ISO 27001审计记录保留要求

作为全球最常见的信息安全框架之一，ISO 27001被全球数万家组织使用。这意味着它必须适应许多具有不同需求的不同群体。

这也意味着这些公司内部都有大量与ISO 27001相关的信息。诸如访问控制系统日志、敏感信息监管链以及审计结果等数据都存储在某个地方。

问题是，您需要存储什么，存储多长时间？ISO 27001的记录保留要求是什么？

与ISO 27001的许多要素一样，答案是"视情况而定"。因此，为了帮助您应对这一问题，我们编写了本指南。

BLUF - 核心要点

ISO 27001作为一个关键的全球信息安全框架，要求组织创建并遵循记录保留政策，以保护机密性、完整性和可访问性。政策必须定义存储、处置和处理方式，同时遵守相关法律，如GDPR或SOX。数据应被分类，在必要期限内保留，然后安全销毁。自动化有助于生命周期管理但需要监督。合规工具（如Ignyte Assurance Platform）可帮助有效管理这些流程。

什么是记录保留以及为什么明确定义很重要？

让我们从一般概念开始：什么是记录保留，为什么它很重要？

信息安全通常围绕三个核心支柱展开，所有支柱都需要平衡才能实现适当保护的信息安全。这些支柱是机密性、完整性和可用性。

机密性：信息安全可靠，防止未经授权的访问或共享。
完整性：信息受控保存，免遭篡改或未经授权的破坏。
可用性：信息可供需要访问的人员访问。

当我们讨论数据保留时，第三个支柱至关重要。

毕竟，如果您想阻止他人访问某条信息，您可以通过销毁它或加密并丢弃密钥来实现。如果信息不存在，它就无法被窃取或篡改，对吧？但这违反了可用性支柱。

同时，必须有限制。没有人需要10多年前的访问控制日志，保留这些信息可能成为组织的负担。即使只是需要整理所有这些信息，更不用说管理庞大的数据库，以及保护不断增长的信息堆，都是一个重大障碍。

记录保留是一个双管齐下的概念，它说明了两点：

信息必须在给定持续时间内保留，通常是在其相关期间。
超出相关性的信息应被销毁。

事实上，超过一定年限的信息可能不仅是负担：它可能成为责任。您保留的数据越多，在数据泄露中被窃取的可能性就越大。您保留的数据越多，隐私被侵犯的可能性就越大。您保留的数据越多，维护成本就越高。

在某些情况下，您可能还容易受到法律要求的影响。FOIA请求或传票可能要求您交出记录；您拥有的数据越多，需要交出的就越多。

如果您熟悉信息安全（您很可能熟悉，这就是您在这里的原因），您已经知道不同类型的信息具有不同的价值和不同的需求。记录保留尤其如此。某些类型的信息可以在收到新信息后立即丢弃。有些可能只需要保留一年。其他信息可能根据法律要求需要保留三年、七年或30年。

ISO 27001的记录保留要求是什么？

如果您经营一家企业并旨在获得ISO 27001认证，您需要在整个指南中实施所有安全控制措施，并建立强大的ISMS。其中一些控制措施是技术性的，例如加密控制。其他是制度性的，例如员工意识和培训。还有一些是操作性的，例如记录保留政策。

那么，ISO 27001对记录保留有何规定？

简而言之：“制定政策并遵循它。”

与FedRAMP和CMMC等框架相比，ISO 27001的一个持续挑战是，它不是概述要实施的特定控制措施和政策并检查您是否已完成，而是告诉您要实现的目标，并由您自己决定如何最好地实现这些目标。

正是这种灵活性使得ISO 27001既是一个极其强大的框架，也是一个实施起来极其复杂的框架。

ISO/IEC理解企业的需求会根据许多不同因素而变化，包括规模、运营、地点、行业等。因此，他们不会试图告诉您保留记录多长时间；相反，他们告诉您需要制定记录保留政策，并且需要遵循该政策，包括销毁已超过保留期限的信息。

相关控制来自附件A，特别是控制措施5.33。它概述了记录的整体保护，包括数据处理的核心理柱以及特定主题的政策。

还请记住，您可能没有一个通用的保留政策，而是根据您需要保留的信息类型制定一套政策。不同类型的信息可能受到不同管理机构的不同要求，并且需要保留不同的时间长度。

更具体地说，ISO 27001要求您：

建立记录存储、记录处置、记录处理和监管链以及防止记录篡改的指南和/或流程。
建立并维护所有记录的保留计划，定义不同类型的记录及其保存期限。
定义记录存储和处理的流程，该流程应满足法律、法规和社会对这些记录访问的期望。
建立一旦记录保留期结束即安全销毁记录的方法。
根据安全风险，在不同类别中建立不同类型数据的定义。
以维护授权人员（内部和外部）对这些记录的可用性和可访问性的方式存储记录。
考虑、评估和减轻数字和电子记录中存在的、物理记录中不存在的风险，例如加密密钥的访问。

