Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.3.25: Logføring

Kontrol A.3.25 kræver, at organisationer producerer, opbevarer, beskytter og analyserer logfiler, der registrerer aktiviteter, undtagelser, fejl og andre relevante hændelser relateret til behandling af personoplysninger. Denne delte kontrol giver det revisionsspor, der er nødvendigt for at opdage, undersøge og reagere på hændelser vedrørende privatlivets fred.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.3.25?

Logfiler, der registrerer aktiviteter, undtagelser, fejl og andre relevante hændelser relateret til behandling af personoplysninger, skal udarbejdes, opbevares, beskyttes og analyseres.

Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og fastlægger omfattende logføringskrav for behandling af personoplysninger. Logføring tjener flere formål: at opdage uautoriseret adgang til personoplysninger, understøtte hændelsesundersøgelse, demonstrere overholdelse af reglerne over for revisorer og fremlægge beviser i tilfælde af et databrud. Uden tilstrækkelig logføring ved en organisation muligvis ikke, at der er sket et brud, hvem der tilgik personoplysninger, eller hvornår.

Hvad står der i implementeringsvejledningen i bilag B?

Bilag B (afsnit B.3.25) indeholder omfattende vejledning, der dækker flere områder:

  • Gennemgang og overvågning — Hændelseslogge bør gennemgås ved hjælp af kontinuerlig automatiseret overvågning og alarmering, eller manuelt med en specificeret dokumenteret periodicitet, for at identificere uregelmæssigheder og foreslå afhjælpning.
  • Logføring af PII-adgang — Hvor det er muligt, bør hændelseslogge registrere adgang til personoplysninger, herunder af hvem, hvornår, hvilken personoplysningers hovedansvarliges data blev tilgået, og hvilke ændringer der blev foretaget (tilføjelser, ændringer eller sletninger).
  • Miljøer med flere udbydere — Hvor flere tjenesteudbydere er involveret, bør roller i implementeringen af ​​logning være klart defineret og dokumenteret, og der bør indgås aftaler om logadgang mellem udbyderne.
  • Logfiler som personligt identificerbare oplysninger — Logoplysninger, der er registreret til sikkerhedsovervågning og driftsdiagnosticering, kan i sig selv indeholde personoplysninger. Adgangskontroller skal sikre, at loggede oplysninger kun bruges som tilsigtet.
  • Logopbevaring og -sletning — En procedure, helst automatisk, bør sikre, at loggede oplysninger enten slettes eller afidentificeres som angivet i opbevaringsplanen.
  • Se også A.3.22: Brugerens slutpunktsenheder for relaterede krav
  • Se også A.3.24: Sikkerhedskopiering af information for relaterede krav

Implementeringsvejledning til PII-behandlere

  • Kriterier for adgang til kundelogfiler — Organisationen bør definere kriterier for, om, hvornår og hvordan logoplysninger kan stilles til rådighed for eller bruges af kunden
  • Kundeisolering — Hvor kunder har adgang til logfiler, må de kun få adgang til optegnelser vedrørende deres egne aktiviteter, de kan ikke få adgang til andre kunders logfiler og kan ikke ændre logfilerne.

En central spænding i vejledningen er, at logfiler i sig selv kan indeholde personoplysninger (f.eks. brugernavne, IP-adresser, identifikatorer for registrerede), hvilket betyder, at logfilerne samtidig er en privatlivskontrol og en privatlivsrisiko, der skal håndteres.

Hvordan relaterer dette sig til GDPR?

Kontrol A.3.25 knyttes til følgende GDPR artikel:

  • Artikel 5, stk. 1, litra f) — Princippet om integritet og fortrolighed, der kræver passende sikkerhedsforanstaltninger. Logføring er en central detektivkontrol, der understøtter evnen til at identificere og reagere på sikkerhedshændelser, der påvirker personoplysninger.

Logføring understøtter også GDPR Artikel 33-underretningsforpligtelser ved at fremlægge den nødvendige dokumentation for at opdage brud og fastslå deres omfang og virkning.

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav dækket af klausul 6.9.4.1 (hændelseslogning), 6.9.4.2 (beskyttelse af logoplysninger) og 6.9.4.3 (administrator- og operatørlogfiler). 2025-udgaven konsoliderer alle tre i en enkelt kontrol A.3.25 med en samlet implementeringsvejledning i B.3.25, der inkluderer ny processorspecifik vejledning om adgang til kundelogfiler. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.3.25 vil revisorer typisk se efter:

