Was erfordert die Kontrolle A.3.9?
Zugriffsrechte auf personenbezogene Daten und andere damit verbundene Vermögenswerte im Zusammenhang mit der Verarbeitung personenbezogener Daten werden gemäß den themenspezifischen Richtlinien und Regeln der Organisation zur Zugriffskontrolle bereitgestellt, überprüft, geändert und entfernt.
Diese Steuerung befindet sich innerhalb der Gemeinsame Sicherheitskontrollen Anhang (A.3) enthält Pflichten, die sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten gelten. Ein effektives Zugriffsmanagement gewährleistet, dass nur autorisiertes Personal auf personenbezogene Daten zugreifen kann und reduziert so das Risiko einer unbefugten Offenlegung oder Änderung.
Was besagt der Umsetzungsleitfaden für Anhang B?
Anhang B (Abschnitt B.3.9) enthält folgende Hinweise:
- Pflegen Sie genaue Aufzeichnungen — Halten Sie aktuelle Aufzeichnungen über Benutzerprofile bereit, die dokumentieren, welche Personen Zugriff auf personenbezogene Daten und Systeme zur Verarbeitung personenbezogener Daten haben.
- Individuelle Benutzerzugriffs-IDs — Verwenden Sie individuelle Benutzerkennungen, damit Organisationen genau feststellen können, wer auf personenbezogene Daten zugegriffen und welche Änderungen vorgenommen hat. Dies unterstützt die Rechenschaftspflicht und Nachverfolgbarkeit.
- Aufgaben des Prozessors — In Auftragsverarbeitungsszenarien kann der Kunde (Controller) für bestimmte Aspekte der Zugriffsverwaltung verantwortlich sein. Auftragsverarbeiter sollten dem Controller die entsprechenden administrativen Rechte einräumen, damit dieser den Zugriff bedarfsgerecht verwalten kann.
- Web Link A.3.8: Identitätsmanagement für damit zusammenhängende Anforderungen
- Web Link A.3.23: Sichere Authentifizierung für damit zusammenhängende Anforderungen
Die Betonung der individuellen Identifizierung bedeutet, dass gemeinsam genutzte Konten oder generische Anmeldedaten nicht akzeptabel sind, wenn personenbezogene Daten betroffen sind. Jeder Zugriff muss einer bestimmten Person zugeordnet werden können.
Wie lässt sich das mit der DSGVO vereinbaren?
Steuerung A.3.9 ist zugeordnet zu Datenschutz Artikel 5 Absatz 1 Buchstabe f verlangt, dass personenbezogene Daten so verarbeitet werden, dass eine angemessene Sicherheit gewährleistet ist, einschließlich des Schutzes vor unberechtigtem Zugriff. Eine strenge Zugriffskontrolle ist eine der direktesten Möglichkeiten, die Einhaltung dieses Integritäts- und Vertraulichkeitsgrundsatzes nachzuweisen.
Die vollständige Zuordnung von DSGVO zu ISO 27701 finden Sie hier: Leitfaden zur Einhaltung der DSGVO.
Was hat sich gegenüber ISO 27701:2019 geändert?
Eine schrittweise Anleitung finden Sie unter Übergang von 2019 bis 2025.
In der Ausgabe von 2019 war diese Anforderung in den Abschnitten 6.6.2.2, 6.6.2.5 und 6.6.2.6 geregelt, die die Bereitstellung von Benutzerzugriffen, die Überprüfung von Benutzerzugriffsrechten bzw. die Entfernung oder Anpassung von Zugriffsrechten behandelten. Die Ausgabe von 2025 fasst diese in einer einzigen Kontrollmaßnahme (A.3.9) zusammen, wobei die Kontrollbeschreibung und die Umsetzungshinweise in B.3.9 klarer voneinander getrennt sind. Siehe die Korrespondenztabelle im Anhang F für die vollständige Kartierung.
Starten Sie Ihre kostenlose Testversion
Möchten Sie erkunden?
Melden Sie sich noch heute für Ihre kostenlose Testversion an und nutzen Sie alle Compliance-Funktionen, die ISMS.online zu bieten hat
Welche Nachweise erwarten die Wirtschaftsprüfer?
Bei der Beurteilung der Einhaltung von A.3.9 achten die Prüfer typischerweise auf Folgendes:
- Zugriffskontrollrichtlinie — Eine dokumentierte, themenspezifische Richtlinie, die regelt, wie Zugriffsrechte auf personenbezogene Daten gewährt, überprüft und widerrufen werden.
- Benutzerzugriffsregister — Eine aktuelle Liste aller Personen mit Zugriff auf personenbezogene Daten, einschließlich ihrer Rollen und der spezifischen Datensätze, auf die sie zugreifen können.
- Regelmäßige Zugriffsüberprüfungen — Nachweis regelmäßiger Überprüfungen (z. B. vierteljährlich), die bestätigen, dass die Zugriffsrechte weiterhin angemessen sind, einschließlich Aufzeichnungen über alle vorgenommenen Änderungen
- Beitritts-/Umzugs-/Austrittsprozess — Dokumentierte Verfahren, die beschreiben, wie neuen Mitarbeitern Zugriffsrechte gewährt, bei Rollenwechseln angepasst und bei Ausscheiden eines Mitarbeiters umgehend entfernt werden.
