Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Annex A · Organisatorische Kontrolle

A.5.33 — Schutz von Aufzeichnungen

Aktualisiert am 3 Min. Geprüft von: Cenedril-Redaktion
A.5.33 ISO 27001ISO 27002BSI BSI-Standard 200-2

Bei einem externen Audit wird nach dem Management-Review-Protokoll des letzten Jahres gefragt. Die Suche beginnt: E-Mail-Postfach des ehemaligen ISB, SharePoint-Ordner ohne Zugriffsrechte, lokale Festplatte eines deaktivierten Laptops. A.5.33 fordert, dass Aufzeichnungen systematisch geschützt, aufbewahrt und bei Bedarf auffindbar sind.

Was verlangt die Norm?

  • Aufbewahrungsplan erstellen. Für jeden Aufzeichnungstyp wird die Aufbewahrungsfrist, der Schutzumfang und die Entsorgungsmethode definiert.
  • Schutz vor Verlust und Manipulation. Aufzeichnungen werden vor Verlust, Zerstörung, Fälschung und unbefugtem Zugriff geschützt.
  • Zugang und Auffindbarkeit sicherstellen. Aufzeichnungen müssen innerhalb der Aufbewahrungsfrist auffindbar und lesbar sein — auch bei Technologiewechseln.
  • Sichere Entsorgung nach Ablauf. Nach Ablauf der Aufbewahrungsfrist werden Aufzeichnungen sicher entsorgt (A.5.34 beachten bei personenbezogenen Daten).

In der Praxis

Aufbewahrungsplan pro Aufzeichnungstyp. Erstelle eine Tabelle: Aufzeichnungstyp, gesetzliche Aufbewahrungsfrist, interne Aufbewahrungsfrist (falls länger), Klassifizierung, Speicherort, verantwortliche Person, Entsorgungsmethode. Typische Typen: Audit-Berichte, Schulungsnachweise, Vorfallberichte, Management-Review-Protokolle, Verträge.

Schreibschutz und Versionierung aktivieren. Aufzeichnungen dürfen nach Erstellung nicht verändert werden. Nutze technischen Schreibschutz, versionierte Ablagen oder Dokumentenmanagementsysteme mit Audit-Trail. Jede Änderung muss nachvollziehbar sein.

Format-Migration planen. Aufzeichnungen in proprietären Formaten werden bei Technologiewechsel möglicherweise unlesbar. Bevorzuge offene Formate (PDF/A für Langzeitarchivierung) und plane regelmäßige Prüfungen der Lesbarkeit.

Löschkonzept umsetzen. Nach Ablauf der Aufbewahrungsfrist: sichere Löschung. Bei physischen Aufzeichnungen: Schredder (Sicherheitsstufe gemäß DIN 66399). Bei digitalen Aufzeichnungen: zertifizierte Löschsoftware oder physische Vernichtung des Datenträgers.

Typische Audit-Nachweise

Auditoren erwarten bei A.5.33 typischerweise diese Nachweise:

  • Aufbewahrungsplan — Fristen und Schutzanforderungen pro Aufzeichnungstyp (→ Aufbewahrungsplan im Starter Kit)
  • Zentrales Aufzeichnungsarchiv — Nachweis der strukturierten und geschützten Ablage
  • Zugriffskontrolle — Nachweis, dass nur berechtigte Personen auf Aufzeichnungen zugreifen können
  • Löschprotokolle — Nachweis der sicheren Entsorgung abgelaufener Aufzeichnungen
  • Lesbarkeitsprüfung — Nachweis, dass archivierte Aufzeichnungen noch lesbar sind

KPI

% der Aufzeichnungen, die gemäß Aufbewahrungs- und Schutzanforderungen verwaltet werden

Gemessen über Stichproben: Wie viele der Aufzeichnungstypen im Aufbewahrungsplan werden tatsächlich gemäß den definierten Anforderungen verwaltet? Ziel: 100%. Der häufigste Mangel: Aufzeichnungen, die zwar existieren, aber nicht am definierten Ort liegen oder keinen Schreibschutz haben.

Ergänzende KPIs:

  • Anteil der Aufzeichnungstypen mit definierter Aufbewahrungsfrist
  • Anzahl der überfälligen Löschungen (Aufzeichnungen über der Frist)
  • Anteil der Aufzeichnungen in langzeitfähigen Formaten (PDF/A)

BSI IT-Grundschutz

A.5.33 mappt auf die BSI-Anforderungen zur Dokumentation:

  • BSI-Standard 200-2 Kapitel 5 (Dokumentation) — verlangt die systematische Dokumentation und Aufbewahrung aller sicherheitsrelevanten Aufzeichnungen.
  • ISMS.1.A13 (Dokumentation des Sicherheitsprozesses) — der Sicherheitsprozess und seine Ergebnisse müssen angemessen dokumentiert und aufbewahrt werden.

Verwandte Kontrollen

A.5.33 verbindet Compliance mit operativem Dokumentenmanagement:

Quellen

Häufig gestellte Fragen

Was ist der Unterschied zwischen Aufzeichnungen und Dokumenten?

Aufzeichnungen (Records) sind Nachweise abgeschlossener Aktivitäten: Audit-Berichte, Schulungsprotokolle, Genehmigungsnachweise, Verträge. Dokumente (z. B. Richtlinien) sind lebende Artefakte, die aktualisiert werden. Aufzeichnungen werden nach Erstellung nicht mehr verändert — ihre Integrität ist besonders schützenswert.

Wie lange muss ich ISMS-Aufzeichnungen aufbewahren?

ISO 27001 nennt keine konkrete Frist. In der Praxis: mindestens bis zum nächsten Zertifizierungszyklus (3 Jahre) plus Puffer. Gesetzliche Fristen können länger sein: Handels- und steuerrechtliche Aufbewahrungspflichten (6–10 Jahre), arbeitsrechtliche Dokumentation (3 Jahre Verjährungsfrist). Dein Aufbewahrungsplan definiert die Frist pro Aufzeichnungstyp.

Wie schütze ich Aufzeichnungen vor Manipulation?

Technisch: Schreibschutz, versionierte Ablage, Zugriffskontrolle, Backup. Organisatorisch: definierte verantwortliche Person, kein Löschrecht für Aufzeichnungen ohne Genehmigung, Protokollierung aller Zugriffe. Bei besonders sensiblen Aufzeichnungen: Blockchain-basierte Integritätsnachweise oder digitale Signaturen.