那么，考虑到所有这些，您如何为业务处理的数据和信息建立记录保留政策？

如何根据ISO 27001建立数据保留政策

现在，让我们来看看您需要遵循的建立数据保留政策的过程。

对数据进行分类

第一步是梳理您作为企业处理的不同类型数据并对它们进行分类。这些不同类型的数据可能受到不同的规则和法规以及不同的法规和法律的约束，具体取决于太多因素，无法在此一一列举。无论如何，您会比一篇通用的博客文章更了解您的行业。

考虑的数据类型包括：

客户信息
员工信息
公司知识产权
业务运营数据
来自供应商、供应商和合作伙伴的记录
医疗保健信息和医疗记录
教育数据和记录
电子邮件和其他通信
财务和税务记录
访问和变更日志
安全控制工件
审计结果和日志

每种类型的数据可能有不同的规则，因此彻底性很重要。

ISO 27001中审计记录有特殊要求吗？

本文标题特别提到了审计记录，这引出了我们经常收到的一个问题：审计记录的数据保留规则是什么？

就ISO 27001而言，审计记录与其他类型的数据没有区别。它们并未将审计记录作为一种具有不同要求的特定数据类型单独列出。

尽管审计结果和日志中包含大量业务和员工数据，需要妥善处理，但它们远非保留时间最长的数据。

识别相关法律法规

一旦了解了您处理的数据类型，就需要弄清楚哪些法律和法规适用于这些数据。以下是您可能需要考虑的一些例子。

欧盟的《通用数据保护条例》（GDPR）。这要求个人用户数据仅在为实现其收集目的所必需的期限内保存，之后应尽快清除。
SOX侧重于上市公司的财务信息，要求日志保存七年。
PCI DSS，最新版本4.0，为支付卡信息设定了记录保留规则，并要求保存一年的日志历史记录。
《平等就业机会法》要求雇主保留员工和人事信息一年，包括在员工终止日期后保留被解雇员工的记录一年。
《公平劳动标准法》要求雇主保留工资记录、销售信息、采购信息和集体谈判协议至少三年。
《职业健康与安全法》要求OSHA记录保存五年，但员工接触和体检记录必须保存长达30年。

这仅仅是您需要研究的法律法规类型的一个样本。

如果多个法规以冲突的规则处理相同信息怎么办？

在某些情况下，特别是对于国际企业，您可能会发现不同地区或国家的法律对数据的适用方式不同。这甚至可能发生在美国境内，不同的州法律在其边界内适用。

就ISO 27001而言，除非另有规定，否则您需要将每一项都视为最低要求。如果一项法规规定信息至少保存一年，另一项规定至少保存三年，您将需要保存记录三年。

您可以保留更长时间，但不必这样做。这就是灵活性的用武之地，以及上述数据处理中的"社会期望"。

对于某些类型的信息（例如，结婚证和财产契约），可能是应该无限期保存的数据。

从来不会出现一项法律要求您删除信息而另一项要求您保存信息的情况。最接近的情况是像GDPR这样的法规，要求您在数据不再必要时删除它，这与其他法律并不冲突。

定义政策

现在您已经确定了您拥有哪些类型的信息，以及哪些法律规定了需要保存多长时间。现在，您必须制定公司政策，以确定不同种类信息的保存时间和销毁时间。

幸运的是，起草政策并不困难。您只需要基本信息来填写：

信息是什么。
它将保留多长时间。
保留期结束后将如何销毁。
谁负责执行此政策。
违反政策的处罚。
政策的例外情况。

这就是数据保留政策的样子。

因此，无论是人事记录、审计结果和日志、访问控制记录，还是受控非保密信息，您的政策（或多项政策）应可供查阅，以显示其保留多长时间以及何时销毁。

自动化、审计和生命周期管理

某些类型的数据可以通过自动化处理。既存在专用的数据生命周期管理工具，也存在通用工具中帮助处理数据杂乱和保留的功能。

自动化在这里不一定是坏事，但它需要被验证。如果自动化工具被授权销毁数据，则需要仔细监督，以确保它永远不会销毁需要保存的记录。

相反，您用于销毁数据的任何工具或方法也必须经过验证，以确保数据没有仍在其他地方镜像或存储。

所有这些在您接受审计时都会被检查，包括内部审计和ISO 27001的外部审计。

跟踪所有这些可能很麻烦，那么为什么不尝试使用Ignyte Assurance Platform来获得帮助呢？我们设计的平台可与许多框架（包括ISO 27001）协同工作。您可以使用它来跟踪各种控制措施的合规性、维护您的记录和政策，并确保数据保留的执行。您只需要给我们打电话就可以开始使用。