Hvad kræver kontrol A.3.23?
Sikre autentificeringsteknologier og -procedurer relateret til behandling af personoplysninger skal implementeres baseret på begrænsninger i informationsadgang.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og fastslår, at adgang til systemer, der behandler personoplysninger, skal beskyttes af robuste autentificeringsmekanismer. Udtrykket "baseret på begrænsninger i informationsadgang" er vigtigt: styrken og typen af autentificering skal stå i forhold til de personoplysningers følsomhed og det adgangsniveau, der gives. Et system, der håndterer data i en særlig kategori, kræver stærkere autentificering end et system, der behandler grundlæggende kontaktoplysninger.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.23) indeholder følgende vejledning:
- Sikre loginprocedurer for kundekonti — Hvor kunden kræver det, bør organisationen sørge for sikre loginprocedurer for alle brugerkonti under kundens kontrol.
Den databehandlerfokuserede vejledning fremhæver en vigtig kontraktlig dimension: databehandlere skal kunne levere sikre godkendelsesfunktioner, der opfylder deres kunders (dataansvarliges) krav. Dette kan omfatte multifaktorgodkendelse, integration med single sign-on, IP-godkendelseslister eller andre godkendelseskontroller, der er specificeret i databehandleraftalen.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.23 knyttes til følgende GDPR artikel:
- Artikel 5, stk. 1, litra f) — Princippet om integritet og fortrolighed, der kræver passende sikkerhed for personoplysninger, herunder beskyttelse mod uautoriseret adgang
Svag eller manglende autentificering er en direkte vej til uautoriseret adgang til personoplysninger, hvilket gør denne kontrol grundlæggende for overholdelse af artikel 5(1)(f).
For den fulde GDPR-til-ISO 27701-kortlægning, se Vejledning til overholdelse af GDPR.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 6.6.4.2 (sikre loginprocedurer). 2025-udgaven udvider omfanget fra specifikt loginprocedurer til sikre autentificeringsteknologier og -procedurer mere generelt som A.3.23. Dette afspejler udviklingen af autentificering ud over traditionel brugernavn- og adgangskodelogin til at omfatte biometri, hardwaretokens, adgangskodefri autentificering og adaptiv risikobaseret autentificering. Se Bilag F korrespondancetabel for den fulde kortlægning.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.23 vil revisorer typisk se efter:
- Godkendelsespolitik — En dokumenteret politik, der specificerer godkendelseskrav for forskellige systemtyper og PII-følsomhedsniveauer, herunder regler for adgangskodekompleksitet, MFA-krav og kontroller for sessionsstyring
- MFA-implementering — Dokumentation for, at multifaktorgodkendelse er implementeret til systemer, der behandler personoplysninger, især til fjernadgang, privilegerede konti og kundevendte portaler
- Adgangskontrolmatrix — En kortlægning mellem systemroller, PII-adgangsniveauer og påkrævet godkendelsesstyrke
- Konfiguration af loginprocedure — Teknisk dokumentation for sikker loginkonfiguration, herunder tærskler for kontospærring, logføring af mislykkede forsøg og indstillinger for timeout til sessioner
- Kundeorienteret godkendelse — For databehandlere, dokumentation for, at sikre godkendelsesmuligheder er tilgængelige for kunderne som beskrevet i databehandleraftalen
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.8 Identitetsstyring | Godkendelse verificerer de identiteter, der administreres under A.3.8 Identitetsstyring |
| A.3.9 Adgangsrettigheder | Godkendelsesstyrken skal være proportional med de adgangsrettigheder, der beskyttes |
| A.3.22 Brugerens slutpunktsenheder | Endpoint-enheder bør håndhæve sikker godkendelse, før de giver adgang til personoplysninger |
| A.3.25 Logføring | Godkendelseshændelser (vellykkede og mislykkede) bør logges og overvåges |
| A.3.26 Brug af kryptografi | Kryptografiske mekanismer understøtter mange autentificeringsteknologier |
Hvem gælder denne kontrol for?
A.3.23 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Dataansvarlige skal implementere sikker godkendelse for deres egne systemer, der behandler PII. Behandlere har den yderligere forpligtelse til at levere sikre godkendelsesfunktioner til kundekontrollerede konti, hvor det kræves af kunden, hvilket gør godkendelse til et både kontraktligt og et teknisk krav.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til godkendelsesstyring?
ISMS.online tilbyder praktiske værktøjer til implementering og administration af sikker godkendelse:
- Rammer for adgangskontrol — Definer og dokumenter godkendelseskrav pr. system, rolle og PII-følsomhedsniveau på en central, auditerbar placering
- Politikstyring — Udgiv godkendelsespolitikker med versionskontrol og sporing af medarbejderbekræftelse
- Risikovurderinger — Vurder godkendelsesrelaterede risici med præbyggede trusselsscenarier for tyveri af legitimationsoplysninger, brute-force-angreb og sessionskapning
- Overholdelsessporing — Overvåg hvilke systemer, der opfylder din godkendelsesgrundlinje, og hvilke der har udestående handlinger
- Evidenshåndtering — Opbevar og organiser dokumentation for godkendelseskonfiguration, MFA-implementeringsoptegnelser og revisionsrapporter for nem hentning under vurderinger
Ofte Stillede Spørgsmål
Er multifaktorgodkendelse obligatorisk?
Kontrollen pålægger ikke eksplicit MFA, men den kræver, at godkendelse implementeres "baseret på begrænsninger i informationsadgang" - hvilket betyder, at godkendelsesstyrken skal stå i forhold til risikoen. For systemer, der behandler følsomme personoplysninger, fjernadgang og privilegerede konti, betragtes MFA bredt som den minimum acceptable standard. Revisorer vil forvente en risikobaseret begrundelse for alle systemer, der behandler personoplysninger, som ikke bruger MFA.
Hvilke godkendelsesmetoder betragtes som sikre?
Sikre godkendelsesmetoder omfatter multifaktorgodkendelse (en kombination af noget, du ved, noget, du har, og noget, du er), hardwaresikkerhedsnøgler (f.eks. FIDO2/WebAuthn), biometrisk godkendelse, certifikatbaseret godkendelse og adaptiv risikobaseret godkendelse. Godkendelse kun med adgangskode anses i stigende grad for at være utilstrækkelig til systemer, der behandler personoplysninger, især til fjernadgang. Adgangskodeløse tilgange, der bruger hardwaretokens eller biometri, vinder frem som et mere sikkert og brugervenligt alternativ.
Hvad er de databehandlerspecifikke forpligtelser?
Databehandlere skal tilbyde sikre loginfunktioner til kundekontrollerede konti, hvor kunden kræver det. Det betyder, at databehandlere skal kunne tilbyde MFA, SSO-integration, IP-godkendelseslister eller andre godkendelsesfunktioner, som dataansvarlige har brug for for at opfylde deres egne compliance-forpligtelser. Disse funktioner bør dokumenteres i databehandleraftalen og stilles til rådighed uden yderligere hindringer.
Registrer denne kontrol i din Anvendelseserklæring med din implementeringsmetode.
Se vores vejledning om krav til revisionsbeviser hvad revisorerne forventer.
