, kuten henkilötietojen siirtämiseen osastojen, järjestelmien tai toimipaikkojen välillä saman organisaation sisällä, on myös sovellettava siirtosääntöjä. Tämä koskee sisäistä sähköpostia, tiedostojen jakamista tiimien välillä, tietojen replikointia datakeskusten välillä ja asiakirjojen fyysistä siirtämistä toimistojen välillä.

Mitä salausstandardeja tulisi käyttää henkilötietojen siirron aikana?

Käytä sähköisissä siirroissa vähintään TLS 1.2:ta tai uudempaa. Sähköpostin siirrossa harkitse S/MIME:ä tai PGP:tä arkaluonteisten henkilötietojen tallennukseen. Käytä kannettavien tallennusvälineiden siirrossa AES-256-salausta. API-siirroissa käytä HTTPS:ää ja molemminpuolista TLS:ää mahdollisuuksien mukaan. Erityisten standardien tulee olla oikeassa suhteessa siirrettävien henkilötietojen luokitustasoon ja yhdenmukaisia ​​alan nykyisten parhaiden käytäntöjen ja sääntelyohjeiden kanssa.

Miten henkilötietojen suullisia siirtoja tulisi käsitellä?

Henkilötietojen suullinen viestintä (esim. puhelut, henkilökohtaiset keskustelut) tulisi sisältyä siirtomenettelyihisi. Harkitse toimenpiteitä, kuten henkilöllisyyden varmentamista ennen henkilötietojen suullista luovuttamista, arkaluonteisten henkilötietojen käsittelyn välttämistä julkisissa tiloissa, turvallisten viestintäkanavien käyttöä arkaluonteisissa keskusteluissa ja henkilöstön kouluttamista henkilötietojen asianmukaiseen suulliseen käsittelyyn.

Dokumentoi tämä kontrolli omaan Ilmoitus soveltuvuudesta toteutusperustelujesi kanssa.

Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.