Que requiert le contrôle A.3.25 ?
Des journaux enregistrant les activités, les exceptions, les pannes et autres événements pertinents liés au traitement des données personnelles doivent être produits, stockés, protégés et analysés.
Cette commande se trouve à l'intérieur de Contrôles de sécurité partagés L’annexe (A.3) établit des exigences complètes en matière de journalisation des activités de traitement des données personnelles. La journalisation remplit plusieurs objectifs : détecter les accès non autorisés aux données personnelles, faciliter les enquêtes sur les incidents, démontrer la conformité aux auditeurs et fournir des preuves en cas de violation de données. Sans journalisation adéquate, une organisation risque de ne pas savoir qu’une violation a eu lieu, qui a accédé aux données personnelles ni à quel moment.
Que dit le guide de mise en œuvre de l'annexe B ?
L’annexe B (section B.3.25) fournit des orientations détaillées couvrant plusieurs domaines :
- Examen et suivi — Les journaux d’événements doivent être examinés à l’aide d’une surveillance et d’alertes automatisées continues, ou manuellement à une périodicité documentée spécifiée, afin d’identifier les irrégularités et de proposer des solutions.
- Journalisation des accès aux informations personnelles — Dans la mesure du possible, les journaux d'événements doivent consigner les accès aux données personnelles, notamment par qui, quand, quelles données ont été consultées et quelles modifications ont été apportées (ajouts, modifications ou suppressions).
- Environnements multi-fournisseurs — Lorsque plusieurs fournisseurs de services sont impliqués, les rôles dans la mise en œuvre de la journalisation doivent être clairement définis et documentés, et un accord sur l'accès aux journaux entre les fournisseurs doit être établi.
- Journaux comme PII Les informations de journalisation enregistrées à des fins de surveillance de la sécurité et de diagnostic opérationnel peuvent contenir des données personnelles. Les contrôles d'accès doivent garantir que ces informations ne sont utilisées qu'aux fins prévues.
- Conservation et suppression des journaux — Une procédure, de préférence automatique, devrait garantir que les informations enregistrées sont soit supprimées, soit anonymisées conformément au calendrier de conservation.
- Voir aussi A.3.22 : Dispositifs terminaux des utilisateurs pour les exigences connexes
- Voir aussi A.3.24 : Sauvegarde des informations pour les exigences connexes
Guide de mise en œuvre pour les responsables du traitement des données personnelles
- Critères d'accès au journal client — L’organisation doit définir des critères déterminant si, quand et comment les informations de journalisation peuvent être mises à la disposition du client ou utilisées par celui-ci.
- Isolation du client — Lorsque les clients sont autorisés à accéder aux journaux, ils ne doivent accéder qu'aux enregistrements relatifs à leurs propres activités, ne peuvent pas accéder aux journaux d'autres clients et ne peuvent pas modifier ces journaux.
L'une des principales tensions de ces lignes directrices réside dans le fait que les journaux eux-mêmes peuvent contenir des informations personnelles identifiables (par exemple, des noms d'utilisateur, des adresses IP, des identifiants de personnes concernées), ce qui signifie que les journaux constituent à la fois un outil de contrôle de la confidentialité et un risque pour la confidentialité qui doit être géré.
Comment cela se traduit-il au regard du RGPD ?
La commande A.3.25 correspond à ce qui suit GDPR article:
- Article 5(1)(f) — Le principe d’intégrité et de confidentialité exige des mesures de sécurité appropriées. La journalisation est un contrôle essentiel qui permet d’identifier et de traiter les incidents de sécurité affectant les données personnelles.
La journalisation prend également en charge GDPR L’article 33 prévoit des obligations de notification des violations en fournissant les preuves nécessaires pour détecter les violations et déterminer leur étendue et leur impact.
Qu’est-ce qui a changé par rapport à la norme ISO 27701:2019 ?
Pour une approche étape par étape, voir le Transition de 2019 à 2025.
Dans l'édition 2019, cette exigence était couverte par les clauses 6.9.4.1 (journalisation des événements), 6.9.4.2 (protection des informations de journalisation) et 6.9.4.3 (journaux d'administrateur et d'opérateur). L'édition 2025 les regroupe en un seul contrôle, A.3.25, avec des instructions d'implémentation unifiées dans la clause B.3.25, incluant de nouvelles recommandations spécifiques au processeur concernant l'accès aux journaux clients. Voir le Tableau de correspondance de l'annexe F pour la cartographie complète.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Quelles preuves les auditeurs attendent-ils ?
Lors de l'évaluation de la conformité à la norme A.3.25, les auditeurs recherchent généralement :
- Politique de journalisation — Une politique documentée précisant quels événements doivent être consignés, les durées de conservation des journaux, qui a accès aux journaux et comment les journaux sont protégés contre toute falsification.
- Couverture forestière — Preuve que tous les systèmes traitant des données personnelles génèrent des journaux d'événements couvrant au minimum les événements d'authentification, les accès aux données personnelles, les modifications de données et les actions administratives.
