Was erfordert die Kontrolle A.3.25?
Es werden Protokolle erstellt, gespeichert, geschützt und analysiert, in denen Aktivitäten, Ausnahmen, Fehler und andere relevante Ereignisse im Zusammenhang mit der Verarbeitung personenbezogener Daten aufgezeichnet werden.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) legt umfassende Protokollierungsanforderungen für die Verarbeitung personenbezogener Daten fest. Die Protokollierung dient mehreren Zwecken: der Erkennung unberechtigten Zugriffs auf personenbezogene Daten, der Unterstützung bei der Untersuchung von Vorfällen, dem Nachweis der Einhaltung der Vorschriften gegenüber Prüfern und der Bereitstellung von Beweismitteln im Falle einer Datenschutzverletzung. Ohne angemessene Protokollierung kann ein Unternehmen möglicherweise nicht feststellen, dass eine Datenschutzverletzung stattgefunden hat, wer auf personenbezogene Daten zugegriffen hat und wann.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.25) enthält ausführliche Leitlinien, die verschiedene Bereiche abdecken:
- Überprüfung und Überwachung — Ereignisprotokolle sollten mittels kontinuierlicher automatisierter Überwachung und Alarmierung oder manuell in festgelegten, dokumentierten Abständen überprüft werden, um Unregelmäßigkeiten zu identifizieren und Abhilfemaßnahmen vorzuschlagen.
- Zugriffsprotokollierung von personenbezogenen Daten — Soweit möglich, sollten Ereignisprotokolle den Zugriff auf personenbezogene Daten aufzeichnen, einschließlich der Person, der Zeitpunkt, der Daten des betroffenen Benutzers und der vorgenommenen Änderungen (Hinzufügungen, Modifikationen oder Löschungen).
- Umgebungen mit mehreren Anbietern — Sind mehrere Dienstanbieter beteiligt, sollten die Rollen bei der Implementierung der Protokollierung klar definiert und dokumentiert werden, und es sollte eine Vereinbarung über den Protokollzugriff zwischen den Anbietern getroffen werden.
- Protokolle als personenbezogene Daten — Protokollinformationen, die für die Sicherheitsüberwachung und Betriebsdiagnose aufgezeichnet werden, können selbst personenbezogene Daten enthalten. Zugriffskontrollen müssen sicherstellen, dass protokollierte Informationen nur bestimmungsgemäß verwendet werden.
- Protokollaufbewahrung und -löschung — Ein Verfahren, vorzugsweise ein automatisiertes, sollte sicherstellen, dass protokollierte Informationen gemäß dem Aufbewahrungsplan entweder gelöscht oder anonymisiert werden.
- Web Link A.3.22: Benutzerendgeräte für damit zusammenhängende Anforderungen
- Web Link A.3.24: Datensicherung für damit zusammenhängende Anforderungen
Leitfaden zur Umsetzung für PII-Verarbeiter
- Zugriffskriterien für Kundenprotokolle — Die Organisation sollte Kriterien dafür festlegen, ob, wann und wie Protokollinformationen dem Kunden zur Verfügung gestellt oder von diesem genutzt werden können.
- Kundenisolierung — Sofern Kunden Zugriff auf Protokolle haben, dürfen sie nur auf Aufzeichnungen zugreifen, die sich auf ihre eigenen Aktivitäten beziehen; sie dürfen nicht auf die Protokolle anderer Kunden zugreifen und die Protokolle nicht ändern.
Ein zentraler Widerspruch in den Richtlinien besteht darin, dass Protokolle selbst personenbezogene Daten enthalten können (z. B. Benutzernamen, IP-Adressen, Kennungen betroffener Personen), was bedeutet, dass die Protokolle gleichzeitig eine Datenschutzmaßnahme und ein Datenschutzrisiko darstellen, das bewältigt werden muss.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.25 ist folgenden Elementen zugeordnet Datenschutz Artikel:
- Artikel 5(1)(f) — Das Prinzip der Integrität und Vertraulichkeit erfordert angemessene Sicherheitsmaßnahmen. Die Protokollierung ist eine wichtige Kontrollmaßnahme, die die Erkennung und Reaktion auf Sicherheitsvorfälle, die personenbezogene Daten betreffen, unterstützt.