  • Logning politik — En dokumenteret politik, der specificerer, hvilke hændelser der skal logges, opbevaringsperioder for logfiler, hvem der har adgang til logfiler, og hvordan logfiler beskyttes mod manipulation.
  • Logdækning — Dokumentation for, at alle systemer, der behandler personoplysninger, genererer hændelseslogfiler, der som minimum dækker godkendelseshændelser, adgang til personoplysninger, dataændringer og administrative handlinger
  • Logovervågning — Dokumentation for aktiv logovervågning, enten via en SIEM-platform, automatiseret alarmering eller dokumenterede manuelle gennemgangsplaner
  • Logbeskyttelse — Tekniske kontroller, der forhindrer manipulation af logfiler, herunder lagring med én skrivetilladelse, integritetskontrolsummer eller centraliseret logindsamling til et separat system
  • Administration af logopbevaring — Automatiserede eller proceduremæssige kontroller, der sikrer, at logfiler opbevares i den angivne periode og derefter slettes eller anonymiseres

Hvad er de relaterede kontroller?

kontrol Relationship
A.3.11 Planlægning af hændelseshåndtering Logfiler giver bevisgrundlaget for at opdage og undersøge hændelser
A.3.12 Reaktion på sikkerhedshændelser Hændelsesrespons er baseret på loganalyse for at bestemme omfang og effekt
A.3.23 Sikker godkendelse Godkendelseshændelser er en kritisk kategori af logførte hændelser
A.3.9 Adgangsrettigheder Adgang til logfiler skal begrænses til autoriseret personale
A.1.4.8 Tilbageholdelse Logopbevaring skal overholde PII-opbevaringsplanen

Hvem gælder denne kontrol for?

A.3.25 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Dataansvarlige skal logge PII-behandlingsaktiviteter på tværs af deres egne systemer. Behandlere har yderligere forpligtelser vedrørende adgang til kundelogfiler: de skal definere, hvornår og hvordan kunder kan få adgang til logfiler, sikre kundeisolation (hver kunde kan kun se sine egne logfiler) og forhindre kunder i at ændre logfiler.



Find din compliance-tillid med ISMS.online

Kom nemt i gang med en personlig produktdemo

En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.

Book din demo


Hvorfor vælge ISMS.online for overholdelse af PII-logføring?

ISMS.online giver praktiske værktøjer til styring af overholdelse af logføring:

  • Administration af revisionslogfiler — Indbyggede revisionsspor, der registrerer alle handlinger på platformen og demonstrerer overholdelse af logføringskravene for selve dit PIMS
  • Politikstyring — Udgiv logføringspolitikker med versionskontrol og sporing af medarbejderbekræftelse
  • Planlægning af loggennemgang — Planlæg og spor regelmæssige loggennemgangsaktiviteter med opgavetildelinger og færdiggørelsesregistreringer som revisionsbevis
  • Hændelsesintegration — Forbind loganalyseresultater direkte med hændelsesregistreringer, hvilket skaber en dokumenteret kæde fra detektion til løsning
  • Sporing af fastholdelse — Administrer krav til logopbevaring sammen med din bredere dataopbevaringsplan, og fremhæv konflikter og udløbsdatoer.

Ofte Stillede Spørgsmål

Hvilke hændelser skal logges for behandling af personoplysninger?

Logfiler bør som minimum registrere, hvem der tilgik personoplysninger, hvornår, hvilken personoplysningers hovedperson der blev tilgået, og hvilke ændringer der blev foretaget. Dette omfatter vellykkede og mislykkede godkendelsesforsøg, datalæsning og -skrivning, administrative handlinger (såsom oprettelse eller ændring af brugerkonti), dataeksport, ændringer af samtykke og eventuelle automatiserede behandlingsbeslutninger. Detaljeringsniveauet bør stå i forhold til de personoplysningers følsomhed og systemets risikoprofil.

Hvordan skal organisationer håndtere personoplysninger i logfiler?

Logfiler indeholder ofte personoplysninger, såsom brugernavne, e-mailadresser, IP-adresser og identifikatorer for registrerede. Organisationer bør minimere personoplysninger i logfiler til det, der er nødvendigt for deres tilsigtede formål, anvende adgangskontroller for at begrænse, hvem der kan se logfiler, inkludere logdata i dataopbevaringsplaner og anvende anonymisering eller sletning, når opbevaringsperioden udløber. Logfiler bør ikke anvendes til formål, der går ud over deres tilsigtede omfang (f.eks. sikkerhedsovervågning, driftsdiagnosticering).

Hvad er de processorspecifikke logføringsforpligtelser?

Databehandlere skal definere og kommunikere kriterier for, hvornår og hvordan logoplysninger kan stilles til rådighed for kunder. Hvis kunder får adgang, skal databehandleren implementere kontroller, der sikrer, at hver kunde kun kan tilgå logfiler, der vedrører deres egne aktiviteter, ikke kan se andre kunders logfiler og ikke kan ændre nogen logposter. Disse ordninger bør dokumenteres i databehandleraftalen, og kriterierne bør stilles til rådighed for kunden.

Revisionslogfiler er en vigtig beviskategori — vores vejledning om krav til revisionsbeviser forklarer, hvordan revisorer vurderer logføringskontroller.

Inkluder login i din Anvendelseserklæring og specificér din fastholdelsesmetode.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.