Wat vereis beheer A.3.25?
Logboeke wat aktiwiteite, uitsonderings, foute en ander relevante gebeurtenisse wat verband hou met PII-verwerking aanteken, moet geproduseer, gestoor, beskerm en geanaliseer word.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en stel omvattende loggingvereistes vir PII-verwerkingsaktiwiteite vas. Logging dien verskeie doeleindes: die opsporing van ongemagtigde toegang tot PII, die ondersteuning van voorvalondersoek, die demonstrasie van voldoening aan ouditeure en die verskaffing van bewyse in die geval van 'n data-oortreding. Sonder voldoende logging weet 'n organisasie moontlik nie dat 'n oortreding plaasgevind het, wie toegang tot PII verkry het of wanneer nie.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.25) verskaf uitgebreide leiding wat verskeie gebiede dek:
- Hersiening en monitering — Gebeurtenislogboeke moet hersien word deur middel van deurlopende outomatiese monitering en waarskuwings, of handmatig teen 'n gespesifiseerde gedokumenteerde periodisiteit, om onreëlmatighede te identifiseer en remediëring voor te stel.
- PII-toegangslogboek — Waar moontlik, moet gebeurtenislogboeke toegang tot persoonlike inligting aanteken, insluitend deur wie, wanneer, watter PII-prinsipaal se data verkry is en watter veranderinge aangebring is (byvoegings, wysigings of verwyderings).
- Multi-verskaffer omgewings — Waar verskeie diensverskaffers betrokke is, moet rolle in die implementering van logging duidelik gedefinieer en gedokumenteer word, en ooreenkoms oor logtoegang tussen verskaffers moet aangespreek word.
- Logboeke as PII — Loginligting wat vir sekuriteitsmonitering en operasionele diagnostiek aangeteken is, kan self persoonlike inligting bevat. Toegangsbeheer moet verseker dat aangetekende inligting slegs soos bedoel gebruik word.
- Logbewaring en -verwydering — ’n Prosedure, verkieslik outomaties, moet verseker dat aangetekende inligting óf uitgevee óf gedeïdentifiseer word soos gespesifiseer in die bewaringskedule.
- Sien ook A.3.22: Gebruikerseindpunttoestelle vir verwante vereistes
- Sien ook A.3.24: Inligtingrugsteun vir verwante vereistes
Implementeringsriglyne vir PII-verwerkers
- Toegangskriteria vir kliëntlogboeke — Die organisasie moet kriteria definieer vir of, wanneer en hoe loginligting beskikbaar gestel kan word aan of bruikbaar gemaak kan word deur die kliënt
- Kliëntisolasie — Waar kliënte toegang tot logboeke kry, mag hulle slegs toegang tot rekords met betrekking tot hul eie aktiwiteite verkry, kan nie toegang tot ander kliënte se logboeke verkry nie en kan nie die logboeke wysig nie.
'n Belangrike spanning in die riglyne is dat logs self persoonlike inligting kan bevat (bv. gebruikersname, IP-adresse, data-onderwerp-identifiseerders), wat beteken dat die logs gelyktydig 'n privaatheidsbeheer en 'n privaatheidsrisiko is wat bestuur moet word.
Hoe pas dit by die GDPR?
Beheer A.3.25 karteer na die volgende BBP Artikel:
- Artikel 5(1)(f) — Die integriteits- en vertroulikheidsbeginsel, wat toepaslike sekuriteitsmaatreëls vereis. Logging is 'n belangrike speurkontrole wat die vermoë ondersteun om sekuriteitsvoorvalle wat persoonlike data raak, te identifiseer en daarop te reageer.
Logging ondersteun ook BBP Artikel 33-oortredingskennisgewingsverpligtinge deur die bewyse te verskaf wat nodig is om oortredings op te spoor en die omvang en impak daarvan te bepaal.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klausules 6.9.4.1 (gebeurtenislogging), 6.9.4.2 (beskerming van loginligting) en 6.9.4.3 (administrateur- en operateurlogboeke). Die 2025-uitgawe konsolideer al drie in 'n enkele beheer A.3.25, met verenigde implementeringsriglyne in B.3.25 wat nuwe verwerker-spesifieke riglyne oor kliëntlogtoegang insluit. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.25 beoordeel word, sal ouditeure tipies kyk na:
- Logging beleid — ’n Gedokumenteerde beleid wat spesifiseer watter gebeurtenisse aangeteken moet word, die bewaringsperiodes vir logs, wie toegang tot logs het en hoe logs teen manipulasie beskerm word.
