Mitä kohta A.3.25 edellyttää?
Lokit, jotka tallentavat henkilötietojen käsittelyyn liittyviä toimintoja, poikkeuksia, vikoja ja muita asiaankuuluvia tapahtumia, on tuotettava, tallennettava, suojattava ja analysoitava.
Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja siinä vahvistetaan kattavat lokikirjausvaatimukset henkilötietojen käsittelytoimille. Lokikirjauksella on useita tarkoituksia: se havaitsee luvattoman pääsyn henkilötietoihin, tukee tapausten tutkintaa, osoittaa vaatimustenmukaisuuden tilintarkastajille ja tarjoaa todisteita tietomurron sattuessa. Ilman riittävää lokikirjausta organisaatio ei välttämättä tiedä, onko tietomurto tapahtunut, kuka on käyttänyt henkilötietoja tai milloin.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liite B (kohta B.3.25) sisältää kattavat ohjeet useille alueille:
- Arviointi ja seuranta — Tapahtumalokeja tulisi tarkastella jatkuvan automaattisen valvonnan ja hälytysten avulla tai manuaalisesti tietyin dokumentoiduin väliajoin poikkeavuuksien havaitsemiseksi ja korjaavien toimenpiteiden ehdottamiseksi.
- Henkilökohtaisten tietojen käyttölokitiedot — Tapahtumalokien tulisi mahdollisuuksien mukaan tallentaa henkilötietoihin pääsy, mukaan lukien kuka niitä käytti, milloin niitä käytti, minkä henkilötietojen käsittelijän tietoja käytettiin ja mitä muutoksia niihin tehtiin (lisäyksiä, muokkauksia tai poistoja).
- Usean palveluntarjoajan ympäristöt — Jos mukana on useita palveluntarjoajia, lokitietojen toteuttamisen roolit tulee määritellä ja dokumentoida selkeästi, ja palveluntarjoajien välisistä lokien käyttöoikeuksista tulee sopia.
- Lokit henkilötietoina — Tietoturvan valvontaa ja toiminnan diagnostiikkaa varten tallennetut lokitiedot voivat itsessään sisältää henkilötietoja. Käyttöoikeuksien valvonnan on varmistettava, että lokitietoja käytetään vain aiottuun tarkoitukseen.
- Lokien säilytys ja poistaminen — Mieluiten automaattisen menettelyn tulisi varmistaa, että lokitiedot joko poistetaan tai tehdään tunnistamattomiksi säilytysaikataulun mukaisesti.
- Katso myös A.3.22: Käyttäjän päätelaitteet asiaankuuluvia vaatimuksia varten
- Katso myös A.3.24: Tietojen varmuuskopiointi asiaankuuluvia vaatimuksia varten
Henkilötietojen käsittelijöiden käyttöönotto-ohjeet
- Asiakkaan lokin käyttöehdot — Organisaation tulisi määritellä kriteerit sille, voidaanko lokitietoja asettaa asiakkaan saataville tai käyttää, milloin ja miten
- Asiakkaan eristäminen — Jos asiakkaille sallitaan pääsy lokeihin, he saavat käyttää vain omaan toimintaansa liittyviä tietoja, eivätkä he saa käyttää muiden asiakkaiden lokeja eivätkä muokata lokeja.
Ohjeistuksen keskeinen painopiste on, että lokit itsessään voivat sisältää henkilötietoja (esim. käyttäjätunnuksia, IP-osoitteita ja rekisteröityjen tunnisteita), mikä tarkoittaa, että lokit ovat samanaikaisesti yksityisyyden suoja ja yksityisyysriski, jota on hallittava.
Miten tämä vastaa GDPR:ää?
Kontrolli A.3.25 vastaa seuraavaa GDPR artikkeli:
- 5 artiklan 1 kohdan f alakohta — Eheyden ja luottamuksellisuuden periaate, joka edellyttää asianmukaisia turvatoimenpiteitä. Lokien kirjaaminen on keskeinen salapoliisitoimi, joka tukee kykyä tunnistaa ja reagoida henkilötietoihin vaikuttaviin tietoturvaloukkauksiin.
Lokikirjaus tukee myös GDPR 33 artiklan mukaiset rikkomusilmoitusvelvollisuudet toimittamalla tarvittavat todisteet rikkomusten havaitsemiseksi ja niiden laajuuden ja vaikutuksen määrittämiseksi.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdissa 6.9.4.1 (tapahtumien kirjaus), 6.9.4.2 (lokitietojen suojaus) ja 6.9.4.3 (järjestelmänvalvojan ja käyttäjän lokit). Vuoden 2025 painos yhdistää kaikki kolme yhdeksi A.3.25-kontrolliksi, jossa on yhtenäiset toteutusohjeet kohdassa B.3.25, jotka sisältävät uusia käsittelijäkohtaisia ohjeita asiakaslokien käytöstä. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.25 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Kirjautumispolitiikka — Dokumentoitu käytäntö, jossa määritellään, mitkä tapahtumat on kirjattava, lokien säilytysajat, kenellä on pääsy lokeihin ja miten lokit suojataan luvattomalta käsittelyltä
- Lokitietojen kattavuus — Todisteet siitä, että kaikki henkilötietoja käsittelevät järjestelmät tuottavat tapahtumalokeja, jotka kattavat vähintään todennustapahtumat, henkilötietojen käytön, tietojen muutokset ja hallinnolliset toimenpiteet
- Lokien seuranta — Todisteet aktiivisesta lokien seurannasta joko SIEM-alustan, automaattisten hälytysten tai dokumentoitujen manuaalisten tarkistusaikataulujen kautta
- Lokisuojaus — Lokien manipuloinnin estämiseen tarkoitetut tekniset suojausmenetelmät, mukaan lukien kertakäyttöinen tallennus, eheystarkistukset tai keskitetty lokien kerääminen erilliseen järjestelmään
- Lokien säilytyksen hallinta — Automatisoidut tai menettelylliset kontrollit, jotka varmistavat lokien säilytyksen määritetyn ajan ja sen jälkeen niiden poistamisen tai tunnistamattomiksi tekemisen
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.3.11 Häiriönhallintasuunnittelu | Lokit tarjoavat todistepohjan tapahtumien havaitsemiseen ja tutkimiseen |
| A.3.12 Reagointi tietoturvapoikkeamiin | Tapahtumaan reagointi perustuu lokitietojen analyysiin laajuuden ja vaikutuksen määrittämiseksi |
| A.3.23 Suojattu todennus | Todennustapahtumat ovat kriittinen kirjattujen tapahtumien luokka |
| A.3.9 Käyttöoikeudet | Lokien käyttöoikeus on rajoitettava valtuutetulle henkilöstölle |
| A.1.4.8 Säilytys | Lokien säilytyksen on oltava henkilötietojen säilytysaikataulun mukainen. |
Ketä tämä valvonta koskee?
