Que requiert le contrôle A.3.24 ?
Des copies de sauvegarde des données personnelles identifiables (DPI), ainsi que des logiciels et systèmes liés au traitement des DPI, doivent être conservées et testées régulièrement.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe A.3.24 traite de la disponibilité des données personnelles. Si de nombreuses mesures de protection de la vie privée visent à empêcher tout accès ou divulgation non autorisés, l’annexe A.3 garantit la récupération et la restauration des données personnelles en cas de panne des systèmes. Sans sauvegardes testées, une attaque par rançongiciel, une panne matérielle ou une catastrophe naturelle pourrait entraîner la perte définitive de données personnelles.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.24) fournit des indications détaillées :
- politique de sauvegarde et d'effacement — L’organisation devrait disposer d’une politique relative à la sauvegarde, à la récupération et à la restauration des données personnelles, y compris les obligations contractuelles ou légales concernant l’effacement des données personnelles contenues dans les données de sauvegarde.
- Communication client Les responsabilités en matière de sauvegarde des données personnelles peuvent varier selon le client. L'organisation doit s'assurer que les clients sont informés des limites du service concernant la sauvegarde.
- transparence du service de sauvegarde — Lorsque des services de sauvegarde et de restauration sont explicitement proposés aux clients, l'organisation doit fournir des informations claires sur ses capacités.
- Exigences juridictionnelles — Certaines juridictions imposent des exigences spécifiques concernant la fréquence des sauvegardes, la fréquence des examens et des tests, ou les procédures de récupération des données personnelles. Les organisations opérant dans ces juridictions doivent démontrer leur conformité.
- intégrité de la restauration des informations personnelles identifiables — Lorsque des données personnelles sont restaurées à partir d'une sauvegarde, les processus doivent garantir que ces données sont restaurées dans un état où leur intégrité peut être assurée, ou dans lequel toute inexactitude ou omission est identifiée et résolue (ce qui peut impliquer la personne concernée).
- Journalisation de la restauration — L’organisation doit tenir à jour une procédure et un registre pour les efforts de restauration des données personnelles, en y consignant au minimum le nom de la personne responsable et une description des données personnelles restaurées.
- sauvegardes des sous-traitants — Le recours à des sous-traitants pour stocker des copies répliquées ou de sauvegarde des IPI est couvert par les contrôles de gestion des fournisseurs (B.3.10, B.3.20).
- Voir aussi A.3.22 : Dispositifs terminaux des utilisateurs pour les exigences connexes
- Voir aussi A.3.25 : Enregistrement pour les exigences connexes
Un point particulièrement important concerne la tension entre la conservation des sauvegardes et la suppression des données personnelles identifiables : les organisations doivent trouver un équilibre entre la nécessité de conserver les sauvegardes à des fins de restauration et l’obligation de supprimer les données personnelles identifiables lorsque les périodes de conservation expirent ou lorsque les personnes concernées exercent leur droit à l’effacement.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.24 correspond à ce qui suit GDPR des articles:
- Article 5(1)(f) — Le principe d’intégrité et de confidentialité, qui couvre la protection contre la perte ou la destruction accidentelle des données personnelles
- Article 32 (1) (c) — L’obligation de mettre en œuvre la capacité de rétablir la disponibilité et l’accès aux données personnelles dans un délai raisonnable en cas d’incident physique ou technique
L'article 32(1)(c) mentionne expressément la capacité de restauration, faisant des sauvegardes testées un élément direct. GDPR une exigence plutôt qu'une simple bonne pratique.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était traitée par la clause 6.9.3.1 (sauvegarde des informations). L'édition 2025 conserve et développe les exigences fondamentales (A.3.24), en fournissant des instructions de mise en œuvre beaucoup plus détaillées (B.3.24) concernant la journalisation des restaurations, les exigences juridictionnelles et le dilemme entre sauvegarde et effacement. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.24, les auditeurs recherchent généralement :
- Politique de sauvegarde — Une politique documentée couvrant la portée, la fréquence, les périodes de conservation, le chiffrement, les calendriers de tests et les responsabilités en matière de sauvegarde des systèmes contenant des données personnelles.
- Enregistrements de test de sauvegarde — Preuve de tests réguliers de restauration de sauvegarde, y compris les dates des tests, leur portée, leurs résultats et tout problème identifié et corrigé.
- Journaux de restauration — Un journal de tous les événements de restauration des données personnelles, indiquant la personne responsable, une description des données restaurées et tout problème d'intégrité identifié.
