Was erfordert die Kontrolle A.3.19?
Es müssen Regeln für einen aufgeräumten Schreibtisch (für Papiere und Wechseldatenträger) sowie für einen aufgeräumten Bildschirm (für Informationsverarbeitungsanlagen) definiert und angemessen durchgesetzt werden.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) behandelt ein trügerisch einfaches, aber folgenreiches Risiko: Sichtbare personenbezogene Daten auf Schreibtischen oder Bildschirmen können von jedem mit physischem oder visuellem Zugang zum Arbeitsbereich eingesehen, fotografiert oder entwendet werden. Die Einhaltung der Richtlinien für aufgeräumte Schreibtische und Bildschirme schafft eine grundlegende physische Sicherheitsmaßnahme, die die technischen Zugangskontrollen ergänzt.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.19) enthält folgende Hinweise:
- Minimierung der Erstellung von Papierkopien Die Organisation sollte die Erstellung von Papierkopien, die personenbezogene Daten enthalten, auf das Minimum beschränken, das zur Erfüllung des festgelegten Verarbeitungszwecks erforderlich ist.
- Wechseldatenträger — Die Regeln für einen aufgeräumten Arbeitsplatz sollten ausdrücklich Wechseldatenträger wie USB-Sticks, externe Festplatten und optische Datenträger umfassen, die personenbezogene Daten enthalten könnten.
- Bildschirmsperre — Informationsverarbeitungsanlagen sollten so konfiguriert sein, dass die Bildschirme nach einer definierten Zeit der Inaktivität automatisch gesperrt werden, und die Mitarbeiter sollten darin geschult werden, die Bildschirme manuell zu sperren, wenn sie ihren Arbeitsplatz verlassen.
- Web Link A.3.18: Vertraulichkeits- oder Geheimhaltungsvereinbarungen für damit zusammenhängende Anforderungen
Die Richtlinien bekräftigen den Grundsatz des Datenschutzes als Standard: Personenbezogene Daten, die nicht in Papierform vorliegen müssen, sollten gar nicht erst erstellt werden. Wo Papierkopien unvermeidbar sind, gewährleisten Regeln für einen aufgeräumten Arbeitsplatz, dass diese sicher aufbewahrt werden, wenn sie nicht aktiv genutzt werden.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.19 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 5(1)(f) — Der Grundsatz der Integrität und Vertraulichkeit verlangt, dass personenbezogene Daten so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung sowie vor versehentlichem Verlust, Zerstörung oder Beschädigung
Richtlinien für einen aufgeräumten Schreibtisch und einen aufgeräumten Bildschirm stellen eine praktische Umsetzung von Artikel 5(1)(f) dar und verhindern den zufälligen oder opportunistischen Zugriff auf personenbezogene Daten in physischen und digitalen Arbeitsumgebungen.
Die vollständige Zuordnung von DSGVO zu ISO 27701 finden Sie hier: Leitfaden zur Einhaltung der DSGVO.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung in Abschnitt 6.8.2.9 (Richtlinie für aufgeräumte Schreibtische und Bildschirme) enthalten. Die Ausgabe von 2025 behält die Kernanforderungen als A.3.19 bei, wobei die Umsetzungshinweise in B.3.19 zusammengefasst sind. Die Betonung der Minimierung der Erstellung von Papierkopien personenbezogener Daten ist eine wichtige datenschutzbezogene Ergänzung. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.19 achten die Prüfer typischerweise auf Folgendes:
- Richtlinie für einen aufgeräumten Schreibtisch und einen aufgeräumten Bildschirm — Eine dokumentierte Richtlinie, die spezifische Regeln für die Sicherung von Papieren, Wechseldatenträgern und Bildschirmen festlegt, wenn Arbeitsplätze unbeaufsichtigt sind.
- Konfiguration der automatischen Bildschirmsperre — Nachweis, dass Informationsverarbeitungssysteme so konfiguriert sind, dass sie sich nach einer definierten Inaktivitätszeit (typischerweise 5 bis 15 Minuten) sperren.
- Physische Sicherheitsmaßnahmen — Abschließbare Schubladen, Schränke oder sichere Aufbewahrungsmöglichkeiten für Dokumente mit personenbezogenen Daten
- Sensibilisierung der Mitarbeiter — Schulungsnachweise, die belegen, dass die Mitarbeiter die Anforderungen an einen aufgeräumten Schreibtisch und einen aufgeräumten Bildschirm verstanden haben und entsprechend geschult wurden.
- Konformitätsprüfungen — Aufzeichnungen über regelmäßige Arbeitsplatzinspektionen oder Stichprobenkontrollen zur Überprüfung der Einhaltung der Regeln für aufgeräumte Schreibtische.
