Was erfordert die Kontrolle A.3.7?
Für alle Arten von Übermittlungsmöglichkeiten innerhalb der Organisation und zwischen der Organisation und anderen Parteien müssen Regeln, Verfahren oder Vereinbarungen zur Verarbeitung personenbezogener Daten (PII) vorhanden sein.
Diese Steuerung befindet sich innerhalb der gemeinsame Sicherheitskontrollen (Tabelle A.3) und gilt sowohl für PII-Controller als auch für PII-Verarbeiter. Es befasst sich mit der Sicherheit von PII während der Übertragung und ergänzt die controllerspezifischen Übertragungskontrollen in A.1.5 die sich auf die rechtlichen und Governance-Aspekte internationaler Geldtransfers konzentrieren.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.3.7) enthält folgende Hinweise:
- Sicherstellen, dass Regeln im Zusammenhang mit der Verarbeitung personenbezogener Daten eingehalten werden durchgesetzt innerhalb und außerhalb des Systems wo anwendbar
- Geht davon alle Übertragungsmethodeneinschließlich elektronischer Übermittlungen (E-Mail, Dateiaustausch, APIs, Cloud-Synchronisierung), physischer Übermittlungen (tragbare Datenträger, gedruckte Dokumente, Kurierdienst) und mündlicher Kommunikation
- Die Übertragungsregeln sollten die für jede Methode und jede Klassifizierungsstufe erforderlichen Sicherheitskontrollen festlegen.
- Vereinbarungen mit externen Parteien sollten die Verantwortlichkeiten für den Schutz personenbezogener Daten während der Übermittlung festlegen.
- Die Verfahren sollten den Umgang mit Übertragungsfehlern, Abfangvorgängen und Datenträgerverlusten regeln.
- Web Link A.3.20: Speichermedien für damit zusammenhängende Anforderungen
- Web Link A.3.21: Sichere Entsorgung oder Wiederverwendung von Geräten für damit zusammenhängende Anforderungen
Die Leitlinien betonen, dass die Sicherheit von Datentransfers nicht auf die Verschlüsselung beschränkt ist. Sie umfasst den gesamten Lebenszyklus eines Transfers: Autorisierung, Verpackung, Übermittlung, Empfangsbestätigung und Umgang mit Ausnahmefällen.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.7 ist zugeordnet zu Datenschutz Artikel 5 Absatz 1 Buchstabe f (Grundsatz der Integrität und Vertraulichkeit). Datenschutz Die Datenschutzbestimmungen verlangen, dass personenbezogene Daten so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung. Sichere Übermittlungsverfahren sind ein wesentlicher Bestandteil dieser Verpflichtung.
Diese Kontrolle unterstützt auch die Einhaltung von Artikel 32 (Sicherheit der Verarbeitung), der geeignete technische und organisatorische Maßnahmen vorschreibt, einschließlich gegebenenfalls der Verschlüsselung personenbezogener Daten und der Fähigkeit, die fortlaufende Vertraulichkeit der Verarbeitungssysteme zu gewährleisten.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Als gemeinsame Sicherheitskontrolle unterstützt A.3.7 die umfassendere ISO 29100 Rahmenwerk. Die Transfersicherheit ist eine direkte Umsetzung des Informationssicherheitsprinzips und gewährleistet, dass personenbezogene Daten nicht nur im Ruhezustand, sondern auch während ihrer Übertragung zwischen Systemen, Standorten und Organisationen geschützt sind.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.7 achten die Prüfer typischerweise auf Folgendes:
- Transferrichtlinien oder -verfahren — Dokumentierte Regeln, die alle Übertragungsmethoden (elektronisch, physisch, mündlich) abdecken und spezifische Bestimmungen für personenbezogene Daten enthalten
- Verschlüsselungsstandards — Nachweis, dass personenbezogene Daten während der Übertragung unter Verwendung aktueller Standards verschlüsselt werden (z. B. TLS 1.2+ für elektronische Übertragungen, verschlüsselte Container für tragbare Datenträger)
- Übertragungsvereinbarungen — Vereinbarungen mit externen Parteien abgeschlossen, die die Sicherheitsanforderungen für personenbezogene Daten während der Übertragung definieren.