- Prüfprotokolle — Systemprotokolle, die belegen, dass individuelle Benutzer-IDs verwendet werden und Zugriffsereignisse nachvollziehbar sind
Welche Steuerungselemente gehören dazu?
| Kontrollieren | Beziehung |
|---|---|
| A.3.10 Lieferantenvereinbarungen | Lieferantenverträge sollten Zugriffsrechte und -beschränkungen für personenbezogene Daten festlegen. |
| A.3.18 Vertraulichkeitsvereinbarungen | Mitarbeiter mit Zugriff auf personenbezogene Daten unterliegen der Vertraulichkeitspflicht. |
| A.3.16 Einhaltung der Richtlinien | Überprüfen Sie, ob die Zugriffskontrollrichtlinien in der Praxis eingehalten werden. |
| A.3.15 Unabhängige Überprüfung | Unabhängige Prüfungen sollten beurteilen, ob die Zugriffskontrollen wirksam sind. |
| A.3.17 Bewusstsein und Schulung | Die Mitarbeiter benötigen Schulungen zu ihren Verantwortlichkeiten im Bereich der Zugangskontrolle und zum Umgang mit personenbezogenen Daten. |
Für wen gilt diese Regelung?
A.3.9 ist ein Gemeinsame Kontrolle Dies gilt sowohl für Verantwortliche als auch für Auftragsverarbeiter personenbezogener Daten. Verantwortliche müssen sicherstellen, dass der Zugriff auf personenbezogene Daten auf autorisiertes Personal beschränkt ist, während Auftragsverarbeiter den Verantwortlichen die notwendigen administrativen Werkzeuge zur Verfügung stellen müssen, um Zugriffsrechte zu verwalten. In der Praxis bedeutet dies, dass beide Parteien dokumentierte Verfahren zur Zugriffsverwaltung benötigen.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Warum sollten Sie sich ISMS.online zur Verwaltung von Zugriffsrechten auf personenbezogene Daten?
ISMS.online bietet praktische Werkzeuge für die Verwaltung der Zugriffskontrollen in Ihrem Datenschutzprogramm:
- Zugangskontrollregister — Dokumentieren, wer Zugriff auf welche personenbezogenen Daten hat, mit rollenbasierter Kategorisierung und Genehmigungsworkflows
- Überprüfungen des geplanten Zugriffs — Legen Sie Überprüfungszyklen mit automatisierten Erinnerungen fest, damit Zugriffsrechte in geplanten Abständen überprüft werden.
- Arbeitsabläufe für Beitritt/Versetzung/Austritt — Vorgefertigte Aufgabenvorlagen für die Bereitstellung, Änderung und den Entzug von Zugriffsrechten bei Personalwechseln
- Vollständiger Prüfpfad Jede Änderung der Zugriffsrechte wird mit Zeitstempel, Genehmigern und Gründen protokolliert und steht somit der Überprüfung durch den Auditor zur Verfügung.
- Richtlinienverwaltung — Pflegen Sie Ihre Zugriffskontrollrichtlinie mit Versionskontrolle, Nachverfolgung der Mitarbeiterbestätigungen und Überprüfungsterminen.
Häufig gestellte Fragen
Wie oft sollten Zugriffsrechte überprüft werden?
Der Standard schreibt keine spezifische Häufigkeit vor, aber die meisten Organisationen überprüfen die Zugriffsrechte auf personenbezogene Daten vierteljährlich. Bei Hochrisikosystemen, die sensible Kategorien personenbezogener Daten verarbeiten, können monatliche Überprüfungen erforderlich sein. Wichtig ist, dass die Überprüfungen in geplanten Abständen erfolgen, dokumentiert werden und etwaige Unstimmigkeiten umgehend behoben werden.
Können gemeinsam genutzte Konten für den Zugriff auf personenbezogene Daten verwendet werden?
Die Implementierungsrichtlinien fordern ausdrücklich individuelle Benutzerzugriffskennungen, damit Organisationen nachvollziehen können, wer auf personenbezogene Daten zugegriffen und welche Änderungen vorgenommen hat. Gemeinsam genutzte oder generische Konten beeinträchtigen diese Nachverfolgbarkeit. Sollten gemeinsam genutzte Konten aus technischen Gründen unvermeidbar sein, sind kompensierende Kontrollmaßnahmen wie zusätzliche Protokollierung und Überwachung zu dokumentieren.
Welche Pflichten hat ein Auftragsverarbeiter im Bereich des Kundenzugriffsmanagements?
Verarbeitet ein Auftragsverarbeiter personenbezogene Daten im Auftrag eines Verantwortlichen, muss dieser unter Umständen bestimmte Zugriffsrechte direkt verwalten. Der Auftragsverarbeiter sollte dem Verantwortlichen die entsprechenden administrativen Rechte und Werkzeuge zur Verfügung stellen, damit dieser den Zugriff nach Bedarf gewähren und widerrufen kann. Die Aufteilung der Verantwortlichkeiten sollte in der Auftragsverarbeitungsvereinbarung klar dokumentiert sein.
Dokumentieren Sie diese Kontrolle in Ihrem Erklärung zur Anwendbarkeit mit Ihrer Implementierungsbegründung.
Sie finden weitere Information in der Produktübersicht für Leitfaden zu den Anforderungen an Prüfungsnachweise für das, was Wirtschaftsprüfer erwarten.