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.5 Klassifizierung von Informationen | Klassifizierungsetiketten geben an, welche Dokumente gemäß den Clear Desk Rules gesichert werden müssen. |
| A.3.17 Bewusstsein und Schulung | Die Mitarbeiterschulung sollte die Pflichten zur Aufräumung von Schreibtischen und Bildschirmen umfassen. |
| A.3.20 Speichermedien | Das Zurücklassen von Wechseldatenträgern auf Schreibtischen stellt einen Verstoß gegen die Aufräumpflicht dar. |
| A.3.22 Benutzerendgeräte | Die Richtlinien für Endgeräte sollten auch Anforderungen an die Bildschirmsperre enthalten. |
| A.3.16 Einhaltung der Richtlinien | Zu den regelmäßigen Compliance-Prüfungen sollten auch Kontrollen der Arbeitsplatz- und Bildschirmauflösung gehören. |
Für wen gilt diese Regelung?
A.3.19 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Verarbeiter personenbezogener Daten. Jede Organisation, die personenbezogene Daten in physischen oder digitalen Arbeitsumgebungen verarbeitet, muss Regeln für einen aufgeräumten Arbeitsplatz und einen aufgeräumten Bildschirm festlegen und durchsetzen. Dies ist besonders wichtig in Großraumbüros, geteilten Arbeitsbereichen, Coworking-Spaces und überall dort, wo Unbefugte möglicherweise Sichtkontakt zu Bildschirmen oder Dokumenten haben.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online Zur Einhaltung der Vorschriften für einen aufgeräumten Schreibtisch und einen aufgeräumten Bildschirm?
ISMS.online bietet praktische Hilfsmittel zur Umsetzung und Aufrechterhaltung von Richtlinien für einen aufgeräumten Schreibtisch und einen aufgeräumten Bildschirm:
- Richtlinienvorlagen — Vorgefertigte Vorlagen für Richtlinien zu aufgeräumten Schreibtischen und Bildschirmen, die Sie an die spezifischen Anforderungen und Arbeitsbereichstypen Ihres Unternehmens anpassen können.
- Sensibilisierungskampagnen — Planung und Nachverfolgung der Mitarbeiterkommunikation zur Sensibilisierung, um sicherzustellen, dass alle Mitarbeiter ihre Verantwortung für einen aufgeräumten Schreibtisch und einen aufgeräumten Bildschirm kennen.
- Compliance-Checklisten — Erstellung und Verwaltung von Checklisten für regelmäßige Stichprobenkontrollen am Arbeitsplatz, wobei die Ergebnisse als Prüfungsnachweis protokolliert werden.
- Trainingsverfolgung — Erfassung der abgeschlossenen Schulungen zu „Aufräumen am Arbeitsplatz“ und „Aufräumen auf dem Bildschirm“ für jeden einzelnen Mitarbeiter, mit automatischen Erinnerungen für überfällige Schulungen
- Ereignisprotokollierung — Verstöße gegen die Richtlinien für abgesperrte Arbeitsplätze werden als Sicherheitsereignisse protokolliert und verfolgt, um Trendanalysen und gezielte Korrekturmaßnahmen zu ermöglichen.
Häufig gestellte Fragen
Was sollte eine Richtlinie für einen aufgeräumten Schreibtisch umfassen?
Eine Richtlinie für einen aufgeräumten Arbeitsplatz sollte festlegen, dass alle Dokumente und Datenträger mit personenbezogenen Daten in verschlossenen Schubladen oder Schränken aufbewahrt werden müssen, wenn sie nicht aktiv genutzt werden. Sie sollte die Abläufe am Ende des Arbeitstages, die Regeln für das Verlassen des Arbeitsplatzes, die Entsorgung vertraulicher Abfälle sowie den Umgang mit gemeinsam genutzten Druckern und Kopierern regeln. Die Richtlinie sollte auch Besucherbereiche berücksichtigen, in denen personenbezogene Daten sichtbar sein könnten.
Wie lange sollte die Bildschirmsperre nach einer bestimmten Zeit eingestellt werden?
Die meisten Sicherheitsframeworks empfehlen eine automatische Bildschirmsperre nach 5 bis 15 Minuten Inaktivität. Organisationen, die sensible personenbezogene Daten (z. B. Gesundheitsdaten oder Finanzdaten) verarbeiten, können eine kürzere Sperrfrist wählen. Diese Sperrfrist sollte zentral über Gruppenrichtlinien oder die Verwaltung mobiler Geräte festgelegt werden und nicht von Endbenutzern konfigurierbar sein.
Wie gelten die Regeln für einen aufgeräumten Arbeitsplatz für Remote-Mitarbeiter?
Die Regeln für einen aufgeräumten Arbeitsplatz gelten gleichermaßen für Mitarbeiter im Homeoffice und im Homeoffice. Unternehmen sollten Anleitungen zum Schutz personenbezogener Daten im häuslichen Umfeld bereitstellen, einschließlich abschließbarer Aufbewahrungsmöglichkeiten, sofern dies möglich ist. Mitarbeiter im Homeoffice sollten daran erinnert werden, dass Familienmitglieder und Besucher im häuslichen Umfeld keinen Zugriff auf personenbezogene Daten haben. Sichtschutzfilter und automatische Bildschirmsperreinstellungen sollten auf allen Geräten, die für die Arbeit im Homeoffice verwendet werden, aktiviert sein.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Wirtschaftsprüfer erwarten.
