Aufzeichnungen sind wesentliche Nachweise für Geschäftsprozesse, Entscheidungen, Transaktionen und die Einhaltung rechtlicher, regulatorischer und organisatorischer Anforderungen. Sie können in physischer oder elektronischer Form vorliegen und enthalten häufig sensible oder schützenswerte Informationen. Unzureichend geschützte Aufzeichnungen können verloren gehen, manipuliert oder unbefugt offengelegt werden. Dieses Control stellt sicher, dass Aufzeichnungen angemessen geschützt, verwaltet und über ihren gesamten Lebenszyklus hinweg gesichert werden.
Zweck des Controls
A 5.33 soll gewährleisten, dass Aufzeichnungen zuverlässig vor Verlust, Beschädigung, Manipulation und unbefugtem Zugriff geschützt sind. Ziel ist es, die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität von Aufzeichnungen sicherzustellen und gleichzeitig gesetzliche, regulatorische und vertragliche Anforderungen an Aufbewahrung und Nachweisführung zu erfüllen.
Anforderungen und Maßnahmen
1. Identifikation schützenswerter Aufzeichnungen
Organisationen müssen festlegen, welche Aufzeichnungen schützenswert sind, insbesondere:
geschäftsrelevante Aufzeichnungen und Dokumentationen
rechtlich oder regulatorisch vorgeschriebene Nachweise
finanzielle, vertragliche oder personenbezogene Aufzeichnungen
sicherheitsrelevante Protokolle und Berichte
Aufzeichnungen mit Beweisfunktion
Diese Aufzeichnungen müssen systematisch erfasst und klassifiziert werden.
2. Festlegung von Schutzanforderungen
Für Aufzeichnungen müssen geeignete Schutzanforderungen definiert werden:
Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit
Vorgaben zur Zugriffsbeschränkung
Schutz vor unbefugter Änderung oder Löschung
Anforderungen an Authentizität und Nachvollziehbarkeit
Die Anforderungen müssen sich am Schutzbedarf orientieren.
3. Sichere Speicherung und Aufbewahrung
Aufzeichnungen müssen sicher gespeichert und aufbewahrt werden:
Nutzung geeigneter Speicherorte und -systeme
Schutz vor physischem Zugriff, Verlust oder Beschädigung
sichere elektronische Speicherung (z. B. Zugriffskontrollen, Verschlüsselung)
Schutz vor unbefugter Vernichtung oder Manipulation
So bleibt die Verfügbarkeit und Integrität gewährleistet.
4. Regelung von Aufbewahrungsfristen
Aufbewahrungsfristen müssen klar definiert sein:
Berücksichtigung gesetzlicher und regulatorischer Vorgaben
Festlegung interner Aufbewahrungsfristen
Unterscheidung nach Art und Schutzbedarf der Aufzeichnungen
Dokumentation der Fristen und Zuständigkeiten
Dies unterstützt Compliance und ordnungsgemäße Archivierung.
5. Sichere Vernichtung und Löschung
Nach Ablauf der Aufbewahrungsfristen müssen Aufzeichnungen sicher vernichtet oder gelöscht werden:
definierte Verfahren zur physischen Vernichtung
sichere elektronische Löschung oder Anonymisierung
Dokumentation der Vernichtung
Schutz vor unbeabsichtigter oder vorzeitiger Löschung
So werden Risiken durch veraltete Informationen reduziert.
6. Zugriffskontrolle und Nachvollziehbarkeit
Der Zugriff auf Aufzeichnungen muss kontrolliert und nachvollziehbar sein:
Vergabe von Zugriffsrechten nach dem Need-to-know-Prinzip
Protokollierung von Zugriffen und Änderungen
regelmäßige Überprüfung der Zugriffsrechte
Kontrolle privilegierter Zugriffe
Dies schützt vor unbefugtem Zugriff oder Missbrauch.
7. Schutz während Übertragung und Nutzung
Aufzeichnungen müssen auch bei Nutzung oder Übertragung geschützt werden:
sichere Übertragungswege
Schutz vor unbefugter Weitergabe
Berücksichtigung der Informationsklassifizierung
Sensibilisierung der Mitarbeitenden
So wird der Schutz über den gesamten Lebenszyklus gewährleistet.
8. Dokumentation und Überprüfung der Maßnahmen
Der Schutz von Aufzeichnungen muss dokumentiert und regelmäßig überprüft werden:
Richtlinien und Verfahren zum Umgang mit Aufzeichnungen
Nachweise über umgesetzte Schutzmaßnahmen
Überprüfung der Wirksamkeit im Rahmen von Audits
Anpassung bei Änderungen der Anforderungen
Dies unterstützt Transparenz und kontinuierliche Verbesserung.
Zusammenfassung
A 5.33 fordert, dass Aufzeichnungen systematisch identifiziert, geschützt und über ihren gesamten Lebenszyklus hinweg verwaltet werden. Durch klare Schutzanforderungen, sichere Speicherung, geregelte Aufbewahrung und Vernichtung, kontrollierten Zugriff sowie regelmäßige Überprüfung wird sichergestellt, dass Aufzeichnungen als verlässliche und rechtskonforme Nachweise dienen. Das Control ist ein zentraler Bestandteil von Compliance, Informationssicherheit und organisatorischer Nachvollziehbarkeit im ISMS.
