Wenn Sie auf eine ISO 27001 Zertifizierung hinarbeiten, ist die Erstellung einer Datenaufbewahrungsrichtlinie nicht nur eine gute Informationssicherheitsmaßnahme – sie ist eine Notwendigkeit. Aber was ist eine Datenaufbewahrungsrichtlinie, warum ist sie wichtig und wie kann man eine entwickeln, die den Anforderungen der ISO 27001 entspricht?

Wir werden die Rolle einer Datenaufbewahrungsrichtlinie im Kontext von ISO 27001 untersuchen und eine Schritt-für-Schritt-Anleitung zur Erstellung einer solchen Richtlinie bereitstellen.

Warum Datenaufbewahrung für die Einhaltung von ISO 27001 wichtig ist

ISO/IEC 27001 ist ein globaler Standard für Informationssicherheit. Er bietet Richtlinien, die Organisationen dabei helfen, Risiken zu managen und sensible Daten innerhalb eines Informationssicherheitsmanagementsystems (ISMS) zu schützen. Der Standard behandelt viele Aspekte der Informationssicherheit, einschließlich der Datenaufbewahrung, um die Vertraulichkeit, Integrität und Verfügbarkeit von Daten zu gewährleisten.

Datenaufbewahrung ist der Prozess der Speicherung und Pflege von Daten für eine bestimmte Dauer. Organisationen, die eine ISO 27001-Zertifizierung anstreben, müssen angemessene Datenmanagementprozesse definieren. Dazu gehören Methoden zur Speicherung und Entsorgung von Daten sowie Aufbewahrungsfristen.

Zusätzlich zur ISO 27001 Konformität hat eine ordnungsgemäße Datenaufbewahrung mehrere geschäftliche Vorteile:

1. Förderung der Datenhygiene

Die Definition von Prozessen zur Erstellung, Pflege und Löschung von Daten hilft Organisationen, doppelte oder veraltete Datensätze zu vermeiden. Hochwertige Daten verbessern Geschäftsprozesse und führen zu besseren Einblicken und Entscheidungsfindungen.

2. Verbesserung und Information der Vorfallreaktion

Datenaufbewahrung beinhaltet die Pflege ordnungsgemäßer System-, Netzwerkverkehrs- und Benutzerzugriffsprotokolle. Vollständiges, zuverlässiges Logging kann Sicherheitsteams helfen:

• Anomalien und verdächtige Aktivitäten zu erkennen
• Angriffsvektoren und Einfallspunkte zu verstehen
• Den Schweregrad einer Datenpanne zu bewerten
• Den Umfang der kompromittierten Daten zu bestimmen
• Kontrollen zur Verhinderung zukünftiger Sicherheitsvorfälle zu implementieren

3. Unterstützung effizienter Geschäftsabläufe

Eine Datenaufbewahrungsrichtlinie stellt sicher, dass wesentliche Daten ordnungsgemäß gepflegt und aufbewahrt werden. Dies unterstützt eine Vielzahl kritischer Geschäftsabläufe und ermöglicht es Organisationen:

• Kunden- und Markttrends hervorzuheben
• Genau Finanzberichte zu erstellen
• Die Unternehmensleistung zu verfolgen
• Die Produktentwicklung zu unterstützen
• Effektive Marketinginitiativen zu entwickeln

4. Schutz vor versehentlichem Datenverlust

Die Festlegung von Backup- und Wiederherstellungsprozessen reduziert das Risiko eines Datenverlusts aufgrund von Hardwarefehlern, Naturkatastrophen oder böswilligen Aktivitäten. Regelmäßige Tests der Backupsysteme und -verfahren als Teil einer Datenaufbewahrungsstrategie stellen sicher, dass Daten im Falle eines versehentlichen Verlusts wiederhergestellt werden können, die Ausfallzeit minimieren und die Geschäftskontinuität unterstützen.

ISO 27001 Anforderungen zur Datenspeicherung

ISO 27001:2022 Anhang A 5.33 behandelt die Anforderungen für den „Schutz von Aufzeichnungen.“ (‘Aufzeichnungen’ ist ein anderer Begriff für die Daten, die Ihre Organisation für routinemäßige Geschäftstätigkeiten verwendet.) Um ISO 27001 konform zu sein, müssen Organisationen Schritte unternehmen, um alle Aufzeichnungen vor Fälschung, unbefugtem Zugriff oder Veröffentlichung und Verlust zu schützen.

Unter den neuesten Revisionen der ISO 27001:2022-Norm sind Organisationen verpflichtet:

1. Richtlinien und/oder Prozesse zu etablieren für:

• Speicherung von Aufzeichnungen
• Entsorgung von Aufzeichnungen
• Etablierung einer Nachweiskette für die Handhabung von Aufzeichnungen
• Verhinderung der Manipulation von Aufzeichnungen

2. Einen Aufbewahrungsplan für alle Aufzeichnungen zu unterhalten. Dieser Aufbewahrungsplan definiert, wie lange verschiedene Arten von Aufzeichnungen basierend auf ihrer spezifischen geschäftlichen Nutzung aufbewahrt werden.

