Spring til indhold
ISMS.online

ISO 27701:2025 Kontrol A.3.8: Identitetsstyring

Kontrol A.3.8 kræver, at organisationer administrerer hele livscyklussen for identiteter relateret til PII-behandling. Fra klargøring til deaktivering skal alle brugeridentiteter med adgang til personoplysninger styres korrekt.

Forfatter
Max Edwards
Opdateret marts 27, 2026
4/5 stjerner

Hvad kræver kontrol A.3.8?

Den fulde livscyklus for identiteter relateret til behandling af personoplysninger skal styres.

Denne kontrol ligger inden for delte sikkerhedskontroller (Tabel A.3) og gælder for både PII-ansvarlige og PII-behandlere. Den udvider standardkravene til ISO 27001-identitetsstyring til specifikt at omfatte systemer, der behandler personoplysninger, idet den anerkender, at kompromitterede identiteter er en af ​​de mest almindelige veje til brud på privatlivets fred.

Hvad siger implementeringsvejledningen?

Bilag B (afsnit B.3.8) indeholder detaljeret vejledning om identitetslivscyklusstyring for PII-behandlingssystemer:

  • Kompromitterede legitimationsoplysninger — Håndter situationer, hvor brugeradgangskontrol er kompromitteret, såsom beskadigelse eller kompromittering af adgangskoder. Hav procedurer på plads til at opdage og reagere hurtigt på kompromittering af legitimationsoplysninger.
  • Deaktiverede/udløbne ID'er — Genudsted ikke deaktiverede eller udløbne bruger-ID'er til PII-behandlingssystemer. Dette bevarer integriteten af ​​revisionsspor og forhindrer identitetsforvirring.
  • Fælles ansvar — Hvor kunder (f.eks. i en SaaS-kontekst) er ansvarlige for visse aspekter af bruger-ID-administration, bør dette tydeligt dokumenteres i serviceaftaler
  • Jurisdiktionspecifikke kontroller — Nogle jurisdiktioner kræver kontrol af ubrugte legitimationsoplysninger med en bestemt hyppighed. Identificer og overhold eventuelle sådanne krav, der gælder for din organisation.
  • Se også A.3.9: Adgangsrettigheder for relaterede krav
  • Se også A.3.23: Sikker godkendelse for relaterede krav

Vejledningen dækker hele livscyklussen: oprettelse, klargøring, ændring, suspendering, deaktivering og sletning af identiteter. Hver fase skal dokumenteres og kontrolleres.

Hvordan relaterer dette sig til GDPR?

Kontrol A.3.8 knytter sig til GDPR Artikel 5(1)(f) (princippet om integritet og fortrolighed). Robust identitetsstyring er en central teknisk og organisatorisk foranstaltning i henhold til artikel 32 (behandlingssikkerhed). Kompromitterede eller dårligt administrerede identiteter kan føre til uautoriseret adgang til personoplysninger, hvilket både er en sikkerhedshændelse og et potentielt databrud, der kræver anmeldelse i henhold til artikel 33 og 34.

Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?

Som en delt sikkerhedskontrol understøtter A.3.8 den bredere ISO 29100 ramme. Identitetsstyring er en direkte implementering af informationssikkerhedsprincippet, der sikrer, at kun autoriserede personer kan få adgang til personoplysninger, og at deres adgang kan spores, gennemgås og tilbagekaldes gennem hele identitetslivscyklussen.



klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Hvilken dokumentation forventer revisorer?

Ved vurdering af overholdelse af A.3.8 vil revisorer typisk se efter:

  • Procedurer for identitetslivcyklus — Dokumenterede procedurer, der dækker oprettelse, ændring, suspendering og deaktivering af brugeridentiteter i systemer til behandling af personoplysninger
  • Tilmelding/flytning/afgang proces — Dokumentation for, at identitetsændringer udløses af HR-begivenheder (nye medarbejdere, rolleændringer, afgange) og at der handles omgående
  • Ingen genbrug af deaktiverede ID'er — Dokumentation for, at deaktiverede eller udløbne bruger-ID'er ikke er blevet genudstedt til nye brugere i PII-behandlingssystemer
  • Gennemgang af ubrugte legitimationsoplysninger — Dokumentation for periodiske gennemgange for at identificere og deaktivere inaktive konti, med dokumenteret hyppighed og resultater
  • Kompromisrespons — Procedurer og dokumentation for reaktion på kompromitterede legitimationsoplysninger (nulstilling af adgangskode, kontospærring, undersøgelsesrapporter)
  • Serviceaftaler — Hvor kunder administrerer deres egne bruger-ID'er, aftaler der klart definerer ansvarsområder

Hvad er de relaterede kontroller?

kontrol Relationship
A.3.4 Roller og ansvarsområder Definerede roller bestemmer, hvilken adgang hver identitet skal have
A.3.5 Klassificering af oplysninger Adgang til mere højt klassificerede personoplysninger bør begrænses til behørigt autoriserede identiteter
A.3.3 Politikker for informationssikkerhed Identitetsstyringsprocedurer bør implementere de adgangskontrolkrav, der er defineret i sikkerhedspolitikker
A.3.7 Informationsoverførsel Identiteter, der bruges til at få adgang til overførselssystemer, skal administreres via de samme livscykluskontroller
A.3.12 Reaktion på sikkerhedshændelser Identitetskompromittering, der fører til uautoriseret adgang, kan udløse forpligtelser til anmeldelse af brud

Hvad har ændret sig fra ISO 27701:2019?