Die Protokollierung unterstützt auch Datenschutz Die Meldepflichten gemäß Artikel 33 werden erfüllt, indem die erforderlichen Nachweise erbracht werden, um Verstöße aufzudecken und deren Umfang und Auswirkungen zu ermitteln.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 wurde diese Anforderung durch die Abschnitte 6.9.4.1 (Ereignisprotokollierung), 6.9.4.2 (Schutz von Protokollinformationen) und 6.9.4.3 (Administrator- und Bedienerprotokolle) abgedeckt. Die Ausgabe von 2025 fasst alle drei in einem einzigen Kontrollpunkt A.3.25 zusammen, mit einheitlichen Implementierungshinweisen in B.3.25, die neue prozessorspezifische Hinweise zum Kundenzugriff auf Protokolle enthalten. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.25 achten die Prüfer typischerweise auf Folgendes:
- Protokollierungsrichtlinie — Eine dokumentierte Richtlinie, die festlegt, welche Ereignisse protokolliert werden müssen, Aufbewahrungsfristen für die Protokolle, wer Zugriff auf die Protokolle hat und wie die Protokolle vor Manipulation geschützt werden
- Protokollabdeckung — Nachweis, dass alle Systeme, die personenbezogene Daten verarbeiten, Ereignisprotokolle generieren, die mindestens Authentifizierungsereignisse, Zugriffe auf personenbezogene Daten, Datenänderungen und administrative Aktionen abdecken.
- Protokollüberwachung — Nachweis einer aktiven Protokollüberwachung, sei es durch eine SIEM-Plattform, automatisierte Warnmeldungen oder dokumentierte manuelle Prüfpläne
- Protokollschutz — Technische Kontrollmechanismen zur Verhinderung von Protokollmanipulationen, einschließlich einmalig beschreibbarer Speicherung, Integritätsprüfsummen oder zentralisierter Protokollsammlung in einem separaten System
- Protokollaufbewahrungsverwaltung — Automatisierte oder verfahrenstechnische Kontrollen, die sicherstellen, dass Protokolle für den festgelegten Zeitraum aufbewahrt und anschließend gelöscht oder anonymisiert werden
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.11 Planung des Vorfallmanagements | Protokolle liefern die Beweisgrundlage für die Erkennung und Untersuchung von Vorfällen. |
| A.3.12 Reaktion auf Sicherheitsvorfälle | Die Reaktion auf Sicherheitsvorfälle stützt sich auf die Protokollanalyse, um Umfang und Auswirkungen zu bestimmen. |
| A.3.23 Sichere Authentifizierung | Authentifizierungsereignisse sind eine wichtige Kategorie protokollierter Ereignisse. |
| A.3.9 Zugriffsrechte | Der Zugriff auf die Protokolle muss auf autorisiertes Personal beschränkt sein. |
| A.1.4.8 Retention | Die Aufbewahrung von Protokollen muss dem Aufbewahrungsplan für personenbezogene Daten entsprechen. |
Für wen gilt diese Regelung?
A.3.25 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Verantwortliche müssen die Verarbeitung personenbezogener Daten in ihren Systemen protokollieren. Auftragsverarbeiter haben zusätzliche Pflichten hinsichtlich des Kundenzugriffs auf Protokolle: Sie müssen festlegen, wann und wie Kunden auf die Protokolle zugreifen können, die Kundenisolation gewährleisten (jeder Kunde kann nur seine eigenen Protokolle einsehen) und verhindern, dass Kunden Protokolleinträge ändern.
Einfacher Einstieg mit einer persönlichen Produktdemo
Einer unserer Onboarding-Spezialisten führt Sie durch unsere Plattform, damit Sie selbstbewusst loslegen können.