3. Prozesse für die Speicherung und Handhabung von Aufzeichnungen zu definieren, die folgende Punkte ansprechen:

• Rechtliche und/oder regulatorische Anforderungen für die geschäftliche Aufbewahrung von Aufzeichnungen
• Gesellschaftliche Erwartungen und Kundenanforderungen, wie Organisationen Aufzeichnungen und personenbezogene Daten verwalten sollten

4. Sichere Methoden zur Zerstörung von Aufzeichnungen zu verwenden, sobald der Aufbewahrungszeitraum endet.

5. Aufzeichnungen basierend auf ihren Sicherheitsrisiken zu kategorisieren, insbesondere:

• Personaldaten
• Rechtsaufzeichnungen
• Buchhaltungsunterlagen
• Finanztransaktionen

6. Aufzeichnungen so zu speichern, dass sie auf Anfrage von einer dritten Partei (intern oder extern) abgerufen werden können.

7. Im Falle von elektronischen Aufzeichnungen das Risiko jedweder technologischen Änderungen zu berücksichtigen und zu mindern, die den Zugang oder die Wiederherstellung einschränken könnten (z.B. durch Aufbewahrung kryptographischer Schlüssel).

8. Jegliche Anweisungen des Herstellers bei der Verwaltung elektronischer Aufzeichnungen zu befolgen.

Wie man eine ISO 27001-Datenaufbewahrungsrichtlinie schreibt

Da wir nun die Anforderungen behandelt haben, wollen wir in die Details zur Erstellung einer Datenaufbewahrungsrichtlinie für ISO 27001 eintauchen.

Schritt 1: Daten kategorisieren und klassifizieren

Zuerst müssen Sie Daten basierend auf ihrer Sensibilität, Bedeutung und rechtlichen Anforderungen klassifizieren. Zu berücksichtigende Datentypen umfassen:

• Kundendaten
• Mitarbeiterdaten
• Geistiges Eigentum
• Betriebsdaten
• Lieferanten- und Anbieteraufzeichnungen
• Gesundheitsdaten
• Bildungsaufzeichnungen
• E-Mails und Kommunikationsaufzeichnungen
• Finanz- und Steuerunterlagen

Schritt 2: Datenaufbewahrungsanforderungen für jede Kategorie definieren

Was sind Ihre rechtlichen, regulatorischen oder Compliance-Anforderungen für jeden Datentyp?

• Gesundheitsdaten können dem Health Insurance Portability and Accountability Act (HIPAA) unterliegen. Nach HIPAA müssen Organisationen Aufzeichnungen mindestens 6 Jahre nach ihrer letzten Nutzung aufbewahren.
• Organisationen, die EU-Kunden bedienen, müssen möglicherweise das DSGVO einhalten. DSGVO verlangt, dass personenbezogene Daten nur so lange aufbewahrt werden, wie es notwendig ist, um den Zweck zu erreichen, für den sie gesammelt wurden.
• E-Commerce- oder Finanzorganisationen müssen möglicherweise die PCI DSS Anforderungen berücksichtigen. Karteninhaberdaten sollten zerstört werden, sobald sie nicht mehr für rechtliche, vertragliche oder geschäftliche Zwecke benötigt werden. PCI-Compliance-Dokumentation, wie z.B. Audit-Protokolle, sollte mindestens ein Jahr lang aufbewahrt werden.

Konsultieren Sie Stakeholder aus den Bereichen Recht, IT/Compliance und Geschäftsführung, um eine angemessene Abdeckung sicherzustellen. Vertragliche Vereinbarungen mit Kunden, Partnern und Drittanbietern können auch die Anforderungen an die Datenaufbewahrung beeinflussen.

Schritt 3: Datenaufbewahrungszeiträume und Sicherheitsmethoden festlegen

Geben Sie an, wie lange jede Art von Daten aufbewahrt und wie sie gesichert werden sollen. Sicherheitsmethoden können Datenanonymisierung oder Tokenisierung und Verschlüsselung umfassen.

Schritt 4: Dokumentieren Sie eine Datenaufbewahrungsrichtlinie und -verfahren

Eine ISO 27001 Datenaufbewahrungsrichtlinie sollte abdecken, wie Daten während ihres gesamten Lebenszyklus verwaltet werden. Die Details variieren je nach den Bedürfnissen Ihrer Organisation, aber die Richtlinie sollte die folgenden Schlüsselelemente enthalten:

1. Zweck: Erläutern Sie den Zweck der Richtlinie. Achten Sie darauf, das Ziel der Angleichung der Datenmanagementpraktiken Ihrer Organisation an die Anforderungen von ISO 27001 zu erwähnen.