For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.

I 2019-udgaven var dette krav dækket under klausul 6.6.2.1 (brugerregistrering og -afregistrering). 2025-versionen udvider anvendelsesområdet til eksplicit at dække hele identitetslivscyklussen, ikke kun registrering og afregistrering. Vejledningen indeholder nu specifikke bestemmelser for kompromitterede legitimationsoplysninger, manglende genbrug af deaktiverede ID'er og jurisdiktionspecifikke krav til legitimationskontrol. Se Bilag F korrespondancetabel for den fulde kortlægning.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Hvorfor vælge ISMS.online til styring af identitetsstyring?

ISMS.online hjælper dig med at styre identitetslivscyklussen for PII-behandlingssystemer:

  • Adgangskontrolregister — Dokumentér, hvem der har adgang til hvilke PII-behandlingssystemer, med rollebaserede adgangsniveauer knyttet til definerede ansvarsområder
  • Arbejdsgange for tiltrædende/flyttede/afgående medarbejdere — Udløs identitetslevering, ændring og deaktivering fra HR-hændelser, med sporet færdiggørelse og godkendelse
  • Periodiske adgangsgennemgange — Planlæg og spor adgangsgennemgange for PII-behandlingssystemer med indbyggede påmindelser og revisionsspor for gennemgangsresultater
  • Hændelsesreaktion — Registrer hændelser med kompromittering af legitimationsoplysninger, og spor reaktionen frem til løsning, herunder dokumentation for trufne afhjælpende handlinger
  • Styring af leverandøradgang — Hvor tredjeparter eller kunder administrerer deres egne identiteter, skal modellen for delt ansvar dokumenteres, og overholdelsen skal overholdes
  • Overholdelsesrapportering — Generer rapporter om status for identitetsstyring, herunder inaktive konti, forsinkede gennemgange og anmodninger om ændring af åben adgang

Ofte Stillede Spørgsmål

Hvorfor bør deaktiverede bruger-ID'er ikke genudstedes?

Genudstedelse af et deaktiveret bruger-ID til en ny person skaber tvetydighed i revisionsspor. Hvis et system logger handlinger efter bruger-ID, bliver det umuligt at skelne mellem handlinger foretaget af den oprindelige og efterfølgende indehavere af det pågældende ID. For PII-behandlingssystemer, hvor revisionsspor er afgørende for at demonstrere overholdelse og undersøge hændelser, er denne tvetydighed uacceptabel. Opret altid nye, unikke bruger-ID'er til nye brugere.

Hvor ofte skal vi tjekke for ubrugte loginoplysninger?

Gennemgå som minimum ubrugte loginoplysninger hvert kvartal. Nogle jurisdiktioner eller branchebestemmelser kan kræve hyppigere kontroller. Automatiserede værktøjer kan markere konti, der ikke er blevet brugt inden for en defineret periode (f.eks. 90 dage), så dit team hurtigt kan undersøge og deaktivere inaktive konti. Kombiner automatiseret detektion med en manuel gennemgangsproces for at opdage konti, der muligvis er blevet overset.

Hvad skal vi gøre, når legitimationsoplysninger er kompromitteret?

Nulstil eller suspender straks de kompromitterede loginoplysninger, og undersøg omfanget af kompromitteringen. Afgør, om der er blevet tilgået eller stjålet personoplysninger. Hvis der er sket et brud på persondatasikkerheden, skal du vurdere behovet for underretning i henhold til gældende lovgivning (f.eks. GDPR Artikel 33 og 34). Dokumenter hændelsen, de trufne reaktionstiltag og resultatet. Gennemgå den grundlæggende årsag, og implementer foranstaltninger for at forhindre gentagelse, såsom at håndhæve multifaktorgodkendelse eller styrke adgangskodepolitikker.

Dokumentér denne kontrol i din Anvendelseserklæring med din implementeringsrationale.

Se vores vejledning om krav til revisionsbeviser hvad revisorerne forventer.

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Forår 2026
Højtydende - Forår 2026 Small Business UK
Regional leder - EU forår 2026
Regional leder - Forår 2026 EMEA
Regional leder - Forår 2026 Storbritannien
Højtydende - Forår 2026 Mellemmarked EMEA

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.