Warum sollten Sie sich ISMS.online zur Einhaltung der Vorschriften zur Protokollierung personenbezogener Daten?
ISMS.online bietet praktische Werkzeuge für das Management der Einhaltung der Protokollierungsvorschriften:
- Überwachungsprotokollverwaltung — Integrierte Prüfprotokolle, die alle Aktionen innerhalb der Plattform aufzeichnen und so die Einhaltung der Protokollierungsanforderungen für Ihr PIMS nachweisen.
- Richtlinienverwaltung — Protokollierungsrichtlinien mit Versionskontrolle und Mitarbeiterbestätigungs-Tracking veröffentlichen
- Terminplanung für die Protokollprüfung — Regelmäßige Überprüfungen der Protokolle planen und verfolgen, einschließlich Aufgabenzuweisungen und Abschlussberichten für Prüfungszwecke
- Integration des Vorfalls — Die Ergebnisse der Protokollanalyse werden direkt mit den Vorfallsaufzeichnungen verknüpft, wodurch eine dokumentierte Kette von der Erkennung bis zur Behebung entsteht.
- Aufbewahrungsverfolgung — Verwalten Sie die Anforderungen an die Protokollaufbewahrung zusammen mit Ihrem allgemeinen Datenaufbewahrungsplan und heben Sie Konflikte und Ablaufdaten hervor
Häufig gestellte Fragen
Welche Ereignisse sollten bei der Verarbeitung personenbezogener Daten protokolliert werden?
Protokolle sollten mindestens erfassen, wer wann auf personenbezogene Daten zugegriffen hat, welche Daten betroffen waren und welche Änderungen vorgenommen wurden. Dies umfasst erfolgreiche und fehlgeschlagene Authentifizierungsversuche, Lese- und Schreibvorgänge, administrative Aktionen (wie das Erstellen oder Ändern von Benutzerkonten), Datenexporte, Änderungen der Einwilligung und alle automatisierten Verarbeitungsentscheidungen. Der Detaillierungsgrad sollte der Sensibilität der personenbezogenen Daten und dem Risikoprofil des Systems angemessen sein.
Wie sollten Organisationen mit personenbezogenen Daten in Protokolldateien umgehen?
Protokolldateien enthalten häufig personenbezogene Daten wie Benutzernamen, E-Mail-Adressen, IP-Adressen und Identifikationsmerkmale betroffener Personen. Organisationen sollten personenbezogene Daten in Protokolldateien auf das für den jeweiligen Zweck notwendige Maß beschränken, Zugriffskontrollen implementieren, um den Zugriff auf Protokolldateien einzuschränken, Protokolldaten in Aufbewahrungsfristen einbeziehen und diese nach Ablauf der Aufbewahrungsfrist anonymisieren oder löschen. Protokolldateien sollten nicht für Zwecke außerhalb ihres vorgesehenen Anwendungsbereichs (z. B. Sicherheitsüberwachung, Betriebsdiagnose) verwendet werden.
Welche prozessorspezifischen Protokollierungspflichten bestehen?
Auftragsverarbeiter müssen Kriterien festlegen und kommunizieren, wann und wie Protokollinformationen Kunden zur Verfügung gestellt werden können. Wenn Kunden Zugriff erhalten, muss der Auftragsverarbeiter Kontrollmechanismen implementieren, die sicherstellen, dass jeder Kunde nur auf Protokolle seiner eigenen Aktivitäten zugreifen kann, die Protokolle anderer Kunden nicht einsehen und keine Protokolleinträge ändern kann. Diese Regelungen sollten im Datenverarbeitungsvertrag dokumentiert und die Kriterien dem Kunden zugänglich gemacht werden.
Audit-Logs sind eine wichtige Beweiskategorie – unsere Leitfaden zu den Anforderungen an Prüfungsnachweise erläutert, wie Prüfer die Protokollierungskontrollen bewerten.
Fügen Sie die Anmeldung in Ihre Erklärung zur Anwendbarkeit und erläutern Sie Ihre Strategie zur Kundenbindung.
