Was erfordert die Kontrolle A.3.16?
Die Einhaltung der Informationssicherheitspolitik der Organisation sowie themenspezifischer Richtlinien, Regeln und Standards im Zusammenhang mit der Verarbeitung personenbezogener Daten wird regelmäßig überprüft.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) und konzentriert sich auf die operative Überprüfung – die Kontrolle, ob die dokumentierten Kontrollen in der Praxis tatsächlich eingehalten werden. A.3.15 Unabhängige Überprüfung A.3.16 befasst sich mit der unabhängigen Überprüfung auf strategischer Ebene und stellt sicher, dass die Einhaltung im Tagesgeschäft überwacht wird.
Den vollständigen Auditprozess erfahren Sie in unserem Leitfaden: Was Sie während Ihres ISO 27701:2025-Audits erwarten können.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.16) enthält folgende Hinweise:
- Tools und Komponenten überprüfen — Berücksichtigen Sie Methoden zur Überprüfung der Werkzeuge und Komponenten im Zusammenhang mit der Verarbeitung personenbezogener Daten, nicht nur der Richtlinien und Verfahren.
- Laufende Überwachung — Dies kann eine kontinuierliche oder periodische Überwachung umfassen, um sicherzustellen, dass nur zulässige Verarbeitungsvorgänge stattfinden.
- Penetrations- und Schwachstellentests — Spezifische Tests wie Penetrationstests oder Schwachstellenanalysen können Teil des Compliance-Überprüfungsprogramms sein.
- Motivationstest für Eindringlinge — Die Leitlinien erwähnen ausdrücklich Tests mit motivierten Eindringlingen an anonymisierten Datensätzen, um zu überprüfen, ob Anonymisierungs- oder Pseudonymisierungsmaßnahmen wirksam sind.
- Web Link A.3.3: Richtlinien für die Informationssicherheit für damit zusammenhängende Anforderungen
- Web Link A.3.4: Rollen und Verantwortlichkeiten im Bereich Informationssicherheit für damit zusammenhängende Anforderungen
Die Leitlinien stellen klar, dass die Überprüfung der Einhaltung der Vorschriften nicht nur eine formale Angelegenheit ist. Technische Tests – einschließlich Versuchen, anonymisierte Daten wiederzuerkennen – sind ein wichtiger Bestandteil der Überprüfung, ob die Datenschutzmaßnahmen wie vorgesehen funktionieren.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.16 ist zugeordnet zu Datenschutz Artikel 32(1)(d), der ein Verfahren zur regelmäßigen Prüfung, Beurteilung und Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung vorschreibt, und Artikel 32(2), der die Berücksichtigung der Risiken verlangt, die die Verarbeitung für die betroffenen Personen birgt.
Die vollständige Zuordnung von DSGVO zu ISO 27701 finden Sie hier: Leitfaden zur Einhaltung der DSGVO.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung durch die Abschnitte 6.15.2.2 (Einhaltung von Sicherheitsrichtlinien und -standards) und 6.15.2.3 (technische Konformitätsprüfung) abgedeckt. Die Ausgabe von 2025 fasst diese in einer einzigen Kontrollmaßnahme (A.3.16) zusammen und kombiniert damit die Überprüfung der Einhaltung von Richtlinien mit technischen Konformitätsprüfungen unter einer einzigen Anforderung. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.16 achten die Prüfer typischerweise auf Folgendes:
- Zeitplan für die Überprüfung der Einhaltung der Vorschriften — Ein dokumentiertes Programm regelmäßiger Compliance-Prüfungen, das alle Richtlinien und Standards im Zusammenhang mit personenbezogenen Daten abdeckt.
- Akten prüfen — Nachweise über abgeschlossene Prüfungen, einschließlich der geprüften Aspekte, der Ergebnisse und etwaiger festgestellter Abweichungen.
- Technische Prüfberichte — Ergebnisse von Penetrationstests, Schwachstellenscans oder anderen technischen Bewertungen, die die Wirksamkeit der Sicherheitsmaßnahmen für personenbezogene Daten (PII) bewerten.
- Überwachungsnachweise — Protokolle oder Berichte von laufenden Überwachungssystemen, die bestätigen, dass nur zulässige Verarbeitungen personenbezogener Daten stattfinden
- Nachverfolgung von Korrekturmaßnahmen — Nachweis, dass bei Überprüfungen festgestellte Abweichungen erfasst, zugewiesen und mit dokumentierter Nachverfolgung behoben werden
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.15 Unabhängige Überprüfung | A.3.15 Unabhängige Überprüfung bietet strategische, unabhängige Sicherheit; A.3.16 umfasst die Überprüfung der Einhaltung der betrieblichen Vorschriften |
| A.3.9 Zugriffsrechte | Compliance-Prüfungen sollten sicherstellen, dass die Zugangskontrollrichtlinien eingehalten werden. |
| A.3.13 Rechtliche und vertragliche Anforderungen | Compliance-Prüfungen sollten die Einhaltung rechtlicher Verpflichtungen umfassen. |
| A.3.17 Bewusstsein und Schulung | Feststellungen von Nichteinhaltung weisen häufig auf Schulungslücken hin, die geschlossen werden müssen. |
| A.3.14 Schutz von Aufzeichnungen | Prüfprotokolle und Testberichte müssen als Nachweis der Konformität geschützt werden. |
Für wen gilt diese Regelung?