- Logdekking — Bewyse dat alle stelsels wat PII verwerk, gebeurtenislogboeke genereer wat ten minste verifikasiegebeurtenisse, PII-toegang, datawysigings en administratiewe aksies dek
- Logmonitering — Bewyse van aktiewe logmonitering, hetsy deur 'n SIEM-platform, outomatiese waarskuwings of gedokumenteerde handmatige hersieningskedules
- Log beskerming — Tegniese beheermaatreëls wat logpeuter voorkom, insluitend eenmalige skryfberging, integriteitskontrolesomme of gesentraliseerde logversameling na 'n aparte stelsel
- Logbehoudbestuur — Outomatiese of prosedurele beheermaatreëls wat verseker dat logs vir die gespesifiseerde tydperk behou word en dan uitgevee of gedeïdentifiseer word
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.11 Beplanning van voorvalbestuur | Logboeke verskaf die bewysbasis vir die opsporing en ondersoek van voorvalle |
| A.3.12 Reaksie op sekuriteitsvoorvalle | Insidentrespons maak staat op loganalise om omvang en impak te bepaal |
| A.3.23 Veilige verifikasie | Verifikasiegebeurtenisse is 'n kritieke kategorie van aangetekende gebeurtenisse |
| A.3.9 Toegangsregte | Toegang tot logboeke moet beperk word tot gemagtigde personeel |
| A.1.4.8 Behoud | Logbewaring moet voldoen aan die PII-bewaringskedule |
Op wie is hierdie beheer van toepassing?
A.3.25 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beheerders moet PII-verwerkingsaktiwiteite oor hul eie stelsels aanteken. Verwerkers het bykomende verpligtinge rakende toegang tot kliëntlogboeke: hulle moet definieer wanneer en hoe kliënte toegang tot logboeke kan verkry, kliëntisolasie verseker (elke kliënt kan slegs hul eie logboeke sien) en verhoed dat kliënte logboekrekords wysig.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoekom kies ISMS.aanlyn vir PII-logboeknakoming?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van logboeknakoming:
- Bestuur van ouditlogboeke — Ingeboude ouditroetes wat alle aksies binne die platform opteken, wat voldoening aan loggingvereistes vir jou PIMS self demonstreer
- Beleidsbestuur — Publiseer logboekbeleide met weergawebeheer en personeelerkenningsopsporing
- Logboekhersieningskedulering — Beplan en hou gereelde logboekhersieningsaktiwiteite dop, met taaktoewysings en voltooiingsrekords vir ouditbewyse
- Insidentintegrasie — Koppel logontledingsbevindinge direk aan voorvalrekords, wat 'n gedokumenteerde ketting van opsporing tot oplossing skep
- Retensieopsporing — Bestuur logbewaringsvereistes saam met jou breër databewaringskedule, en beklemtoon konflikte en vervaldatums.
Vrae & Antwoorde
Watter gebeurtenisse moet aangeteken word vir PII-verwerking?
Logs moet ten minste vasvang wie toegang tot persoonlike inligting verkry het, wanneer, watter persoonlike inligtingshoof se data verkry is en watter veranderinge aangebring is. Dit sluit suksesvolle en mislukte verifikasiepogings, data-lees en -skryf, administratiewe aksies (soos die skep of wysiging van gebruikersrekeninge), data-uitvoere, toestemmingsveranderinge en enige outomatiese verwerkingsbesluite in. Die vlak van detail moet proporsioneel wees tot die sensitiwiteit van die persoonlike inligting en die risikoprofiel van die stelsel.
Hoe moet organisasies PII binne logboeke hanteer?
Logs bevat dikwels persoonlike inligting (PII) soos gebruikersname, e-posadresse, IP-adresse en data-onderwerp-identifiseerders. Organisasies moet PII in logs verminder tot wat nodig is vir hul beoogde doel, toegangsbeheer toepas om te beperk wie logs kan sien, logdata in data-retensieskedules insluit en de-identifikasie of verwydering toepas wanneer die retensietydperk verstryk. Logs moet nie vir doeleindes buite hul beoogde omvang gebruik word nie (bv. sekuriteitsmonitering, operasionele diagnostiek).
Wat is die verwerker-spesifieke loggingverpligtinge?
Verwerkers moet kriteria definieer en kommunikeer vir wanneer en hoe loginligting aan kliënte beskikbaar gestel kan word. Indien kliënte toegang toegelaat word, moet die verwerker beheermaatreëls implementeer wat verseker dat elke kliënt slegs toegang tot logs met betrekking tot hul eie aktiwiteite het, nie ander kliënte se logs kan sien nie en geen logrekords kan wysig nie. Hierdie reëlings moet in die dataverwerkingsooreenkoms gedokumenteer word en die kriteria moet aan die kliënt beskikbaar gestel word.
Ouditlogboeke is 'n belangrike bewyskategorie — ons gids vir vereistes vir ouditbewyse verduidelik hoe ouditeure houtkapbeheermaatreëls beoordeel.
Sluit aanmelding in jou Verklaring van toepaslikheid en spesifiseer jou retensiebenadering.