- réconciliation sauvegarde-effacement — Preuve que l'organisation a pris des mesures pour effacer les données personnelles identifiables (DPI) dans les données de sauvegarde, que ce soit par des mesures techniques ou par une justification documentée de leur conservation
- Communication client — Pour les processeurs, la preuve que les clients ont été informés des capacités et des limitations des sauvegardes.
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.1.4.8 Rétention | La conservation des sauvegardes doit être conforme aux calendriers de conservation des données personnelles. |
| A.1.4.6 Dé-identification et suppression | Les exigences de suppression des données personnelles créent des tensions avec la conservation des sauvegardes |
| A.3.20 Supports de stockage | Les supports de sauvegarde doivent être gérés tout au long de leur cycle de vie. |
| A.3.26 Utilisation de la cryptographie | Les données de sauvegarde doivent être chiffrées à la fois pendant leur transfert et lorsqu'elles sont stockées. |
| A.3.10 Accords avec les fournisseurs | Les fournisseurs de sauvegarde tiers doivent être liés par des contrats appropriés. |
À qui s'applique ce contrôle ?
A.3.24 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants de données personnelles. Les responsables du traitement doivent s'assurer que leurs données personnelles sont sauvegardées et récupérables. Les sous-traitants ont des obligations supplémentaires : communiquer à leurs clients leurs capacités et limitations en matière de sauvegarde, et fournir des informations claires sur les possibilités de restauration lorsque les services de sauvegarde font partie de leur offre.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Pourquoi nous choisir ISMS.en ligne pour la gestion de la conformité des sauvegardes ?
ISMS.en ligne fournit des outils pratiques pour la gestion de la conformité des sauvegardes de données personnelles :
- Gestion des plans de sauvegarde — Documenter et suivre les calendriers de sauvegarde de tous les systèmes de traitement des données personnelles, avec des rappels automatisés pour les tests et les examens à venir
- Suivi des résultats des tests — Consigner les résultats des tests de restauration de sauvegarde avec leur statut (réussite/échec), les problèmes identifiés et les actions correctives, afin de créer un historique complet.
- Journal de restauration — Tenir à jour le registre requis des événements de restauration des renseignements personnels, en indiquant la personne responsable, la description et les champs d'évaluation de l'intégrité.
- Gestion de politique — Publier des politiques de sauvegarde avec contrôle de version et suivi des accusés de réception du personnel
- Gestion de la rétention — Liez les périodes de conservation des sauvegardes à votre calendrier de conservation des données, en soulignant les cas où la conservation des sauvegardes peut entrer en conflit avec les obligations d'effacement des données personnelles.
Questions fréquentes
Comment gérez-vous les demandes d'effacement lorsque des informations personnelles identifiables (IPI) sont présentes dans les sauvegardes ?
Il s'agit là d'un des aspects les plus complexes de la gestion des sauvegardes de données personnelles. La plupart des organisations ne peuvent pas supprimer sélectivement des enregistrements individuels des ensembles de sauvegarde sans restaurer l'intégralité de la sauvegarde. Les approches courantes consistent à : tenir un registre de suppression appliqué à chaque restauration de sauvegarde ; utiliser des périodes de conservation des sauvegardes suffisamment courtes pour garantir l'effacement naturel des données personnelles supprimées ; ou encore mettre en œuvre des solutions de sauvegarde permettant une suppression granulaire. Cette approche doit être documentée dans la politique de sauvegarde et communiquée aux personnes concernées lors du traitement des demandes d'effacement.
À quelle fréquence faut-il tester la restauration des sauvegardes ?
La norme exige des tests réguliers, sans toutefois préciser de fréquence. Il est recommandé de tester les sauvegardes des systèmes critiques contenant des données personnelles identifiables (DPI) au moins trimestriellement et les systèmes moins critiques au moins une fois par an. Certaines juridictions peuvent imposer des fréquences de test spécifiques. Les tests doivent vérifier la capacité technique à restaurer les données ainsi que l'intégrité des DPI restaurées. Les résultats des tests doivent être documentés et toute défaillance doit entraîner une correction immédiate.
Que doit contenir le journal de restauration des informations personnelles identifiables (PII) ?
Le journal doit au minimum consigner le nom de la personne responsable de la restauration et une description des données personnelles restaurées. Il est recommandé d'y inclure également la date et l'heure de la restauration, son motif, la sauvegarde source utilisée, tout problème d'intégrité identifié lors de la restauration et les mesures prises pour le résoudre. Certaines juridictions exigent des informations supplémentaires dans le journal ; les organisations doivent donc vérifier les exigences locales et documenter leur conformité.
Consignez ce contrôle dans votre Déclaration d'applicabilité avec votre approche de mise en œuvre.
Découvrez nos offres de guide des exigences en matière de preuves d'audit pour ce que les auditeurs attendent.
