Logo der activeMind AG

ISO 27002Kapitel 5.33 Schutz von Aufzeichnungen

In jeder Organisation gibt es Informationen, die in einem bestimmten Zustand für eine gewisse Zeit bewahrt werden müssen. Das Kapitel 5.33 der der ISO 27002 enthält diverse Empfehlungen, welche Maßnahmen zum Schutz dieser Aufzeichnungen ergriffen werden können, um die Vorgaben von ISO 27001:2022, Annex A zu erfüllen.

Hinweis: Die folgenden Erklärungen beziehen sich auf die deutschen Versionen der Normen DIN EN ISO/IEC 27001:2024 sowie ISO 27002:2022.

Worum geht es?

Gesetzliche Vorschriften, die eine Aufbewahrung vorschreiben, gibt es zur Genüge: Buchhaltung und Steuer, Arbeitsrecht, Umweltschutz, im gesamten Bereich der Gesundheitsvorsorge oder auch beim Umgang mit gefährlichen Stoffen. Aber auch in anderen Bereichen müssen Aufzeichnungen geschützt werden. Direkt im Zusammenhang mit dem Betrieb eines Informationssicherheits-Managementsystems (ISMS) denkt man an Auditberichte, Protokolle oder Logdateien. Selbst so triviale Dinge wie eine Telefonliste für Notfälle muss im Ernstfall in der richtigen Version und unverfälscht bereitliegen.

Zusammengefasst geht es um den Schutz von Aufzeichnungen vor Verlust, Zerstörung, Fälschung, unbefugtem Zugriff und hinsichtlich ihrer Vertraulichkeit.

Was sagt die ISO 27002 zum Schutz von Aufzeichnungen?

Im Ergebnis werden nur zwei Vorschläge gemacht:

  • Organisationen sollten Regeln aufstellen für die Aufbewahrung von Aufzeichnungen, den Umgang damit und letztendlich deren Entsorgung. Die Regeln müssen auch darauf eingehen, wie Manipulationen verhindert werden.
  • Im Zusammenhang mit der Entsorgung ist ein entsprechender Zeitplan aufzustellen, um sicherzustellen, dass bestehende Aufbewahrungspflichten erfüllt werden.

Die Norm gibt Organisationen, die sich mit dem Thema beschäftigen, allerdings noch diverse weitere Gedanken mit auf den Weg.

Die entscheidenden Rahmendaten sollten klar erkennbar sein. Aufzeichnungen müssen danach erkennen lassen, welcher von der Organisation vorbestimmten Kategorie sie angehören, welche Nutzung und insbesondere Verbreitung zulässig ist, und welche Löschfristen auf sie anwendbar sind.

Jede Aufbewahrung von Aufzeichnungen muss sicherstellen, dass ein den Anforderungen entsprechender Zugriff auf die verwahrten Informationen möglich ist. Wer braucht welche Informationen in einer lesbaren Form, wann und wo?

Gleichzeitig ist zu gewährleisten, dass die Aufzeichnungen für die gesamte Dauer der Aufbewahrung vor Verlust und Veränderung geschützt sind. Es muss also die Datensicherung und gegebenenfalls auch der Einsatz von Kryptographie/digitaler Signaturen bedacht werden. Auch die Haltbarkeit des eingesetzten Speichermediums spielt gegebenenfalls eine Rolle.

Am Ende von Aufbewahrungsfristen steht die Löschung; oft sogar gesetzlich vorgeschrieben. Damit müssen Organisationen bereits bei Ablage von Aufzeichnungen daran denken, dass diese Möglichkeit auch tatsächlich besteht. Lassen sich im Bedarfsfall auch gezielt einzelne Informationen auffinden und vernichten?

Fazit: Aufzeichnungen korrekt aufbewahren gleich oft der Quadratur des Kreises

Organisationen, die sich vernünftig mit der Frage der korrekten Aufbewahrung von Aufzeichnungen auseinandersetzen, stellen sich in der Praxis diverse Hürden.

Allein schon die Festlegung geeigneter Kategorien und die Entscheidung für ein Ablagesystem, das es auch ermöglicht, sämtliche Pflichten zu erfüllen, bereitet Verantwortlichen schon Kopfzerbrechen. Vielfach werden mangels Überblicks dann Lösungen eingeführt, die nur einzelne Anforderungen erfüllen; etwa unveränderliche Datenspeicher, die keine sinnvolle Löschung erlauben.

Sind alle organisatorischen und technischen Hürden genommen, ist am Ende die Frage nach den im Einzelfall geltenden gesetzlichen Aufbewahrungsfristen noch nicht einmal gestellt, geschweige denn beantwortet.

Eine einfache Lösung kann etwa sein, statt der verbreiteten, wenig strukturierten Ablage in einem Dateisystem ein Dokumentenmanagementsystem mit der Möglichkeit einer Versionierung und Berechtigungssteuerung zu nutzen.

Unterstützung im Rahmen der Zertifizierung nach ISO 27001

activeMind stellt Mandanten bei einer Zertifizierung nach ISO 27001 ein Speicher- und Löschkonzept zur Verfügung. In einem Compliance-Portal können Dokumente organisiert und verwaltet werden.

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.