A.3.16 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Beide Rollen müssen sicherstellen, dass ihre dokumentierten Richtlinien und technischen Kontrollen eingehalten werden. Für Auftragsverarbeiter umfasst dies die Überprüfung, ob die Verarbeitung auf die Anweisungen des Verantwortlichen beschränkt ist und ob technische Maßnahmen wie Verschlüsselung und Zugriffskontrollen wie vorgesehen funktionieren.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online für laufende Compliance-Prüfungen?
ISMS.online bietet praktische Werkzeuge zur Überwachung und Überprüfung der Einhaltung Ihres Datenschutzprogramms:
- Terminplaner für Compliance-Prüfungen — Regelmäßige Compliance-Prüfungen planen und terminieren mit automatisierten Erinnerungen, Aufgabenzuweisungen und Fälligkeitsterminverfolgung
- Richtlinienbestätigungs-Tracking — Sicherstellen, dass die Mitarbeiter die aktuellen Versionen der Richtlinien zum Umgang mit personenbezogenen Daten gelesen und zur Kenntnis genommen haben; gegebenenfalls automatische Erinnerungen für diejenigen einrichten, die dies noch nicht getan haben.
- Nichtkonformitätsmanagement — Ergebnisse von Compliance-Prüfungen protokollieren, Korrekturmaßnahmen zuweisen, Fortschritt verfolgen und Abschluss bestätigen
- Überwachung der Kontrollwirksamkeit — Verfolgen Sie die Leistung einzelner Kontrollmechanismen im Zeitverlauf, um Trends und wiederkehrende Probleme zu identifizieren.
- Dashboard-Berichte — Echtzeit-Compliance-Dashboards, die den Prüfstatus, offene Punkte und den allgemeinen Programmzustand anzeigen
Häufig gestellte Fragen
Wie häufig sollten Compliance-Prüfungen durchgeführt werden?
Der Standard sieht regelmäßige Überprüfungen vor, legt jedoch keine Häufigkeit fest. Es empfiehlt sich, ein fortlaufendes Überprüfungsprogramm einzurichten, das alle Richtlinien und Kontrollen im Zusammenhang mit personenbezogenen Daten innerhalb eines definierten Zyklus abdeckt – typischerweise jährlich für Bereiche mit geringem Risiko und vierteljährlich für Verarbeitungsvorgänge mit hohem Risiko. Technische Tests wie Schwachstellenscans können häufiger durchgeführt werden, oft monatlich oder nach wesentlichen Systemänderungen.
Was ist ein Test auf motivierten Eindringling und wann ist er erforderlich?
Ein Test mit einem motivierten Angreifer prüft, ob ein entschlossener Angreifer mit Zugriff auf öffentlich verfügbare Informationen Personen anhand anonymisierter oder pseudonymisierter Datensätze reidentifizieren kann. Die Implementierungsrichtlinien empfehlen diese Art von Test für Organisationen, die Anonymisierung oder Pseudonymisierung als Schutzmaßnahme gegen Datenschutzverletzungen nutzen. Zeigt der Test, dass eine Reidentifizierung möglich ist, ist die Anonymisierungsmethode unzureichend und muss verbessert werden.
Worin unterscheidet sich dies von der unabhängigen Überprüfung in A.3.15 Unabhängige Überprüfung?
A.3.15 Unabhängige Überprüfung Der Fokus liegt auf regelmäßigen, strategischen Überprüfungen durch unabhängige Dritte (interne Prüfer oder externe Zertifizierungsstellen), die den Gesamtansatz für das Informationssicherheitsmanagement bewerten. A.3.16 konzentriert sich auf regelmäßige, operative Compliance-Prüfungen – die Überprüfung, ob spezifische Richtlinien, Regeln und technische Standards im täglichen Betrieb eingehalten werden. Beide sind erforderlich: A.3.15 Unabhängige Überprüfung bietet Sicherheit auf Systemebene, während A.3.16 betriebliche Abweichungen zwischen formalen Audits erfasst.
Unsere Leitfaden zu den Anforderungen an Prüfungsnachweise beschreibt detailliert, wonach die Prüfer bei der Einhaltung der Vorschriften suchen.
