Was erfordert die Kontrolle A.3.8?
Der gesamte Lebenszyklus von Identitäten im Zusammenhang mit der Verarbeitung personenbezogener Daten muss verwaltet werden.
Diese Steuerung befindet sich innerhalb der gemeinsame Sicherheitskontrollen (Tabelle A.3) und gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Es erweitert die Anforderungen der Norm ISO 27001 für Identitätsmanagement, um speziell Systeme zu berücksichtigen, die personenbezogene Daten verarbeiten, da kompromittierte Identitäten einer der häufigsten Wege zu Datenschutzverletzungen sind.
Was besagt der Umsetzungsleitfaden?
Anhang B (Abschnitt B.3.8) enthält detaillierte Hinweise zum Identitätslebenszyklusmanagement für PII-Verarbeitungssysteme:
- Kompromittierte Anmeldeinformationen — Gehen Sie auf Situationen ein, in denen die Benutzerzugriffskontrolle gefährdet ist, z. B. durch Beschädigung oder Kompromittierung von Passwörtern. Stellen Sie sicher, dass Verfahren zur Erkennung und umgehenden Reaktion auf kompromittierte Zugangsdaten vorhanden sind.
- Deaktivierte/abgelaufene IDs — Deaktivierte oder abgelaufene Benutzerkennungen für Systeme zur Verarbeitung personenbezogener Daten dürfen nicht erneut ausgestellt werden. Dies gewährleistet die Integrität der Prüfprotokolle und verhindert Identitätsverwechslungen.
- Geteilte Verantwortung — Wenn Kunden (z. B. im SaaS-Kontext) für bestimmte Aspekte der Benutzer-ID-Verwaltung verantwortlich sind, sollte dies in den Servicevereinbarungen klar dokumentiert werden.
- Zuständigkeitsspezifische Prüfungen — In einigen Ländern und Regionen sind regelmäßige Überprüfungen auf ungenutzte Zugangsdaten vorgeschrieben. Ermitteln Sie die für Ihr Unternehmen geltenden Anforderungen und halten Sie diese ein.
- Web Link A.3.9: Zugriffsrechte für damit zusammenhängende Anforderungen
- Web Link A.3.23: Sichere Authentifizierung für damit zusammenhängende Anforderungen
Die Richtlinien decken den gesamten Lebenszyklus ab: Erstellung, Bereitstellung, Änderung, Sperrung, Deaktivierung und Löschung von Identitäten. Jeder Schritt sollte dokumentiert und kontrolliert werden.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.8 ist zugeordnet zu Datenschutz Artikel 5 Absatz 1 Buchstabe f (Grundsatz der Integrität und Vertraulichkeit). Ein robustes Identitätsmanagement ist eine zentrale technische und organisatorische Maßnahme gemäß Artikel 32 (Sicherheit der Datenverarbeitung). Kompromittierte oder unzureichend verwaltete Identitäten können zu unberechtigtem Zugriff auf personenbezogene Daten führen. Dies stellt sowohl einen Sicherheitsvorfall als auch eine potenzielle Datenschutzverletzung dar, die gemäß den Artikeln 33 und 34 meldepflichtig ist.
In welchem Zusammenhang steht dies mit den Datenschutzgrundsätzen der ISO 29100?
Als gemeinsame Sicherheitskontrolle unterstützt A.3.8 die umfassendere ISO 29100 Rahmenwerk. Identitätsmanagement ist eine direkte Umsetzung des Informationssicherheitsprinzips und gewährleistet, dass nur autorisierte Personen auf personenbezogene Daten zugreifen können und dass ihr Zugriff während des gesamten Identitätslebenszyklus nachverfolgt, überprüft und widerrufen werden kann.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.8 achten die Prüfer typischerweise auf Folgendes:
- Verfahren im Lebenszyklus der Identität — Dokumentierte Verfahren zur Erstellung, Änderung, Sperrung und Deaktivierung von Benutzeridentitäten für PII-Verarbeitungssysteme
- Beitritts-/Umzugs-/Austrittsprozess — Nachweise dafür, dass Identitätsänderungen durch HR-Ereignisse (Neueinstellungen, Rollenwechsel, Austritte) ausgelöst und umgehend bearbeitet werden
- Keine Wiederverwendung deaktivierter IDs — Nachweis, dass deaktivierte oder abgelaufene Benutzerkennungen in PII-Verarbeitungssystemen nicht an neue Benutzer neu vergeben wurden.