- Technische Kontrollen — Konfigurationsnachweise für E-Mail-Verschlüsselung, sichere Dateiübertragungsplattformen, VPNs und API-Sicherheit
- Vorfallbehandlung — Verfahren zum Umgang mit Übertragungsfehlern, wie z. B. verloren gegangenen Datenträgern oder abgefangenen Kommunikationsvorgängen
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.5 Klassifizierung von Informationen | Die Klassifizierungsstufen bestimmen die erforderlichen Sicherheitskontrollen beim Transfer. |
| A.3.6 Kennzeichnung von Informationen | Etiketten machen die Klassifizierung sichtbar und helfen dem Personal, die korrekten Transferverfahren anzuwenden. |
| A.1.5.2 Grundlage für die Übermittlung personenbezogener Daten zwischen Jurisdiktionen | Die rechtliche Übertragungsgrundlage (Kontrolle des Verantwortlichen) ergänzt die Sicherheitsmaßnahmen in A.3.7 |
| A.1.5.4 Aufzeichnungen über die Übermittlung von personenbezogenen Daten | Die Übertragungsdokumente sollten die während der Übertragung angewandten Sicherheitsmaßnahmen dokumentieren. |
| A.3.3 Richtlinien zur Informationssicherheit | Transferverfahren sollten auf der übergeordneten Sicherheitspolitik basieren. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung auf die Abschnitte 6.10.2.1, 6.10.2.2 und 6.10.2.3 verteilt, die elektronische Nachrichtenübermittlung, Richtlinien und Verfahren zum Informationsaustausch bzw. Vertraulichkeitsvereinbarungen abdeckten. Die Ausgabe von 2025 fasst diese in einer einzigen Kontrollmaßnahme (A.3.7) mit einheitlichen Leitlinien in B.3.7 zusammen. Dadurch wird die Anforderung kohärenter und einfacher umzusetzen, während der inhaltliche Geltungsbereich erhalten bleibt. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung sicherer Informationsübertragung?
ISMS.online bietet die Werkzeuge, um Ihre Sicherheitskontrollen für Geldtransfers zu dokumentieren, durchzusetzen und nachzuweisen:
- Dokumentation des Übertragungsverfahrens — Erstellung und Pflege von Übertragungsprozeduren für jede Methode (E-Mail, Dateiaustausch, physische Datenträger) mit Versionskontrolle und Genehmigungsworkflows.
- Lieferanten- und Partnermanagement — Speichern Sie Transfervereinbarungen zusammen mit Lieferantenprofilen, verfolgen Sie die Einhaltung vereinbarter Sicherheitsanforderungen und kennzeichnen Sie, wenn Vereinbarungen erneuert werden müssen.
- Kontrollnachweise — Verknüpfung technischer Kontrollen (Verschlüsselungskonfigurationen, Einstellungen der sicheren Übertragungsplattform) mit den entsprechenden Richtlinienanforderungen
- Incident Management — Protokollierung und Nachverfolgung von Transfervorfällen mit Ursachenanalyse und Korrekturmaßnahmen
- Integriertes Risikoregister — Bewerten Sie Übertragungsrisiken zusammen mit anderen Informationssicherheitsrisiken und stellen Sie sicher, dass auf der Grundlage der Klassifizierungsebene angemessene Kontrollen angewendet werden.
Häufig gestellte Fragen
Gilt diese Kontrolle nur für externe Überweisungen?
Nein. Die Regelung umfasst ausdrücklich Datentransfers „innerhalb der Organisation sowie zwischen der Organisation und Dritten“. Interne Transfers, wie beispielsweise die Übertragung personenbezogener Daten zwischen Abteilungen, Systemen oder Standorten innerhalb derselben Organisation, unterliegen ebenfalls den Transferregeln. Dies schließt interne E-Mails, den Dateiaustausch zwischen Teams, die Datenreplikation zwischen Rechenzentren und den physischen Transport von Dokumenten zwischen Büros ein.
Welche Verschlüsselungsstandards sollten für personenbezogene Daten während der Übertragung verwendet werden?
Verwenden Sie für elektronische Übertragungen mindestens TLS 1.2 oder höher. Für E-Mails empfiehlt sich S/MIME oder PGP für sensible personenbezogene Daten. Verwenden Sie für portable Datenträger AES-256-Verschlüsselung. Erzwingen Sie für API-Übertragungen nach Möglichkeit HTTPS mit gegenseitigem TLS. Die spezifischen Standards sollten dem Schutzgrad der übertragenen personenbezogenen Daten angemessen sein und den aktuellen Branchenstandards sowie den regulatorischen Vorgaben entsprechen.
Wie sollten wir mit mündlichen Übermittlungen personenbezogener Daten umgehen?
Die mündliche Übermittlung personenbezogener Daten (z. B. telefonisch, in persönlichen Gesprächen) sollte in Ihren Übermittlungsverfahren berücksichtigt werden. Erwägen Sie Maßnahmen wie die Identitätsprüfung vor der mündlichen Weitergabe personenbezogener Daten, das Vermeiden von Gesprächen über sensible personenbezogene Daten in der Öffentlichkeit, die Nutzung sicherer Kommunikationskanäle für sensible Gespräche und die Schulung Ihrer Mitarbeiter im angemessenen Umgang mit personenbezogenen Daten.
Dokumentieren Sie diese Kontrolle in Ihrem Erklärung zur Anwendbarkeit mit Ihrer Implementierungsbegründung.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Wirtschaftsprüfer erwarten.
