Hvad kræver kontrol A.3.9?
Adgangsrettigheder til PII og andre tilhørende aktiver relateret til behandling af PII skal tildeles, gennemgås, ændres og fjernes i overensstemmelse med organisationens emnespecifikke politik og regler for adgangskontrol.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3), som indeholder forpligtelser, der gælder for både PII-ansvarlige og PII-behandlere. Effektiv adgangsstyring sikrer, at kun autoriseret personale har adgang til personoplysninger, hvilket reducerer risikoen for uautoriseret videregivelse eller ændring.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.9) indeholder følgende vejledning:
- Opretholde nøjagtige registreringer — Hold opdaterede registre over brugerprofiler, der dokumenterer, hvilke personer der har autoriseret adgang til PII og PII-behandlingssystemer
- Individuelle brugeradgangs-ID'er — Brug individuelle bruger-id'er, så organisationer kan identificere præcis, hvem der tilgik personoplysninger, og hvilke ændringer de har foretaget, hvilket understøtter ansvarlighed og sporbarhed
- Databehandlerens ansvar — I databehandlerscenarier kan kunden (den dataansvarlige) være ansvarlig for visse aspekter af adgangsstyringen. Databehandlere bør give passende administrative rettigheder, så dataansvarlige kan administrere adgang efter behov.
- Se også A.3.8: Identitetsstyring for relaterede krav
- Se også A.3.23: Sikker godkendelse for relaterede krav
Vægten på individuel identifikation betyder, at delte konti eller generiske loginoplysninger ikke er acceptable, når der er tale om personoplysninger. Enhver adgangshændelse skal kunne spores tilbage til en bestemt person.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.9 knytter sig til GDPR Artikel 5(1)(f), som kræver, at personoplysninger behandles på en måde, der sikrer passende sikkerhed, herunder beskyttelse mod uautoriseret adgang. Robust adgangskontrol er en af de mest direkte måder at påvise overholdelse af dette integritets- og fortrolighedsprincip.
For den fulde GDPR-til-ISO 27701-kortlægning, se Vejledning til overholdelse af GDPR.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven blev dette krav dækket i punkt 6.6.2.2, 6.6.2.5 og 6.6.2.6, som omhandlede henholdsvis brugeradgangsbestemmelser, gennemgang af brugeradgangsrettigheder og fjernelse eller justering af adgangsrettigheder. 2025-udgaven konsoliderer disse i en enkelt kontrol (A.3.9) med en klarere adskillelse mellem kontrolerklæringen og implementeringsvejledningen i B.3.9. Se Bilag F korrespondancetabel for den fulde kortlægning.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.9 vil revisorer typisk se efter:
- Adgangskontrolpolitik — En dokumenteret, emnespecifik politik, der dækker, hvordan adgangsrettigheder til personoplysninger tildeles, gennemgås og tilbagekaldes
- Brugeradgangsregister — En opdateret liste over alle personer med adgang til personoplysninger, herunder deres roller og de specifikke datasæt, de har adgang til
- Periodiske adgangsgennemgange — Dokumentation for regelmæssige evalueringer (f.eks. kvartalsvise), der bekræfter, at adgangsrettighederne fortsat er relevante, med registrering af eventuelle ændringer
- Tilmelding/flytning/afgang proces — Dokumenterede procedurer, der viser, hvordan adgang gives til nyansatte, justeres, når personalet skifter rolle, og fjernes straks, når nogen forlader virksomheden.
- Revisionslogfiler — Systemlogfiler, der viser, at individuelle bruger-ID'er bruges, og at adgangshændelser kan spores
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.10 Leverandøraftaler | Leverandørkontrakter bør definere adgangsrettigheder og begrænsninger for personoplysninger |
| A.3.18 Fortrolighedsaftaler | Personale med PII-adgang skal være underlagt fortrolighedsforpligtelser |
| A.3.16 Overholdelse af politikker | Kontroller, at adgangskontrolpolitikkerne følges i praksis |
| A.3.15 Uafhængig gennemgang | Uafhængige revisioner bør vurdere, om adgangskontrollerne er effektive |
| A.3.17 Bevidstgørelse og træning | Personalet har brug for træning i adgangskontrol og håndtering af personoplysninger |
Hvem gælder denne kontrol for?
A.3.9 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Dataansvarlige skal sikre, at adgang til personoplysninger er begrænset til autoriseret personale, mens databehandlere skal give de dataansvarlige de administrative værktøjer, der er nødvendige for at administrere adgangsrettigheder. I praksis betyder det, at begge parter har brug for dokumenterede procedurer for adgangsstyring.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til administration af PII-adgangsrettigheder?
ISMS.online giver praktiske værktøjer til administration af adgangskontroller på tværs af dit privatlivsprogram:
- Adgangskontrolregister — Dokumentér, hvem der har adgang til hvilke PII-aktiver, med rollebaserede kategoriserings- og godkendelsesworkflows
- