Wat vereis beheer A.3.24?
Rugsteunkopieë van PII, en sagteware en stelsels wat verband hou met PII-verwerking, moet onderhou en gereeld getoets word.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en spreek die beskikbaarheidsdimensie van PII-beskerming aan. Terwyl baie privaatheidskontroles fokus op die voorkoming van ongemagtigde toegang of openbaarmaking, verseker A.3.24 dat PII herwin en herstel kan word wanneer stelsels faal. Sonder getoetste rugsteun kan 'n losprysware-aanval, hardeware-fout of natuurramp lei tot permanente verlies van persoonlike data.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.24) verskaf uitgebreide leiding:
- Rugsteun- en uitwissingbeleid — Die organisasie moet 'n beleid hê wat rugsteun, herstel en herstel van persoonlike inligting aanspreek, insluitend enige kontraktuele of wetlike vereistes vir die uitwissing van persoonlike inligting wat in rugsteundata vervat is.
- Kliënt kommunikasie — PII-spesifieke rugsteunverantwoordelikhede kan van die kliënt afhang. Die organisasie moet verseker dat kliënte ingelig word oor die beperkings van die diens rakende rugsteun.
- Deursigtigheid van rugsteundienste — Waar rugsteun- en hersteldienste eksplisiet aan kliënte verskaf word, moet die organisasie duidelike inligting oor sy vermoëns verskaf
- Jurisdiksionele vereistes — Sommige jurisdiksies stel spesifieke vereistes rakende rugsteunfrekwensie, hersienings- en toetsfrekwensie, of herstelprosedures vir PII. Organisasies wat in hierdie jurisdiksies werksaam is, moet voldoening demonstreer.
- PII-herstelintegriteit — Wanneer PII vanaf rugsteun herstel word, moet prosesse verseker dat die PII herstel word na 'n toestand waar integriteit verseker kan word, of waar onakkuraatheid of onvolledigheid geïdentifiseer en opgelos word (wat die PII-hoof kan betrek)
- Restourasie-logboek — Die organisasie moet 'n prosedure en logboek vir die herstel van persoonlike inligting (PII) byhou, wat ten minste die naam van die verantwoordelike persoon en 'n beskrywing van die herstelde PII aanteken.
- Subkontrakteur-rugsteun — Die gebruik van subkontrakteurs om gerepliseerde of rugsteunkopieë van PII te stoor, word gedek deur verskafferbestuurskontroles (B.3.10, B.3.20)
- Sien ook A.3.22: Gebruikerseindpunttoestelle vir verwante vereistes
- Sien ook A.3.25: Logging vir verwante vereistes
'n Besonder belangrike punt is die spanning tussen rugsteunbewaring en PII-verwydering: organisasies moet die behoefte om rugsteun vir herstel te behou, balanseer met die verpligtinge om PII te verwyder wanneer bewaringstydperke verstryk of wanneer data-onderwerpe hul reg op verwydering uitoefen.
Hoe pas dit by die GDPR?
Beheer A.3.24 karteer na die volgende BBP artikels:
- Artikel 5(1)(f) — Die integriteits- en vertroulikheidsbeginsel, wat beskerming teen toevallige verlies of vernietiging van persoonlike data dek
- Artikel 32 (1) (c) — Die vereiste om die vermoë te implementeer om die beskikbaarheid en toegang tot persoonlike data betyds te herstel in die geval van 'n fisiese of tegniese voorval
Artikel 32(1)(c) noem spesifiek herstelvermoë, wat getoetste rugsteun 'n direkte BBP vereiste eerder as net goeie praktyk.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.9.3.1 (inligtingrugsteun). Die 2025-uitgawe behou en brei die kernvereistes as A.3.24 uit, met aansienlik meer gedetailleerde implementeringsriglyne in B.3.24 wat herstellogboeke, jurisdiksionele vereistes en die rugsteun-versus-uitwissing-spanning dek. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.24 beoordeel word, sal ouditeure tipies kyk na:
- Rugsteunbeleid — ’n Gedokumenteerde beleid wat rugsteunomvang, frekwensie, bewaringsperiodes, enkripsie, toetsskedules en verantwoordelikhede vir PII-bevattende stelsels dek.
- Rugsteuntoetsrekords — Bewyse van gereelde rugsteunhersteltoetse, insluitend toetsdatums, omvang, resultate en enige probleme wat geïdentifiseer en reggestel is
- Restourasielogboeke — 'n Logboek van enige PII-herstelgebeurtenisse wat die verantwoordelike persoon aanteken, 'n beskrywing van die herstelde PII en enige geïdentifiseerde integriteitsprobleme
- Rugsteun-uitwissing-versoening — Bewyse dat die organisasie die uitwissing van persoonlike inligting (PII) binne rugsteundata aangespreek het, hetsy deur tegniese maatreëls of gedokumenteerde regverdiging vir bewaring.