2. Geltungsbereich: Definieren Sie, welche Daten die Richtlinie abdeckt. Dazu sollten alle Dokumente gehören, die mit Ihrem ISMS in Verbindung stehen, sowie alle Dokumente, die von ISO 27001 verlangt werden. Daten können von Cloud-Systemen und E-Mail-Dokumenten bis hin zu spezifischen Datenbanken und physischen Aufzeichnungen reichen.

3. Rollen und Verantwortlichkeiten: Erklären Sie die Rollen und Verantwortlichkeiten der Personen, die an der Erstellung, Durchsetzung und Aufrechterhaltung der Richtlinie beteiligt sind. Typischerweise sind dies Dateninhaber, Datenverwalter und/oder Datenschutzbeauftragte.

4. Datenkategorisierung: Erklären Sie, wie Sie die Daten kategorisiert haben. Zum Beispiel basierend auf ihrer Sensibilität und ihrer Bedeutung für das Unternehmen. Diese Kategorien werden verwendet, um Entscheidungen über Aufbewahrungsfristen sowie Speicher- und Entsorgungsmethoden zu treffen.

5. Datenaufbewahrungsfristen: Geben Sie Aufbewahrungsfristen für jede Datenkategorie an und stellen Sie sicher, dass sie mit gesetzlichen, regulatorischen, vertraglichen und/oder geschäftlichen Anforderungen übereinstimmen. Sie sollten auch Ihre Gründe für die Auswahl dieser Aufbewahrungsfristen erläutern.

6. Datenspeicherung: Erklären Sie, wo und wie die Daten während der Aufbewahrungsfrist sicher gespeichert werden.

7. Datenentsorgung: Skizzieren Sie, wie Sie jede Datenkategorie sicher entsorgen, wenn die Aufbewahrungsfrist endet. Dies könnte Verfahren für die sichere Löschung und/oder physische Zerstörung umfassen.

8. Datenschutzmaßnahmen: Beschreiben Sie die Sicherheitskontrollen, die Sie implementiert haben, um die Daten in jeder Phase ihres Lebenszyklus zu schützen. Dazu können Zugriffskontrollen für Benutzer, Verschlüsselung, Anonymisierung/Tokenisierung und regelmäßige Sicherheitsüberprüfungen gehören.

9. Richtlinienüberprüfung und -aktualisierung: Geben Sie an, wie oft Sie die Richtlinie überprüfen und aktualisieren. (Es sollte mindestens jährlich sein.)

10. Durchsetzung: Erläutern Sie die Konsequenzen bei Nichteinhaltung der Richtlinie. Dies könnte disziplinarische Maßnahmen oder die Beendigung von Verträgen umfassen.

11. Ausnahmen: Wenn es Ausnahmen von der Richtlinie gibt, sollten diese klar angegeben und erläutert werden.

Wir empfehlen immer, Rechts- und IT-/Sicherheitsexperten in die Entwurfsphase der Richtlinien einzubeziehen, um sicherzustellen, dass sie Ihre tatsächlichen Geschäftspraktiken widerspiegeln und mit Ihren Compliance-Zielen übereinstimmen.

Schritt 5: Teilen Sie die Richtlinie zur Überprüfung und Akzeptanz

Diese Richtlinie sollte allen relevanten Mitarbeitern und Interessengruppen zur Überprüfung und Akzeptanz zugänglich gemacht werden.

Schritt 6: Überwachen, pflegen und aktualisieren Sie Richtlinien und Verfahren

ISO 27001 verlangt von Organisationen, ihre Datensicherheitsprozesse kontinuierlich zu überwachen und zu verbessern. Dazu gehört die regelmäßige Überwachung der Compliance und die internen Audits.

Überprüfen Sie Ihre Datenaufbewahrungsrichtlinie mindestens jährlich, um neue gesetzliche, regulatorische oder vertragliche Anforderungen zu berücksichtigen.

Weitere kostenlose Ressourcen für die ISO 27001-Compliance

Die ISO 27001-Zertifizierung kann ein abschreckender und komplexer Prozess sein. Bei Secureframe ist es unsere Mission, die Sicherheits-Compliance für alle Organisationen zu entmystifizieren und zu vereinfachen.

Unsere Compliance-Automatisierungsplattform überwacht Ihre Cloud-Infrastruktur auf Compliance, vereinfacht das Management von Anbietern und Personal und sammelt automatisch Prüfungsnachweise. Wir haben auch ein ISO 27001 Compliance Hub entwickelt, um Sie durch den Zertifizierungsprozess zu führen, sowie eine Bibliothek mit kostenlosen ISO 27001-Richtlinienvorlagen, Checklisten zur Bereitschaft und Nachweis-Tabellen, um Ihnen Stunden manueller Arbeit zu ersparen.