A.3.25 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Rekisterinpitäjien on kirjattava henkilötietojen käsittelytoimet omiin järjestelmiinsä. Käsittelijöillä on lisävelvoitteita asiakkaiden lokitietojen käyttöoikeuteen liittyen: heidän on määriteltävä, milloin ja miten asiakkaat voivat käyttää lokeja, varmistettava asiakkaiden eristäminen (jokainen asiakas voi nähdä vain omat lokinsa) ja estettävä asiakkaita muuttamasta lokitietueita.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miksi valita ISMS.online henkilötietojen lokitietojen vaatimustenmukaisuuden varmistamiseksi?
ISMS.online tarjoaa käytännön työkaluja hakkuiden vaatimustenmukaisuuden hallintaan:
- Auditointilokien hallinta — Sisäänrakennetut tarkastuslokit, jotka tallentavat kaikki alustan toiminnot ja osoittavat PIMS-järjestelmän lokitietojen noudattamisen
- Politiikan hallinta — Julkaise lokikirjauskäytännöt versionhallinnalla ja henkilöstön kuittausten seurannalla
- Lokitarkistuksen aikataulutus — Aikatauluta ja seuraa säännöllisiä lokitietojen tarkastustoimia tehtävien ja valmistumistietsioiden kera tarkastusevidenssiksi
- Tapahtumien integrointi — Yhdistä lokianalyysin löydökset suoraan tapahtumatietoihin, mikä luo dokumentoidun ketjun havaitsemisesta ratkaisuun
- Säilytyksen seuranta — Hallitse lokien säilytysvaatimuksia laajemman tietojen säilytysaikataulusi ohella ja korosta ristiriitoja ja vanhenemispäiviä
UKK
Mitä tapahtumia tulisi kirjata henkilötietojen käsittelyä varten?
Lokien tulisi vähintään tallentaa tiedot siitä, kuka on käyttänyt henkilötietoja, milloin, minkä henkilötietojen käsittelijän tietoja on käytetty ja mitä muutoksia on tehty. Tähän sisältyvät onnistuneet ja epäonnistuneet todennusyritykset, tietojen lukeminen ja kirjoittaminen, hallinnolliset toimenpiteet (kuten käyttäjätilien luominen tai muokkaaminen), tietojen vienti, suostumuksen muutokset ja kaikki automatisoidut käsittelypäätökset. Yksityiskohtien tason tulisi olla oikeassa suhteessa henkilötietojen arkaluontoisuuteen ja järjestelmän riskiprofiiliin.
Miten organisaatioiden tulisi käsitellä lokitiedostoissa olevia henkilötietoja?
Lokit sisältävät usein henkilötietoja, kuten käyttäjätunnuksia, sähköpostiosoitteita, IP-osoitteita ja rekisteröityjen tunnisteita. Organisaatioiden tulisi minimoida lokien henkilötietojen määrä siihen, mikä on tarpeen niiden aiotun tarkoituksen kannalta, soveltaa käyttöoikeuksien hallintaa rajoittaakseen sitä, kuka voi tarkastella lokeja, sisällyttää lokitiedot tietojen säilytysaikatauluihin ja soveltaa tunnistamattomaksi tekemistä tai poistamista säilytysajan umpeuduttua. Lokeja ei tule käyttää muihin tarkoituksiin kuin niiden aiottuun tarkoitukseen (esim. tietoturvan valvonta, toiminnan diagnostiikka).
Mitä ovat käsittelijäkohtaiset lokikirjausvelvollisuudet?
Käsittelijöiden on määriteltävä ja tiedotettava kriteerit sille, milloin ja miten lokitiedot voidaan asettaa asiakkaiden saataville. Jos asiakkaille sallitaan pääsy lokeihin, käsittelijän on otettava käyttöön toimenpiteitä, joilla varmistetaan, että jokainen asiakas voi käyttää vain omaan toimintaansa liittyviä lokeja, ei voi nähdä muiden asiakkaiden lokeja eikä voi muokata lokitietueita. Nämä järjestelyt tulee dokumentoida tietojenkäsittelysopimuksessa ja kriteerit tulee asettaa asiakkaan saataville.
Tarkastuslokit ovat keskeinen todistusaineistoluokka – meidän tarkastusevidenssivaatimusten opas selittää, miten tilintarkastajat arvioivat lokikirjausjärjestelmiä.
Sisällytä kirjautuminen Ilmoitus soveltuvuudesta ja määritä asiakaspysyvyyttä koskeva lähestymistapasi.