- Surveillance des journaux — Preuve d'une surveillance active des journaux, que ce soit par le biais d'une plateforme SIEM, d'alertes automatisées ou de calendriers de révision manuelle documentés
- Protection des journaux — Des contrôles techniques empêchant la falsification des journaux, notamment le stockage à écriture unique, les sommes de contrôle d'intégrité ou la collecte centralisée des journaux dans un système distinct
- Gestion de la conservation des journaux — Des contrôles automatisés ou procéduraux garantissant que les journaux sont conservés pendant la période spécifiée, puis supprimés ou anonymisés.
Quelles sont les commandes associées ?
| Contrôle | Lien familial |
|---|---|
| A.3.11 Planification de la gestion des incidents | Les journaux d'incidents constituent la base de preuves permettant de détecter et d'enquêter sur les incidents. |
| A.3.12 Réponse aux incidents de sécurité | La réponse aux incidents s'appuie sur l'analyse des journaux pour déterminer la portée et l'impact. |
| A.3.23 Authentification sécurisée | Les événements d'authentification constituent une catégorie essentielle d'événements consignés. |
| A.3.9 Droits d'accès | L'accès aux journaux de bord doit être limité au personnel autorisé. |
| A.1.4.8 Rétention | La conservation des journaux doit être conforme au calendrier de conservation des données personnelles. |
À qui s'applique ce contrôle ?
A.3.25 est un contrôle partagé Cela s'applique aussi bien aux responsables du traitement qu'aux sous-traitants du traitement des données personnelles. Les responsables du traitement doivent consigner les activités de traitement des données personnelles sur leurs propres systèmes. Les sous-traitants ont des obligations supplémentaires concernant l'accès des clients aux journaux : ils doivent définir quand et comment les clients peuvent y accéder, garantir l'isolation des données clients (chaque client ne peut consulter que ses propres journaux) et empêcher les clients de modifier les enregistrements des journaux.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Pourquoi nous choisir ISMS.en ligne pour la conformité de la journalisation des informations personnelles identifiables ?
ISMS.en ligne fournit des outils pratiques pour la gestion de la conformité en matière de journalisation :
- Gestion du journal d'audit — Des journaux d'audit intégrés enregistrent toutes les actions effectuées sur la plateforme, démontrant ainsi la conformité aux exigences de journalisation de votre PIMS.
- Gestion de politique — Publier des politiques de journalisation avec contrôle de version et suivi des accusés de réception du personnel
- planification de la révision des journaux — Planifier et suivre les activités régulières de revue des journaux, avec attribution des tâches et enregistrements d'achèvement à des fins de preuve d'audit
- Intégration des incidents — Lier directement les résultats de l'analyse des journaux aux enregistrements d'incidents, créant ainsi une chaîne documentée de la détection à la résolution
- Suivi de la rétention — Gérez les exigences de conservation des journaux en parallèle de votre calendrier global de conservation des données, en mettant en évidence les conflits et les expirations.
Questions fréquentes
Quels événements doivent être consignés pour le traitement des informations personnelles identifiables (IPI) ?
Les journaux doivent au minimum consigner qui a accédé aux données personnelles, à quel moment, quelles données ont été consultées et quelles modifications ont été apportées. Cela inclut les tentatives d'authentification réussies et échouées, les lectures et écritures de données, les actions administratives (telles que la création ou la modification de comptes utilisateurs), les exportations de données, les modifications de consentement et toute décision de traitement automatisé. Le niveau de détail doit être proportionné à la sensibilité des données personnelles et au profil de risque du système.
Comment les organisations doivent-elles gérer les informations personnelles identifiables (IPI) dans les journaux d'activité ?
Les journaux contiennent souvent des données personnelles telles que les noms d'utilisateur, les adresses électroniques, les adresses IP et les identifiants des personnes concernées. Les organisations doivent limiter les données personnelles dans les journaux à ce qui est strictement nécessaire à leur finalité, appliquer des contrôles d'accès pour restreindre l'accès aux journaux, inclure les données des journaux dans les calendriers de conservation des données et procéder à leur dépersonnalisation ou à leur suppression à l'expiration de la période de conservation. Les journaux ne doivent pas être utilisés à des fins autres que celles prévues (par exemple, la surveillance de la sécurité ou les diagnostics opérationnels).
Quelles sont les obligations de journalisation spécifiques au processeur ?
Les sous-traitants doivent définir et communiquer les critères régissant la mise à disposition des journaux d'activité aux clients. Si l'accès est autorisé, le sous-traitant doit mettre en œuvre des contrôles garantissant que chaque client ne puisse consulter que les journaux relatifs à ses propres activités, ni ceux des autres clients, ni les modifier. Ces dispositions doivent être consignées dans l'accord de traitement des données, de même que les critères de mise à disposition des journaux au client.
Les journaux d'audit constituent une catégorie de preuves essentielle — les nôtres guide des exigences en matière de preuves d'audit explique comment les auditeurs évaluent les contrôles de journalisation.
Incluez la connexion dans votre Déclaration d'applicabilité et précisez votre stratégie de fidélisation.