- Überprüfung ungenutzter Anmeldeinformationen — Nachweis regelmäßiger Überprüfungen zur Identifizierung und Deaktivierung inaktiver Konten, mit dokumentierter Häufigkeit und Ergebnissen
- Kompromissreaktion — Verfahren und Nachweise der Reaktion auf Vorfälle im Zusammenhang mit der Kompromittierung von Zugangsdaten (Zurücksetzung von Passwörtern, Kontosperrungen, Ermittlungsprotokolle)
- Dienstleistungsverträge — Wo Kunden ihre eigenen Benutzerkennungen verwalten, Vereinbarungen, die Verantwortlichkeiten klar definieren
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.4 Rollen und Verantwortlichkeiten | Definierte Rollen legen fest, welche Zugriffsrechte jede Identität haben soll. |
| A.3.5 Klassifizierung von Informationen | Der Zugriff auf höher eingestufte personenbezogene Daten sollte auf entsprechend autorisierte Personen beschränkt werden. |
| A.3.3 Richtlinien zur Informationssicherheit | Die Verfahren zum Identitätsmanagement sollten die in den Sicherheitsrichtlinien definierten Zugriffskontrollanforderungen umsetzen. |
| A.3.7 Informationstransfer | Die für den Zugriff auf Transfersysteme verwendeten Identitäten müssen über dieselben Lebenszykluskontrollen verwaltet werden. |
| A.3.12 Reaktion auf Sicherheitsvorfälle | Eine Identitätskompromittierung, die zu unberechtigtem Zugriff führt, kann Meldepflichten auslösen. |
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung in Abschnitt 6.6.2.1 (Benutzerregistrierung und -abmeldung) enthalten. Die Version von 2025 erweitert den Anwendungsbereich und deckt explizit den gesamten Identitätslebenszyklus ab, nicht nur die Registrierung und Abmeldung. Die Richtlinien enthalten nun spezifische Bestimmungen für kompromittierte Anmeldeinformationen, die Nichtwiederverwendung deaktivierter IDs und länderspezifische Anforderungen an die Überprüfung von Anmeldeinformationen. Siehe … Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online für die Governance des Identitätsmanagements?
ISMS.online hilft Ihnen bei der Steuerung des Identitätslebenszyklus für PII-Verarbeitungssysteme:
- Zugangskontrollregister — Dokumentieren Sie, wer Zugriff auf welche Systeme zur Verarbeitung personenbezogener Daten hat, mit rollenbasierten Zugriffsebenen, die mit definierten Verantwortlichkeiten verknüpft sind.
- Arbeitsabläufe für Beitritt/Versetzung/Austritt — Auslösung von Aufgaben zur Identitätsbereitstellung, -änderung und -deaktivierung durch HR-Ereignisse mit Nachverfolgung von Abschluss und Genehmigung
- Regelmäßige Zugriffsüberprüfungen — Zugriffsüberprüfungen für Systeme zur Verarbeitung personenbezogener Daten planen und verfolgen, mit integrierten Erinnerungen und einem Prüfprotokoll der Überprüfungsergebnisse
- Reaktion auf Vorfälle — Protokollieren Sie Ereignisse im Zusammenhang mit der Kompromittierung von Zugangsdaten und verfolgen Sie die Reaktion bis zur Lösung, einschließlich des Nachweises über die ergriffenen Abhilfemaßnahmen.
- Lieferantenzugangssteuerung — Wenn Dritte oder Kunden ihre eigenen Identitäten verwalten, dokumentieren Sie das Modell der gemeinsamen Verantwortung und überwachen Sie die Einhaltung.
- Compliance-Berichterstattung — Berichte zum Status der Identitätsverwaltung erstellen, einschließlich inaktiver Konten, überfälliger Überprüfungen und Anträgen auf Änderung des offenen Zugriffs.
Häufig gestellte Fragen
Warum sollten deaktivierte Benutzerkennungen nicht neu ausgestellt werden?
Die erneute Vergabe einer deaktivierten Benutzerkennung an eine neue Person führt zu Unklarheiten in den Protokollen. Protokolliert ein System Aktionen anhand der Benutzerkennung, lässt sich nicht mehr zwischen den Aktionen des ursprünglichen und nachfolgender Inhaber dieser Kennung unterscheiden. Für Systeme zur Verarbeitung personenbezogener Daten, bei denen die Protokollierung entscheidend für den Nachweis der Einhaltung von Vorschriften und die Untersuchung von Vorfällen ist, ist diese Unklarheit inakzeptabel. Erstellen Sie daher stets neue, eindeutige Benutzerkennungen für neue Benutzer.
Wie oft sollten wir auf ungenutzte Anmeldeinformationen prüfen?
Überprüfen Sie ungenutzte Zugangsdaten mindestens vierteljährlich. In manchen Ländern oder Branchen sind häufigere Überprüfungen vorgeschrieben. Automatisierte Tools können Konten kennzeichnen, die innerhalb eines definierten Zeitraums (z. B. 90 Tage) nicht genutzt wurden, sodass Ihr Team diese Konten umgehend untersuchen und deaktivieren kann. Kombinieren Sie die automatisierte Erkennung mit einer manuellen Überprüfung, um auch übersehene Konten zu erfassen.
Was sollten wir tun, wenn Zugangsdaten kompromittiert wurden?
Setzen Sie die kompromittierten Zugangsdaten umgehend zurück oder sperren Sie sie und untersuchen Sie das Ausmaß der Kompromittierung. Stellen Sie fest, ob personenbezogene Daten abgerufen oder exfiltriert wurden. Falls eine Verletzung des Schutzes personenbezogener Daten vorliegt, prüfen Sie, ob eine Meldepflicht gemäß geltender Gesetzgebung besteht (z. B. Datenschutzgesetz). Datenschutz Artikel 33 und 34). Dokumentieren Sie den Vorfall, die ergriffenen Maßnahmen und das Ergebnis. Analysieren Sie die Ursache und ergreifen Sie Maßnahmen zur Verhinderung eines erneuten Auftretens, wie z. B. die Durchsetzung der Multi-Faktor-Authentifizierung oder die Verschärfung der Passwortrichtlinien.
Dokumentieren Sie diese Kontrolle in Ihrem Erklärung zur Anwendbarkeit mit Ihrer Implementierungsbegründung.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Wirtschaftsprüfer erwarten.