- Kliënt kommunikasie — Vir verwerkers, bewys dat kliënte ingelig is oor rugsteunvermoëns en -beperkings
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.1.4.8 Behoud | Rugsteunbewaring moet ooreenstem met PII-bewaringskedules |
| A.1.4.6 De-identifikasie en verwydering | PII-verwyderingsvereistes skep spanning met rugsteunbehoud |
| A.3.20 Stoormedia | Rugsteunmedia moet deur sy lewensiklus bestuur word |
| A.3.26 Gebruik van kriptografie | Rugsteundata moet beide tydens vervoer en in rus geïnkripteer word |
| A.3.10 Verskafferooreenkomste | Derdeparty-rugsteunverskaffers moet gebonde wees aan toepaslike kontrakte |
Op wie is hierdie beheer van toepassing?
A.3.24 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beheerders moet verseker dat hul PII gerugsteun en herwinbaar is. Verwerkers het bykomende verpligtinge om rugsteunvermoëns en -beperkings aan hul kliënte te kommunikeer, en om duidelike inligting oor herstelvermoëns te verskaf waar rugsteundienste deel van die diensaanbod is.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Hoekom kies ISMS.aanlyn vir rugsteun-nakomingsbestuur?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van PII-rugsteun-nakoming:
- Rugsteunskedulebestuur — Dokumenteer en volg rugsteunskedules vir alle PII-verwerkingstelsels, met outomatiese herinneringe vir komende toetse en hersienings
- Toetsresultaatopsporing — Teken rugsteun herstel toetsresultate aan met slaag/misluk status, geïdentifiseerde probleme en remediërende aksies, wat 'n volledige ouditspoor skep
- Restourasielogboek — Handhaaf die vereiste logboek van PII-herstelgebeurtenisse met verantwoordelike persoon, beskrywing en integriteitsassesseringsvelde
- Beleidsbestuur — Publiseer rugsteunbeleide met weergawebeheer en personeelerkenningsopsporing
- Behoudbestuur — Koppel rugsteunbewaringsperiodes aan u databewaringskedule, en beklemtoon waar rugsteunbewaring kan bots met PII-uitwissingsverpligtinge
Vrae & Antwoorde
Hoe hanteer julle uitwissingsversoeke wanneer PII in rugsteun bestaan?
Dit is een van die mees uitdagende aspekte van PII-rugsteunbestuur. Die meeste organisasies kan nie individuele rekords selektief uit rugsteunstelle verwyder sonder om die hele rugsteun te herstel nie. Algemene benaderings sluit in: die instandhouding van 'n verwyderingsregister wat toegepas word wanneer 'n rugsteun herstel word, die gebruik van rugsteunbewaringsperiodes wat kort genoeg is om te verseker dat verwyderde PII natuurlik verouder, of die implementering van rugsteunoplossings wat gedetailleerde verwydering ondersteun. Die benadering moet in die rugsteunbeleid gedokumenteer word en aan datasubjekte gekommunikeer word wanneer daar op verwyderingsversoeke gereageer word.
Hoe gereeld moet rugsteunherstel getoets word?
Die standaard vereis gereelde toetsing, maar spesifiseer nie 'n frekwensie nie. Die beste praktyk in die bedryf is om kritieke PII-stelselrugsteun ten minste kwartaalliks te toets, met minder kritieke stelsels wat ten minste jaarliks getoets word. Sommige jurisdiksies mag spesifieke toetsfrekwensies oplê. Die toetsing moet beide die tegniese vermoë om data te herstel en die integriteit van die herstelde PII verifieer. Toetsresultate moet gedokumenteer word en enige foute moet onmiddellike remediëring veroorsaak.
Wat moet die PII-herstellogboek bevat?
Die logboek moet ten minste die naam van die persoon wat verantwoordelik is vir die herstel en 'n beskrywing van die herstelde persoonlike inligting (PII) aanteken. Beste praktyk brei dit uit om die datum en tyd van die herstel, die rede vir die herstel, die bronrugsteun wat gebruik is, enige integriteitsprobleme wat tydens die herstel geïdentifiseer is en die stappe wat geneem is om dit op te los, in te sluit. Sommige jurisdiksies skryf addisionele logboekinhoud voor, daarom moet organisasies plaaslike vereistes nagaan en voldoening dokumenteer.
Teken hierdie kontrole in jou Verklaring van toepaslikheid met jou implementeringsbenadering.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag.
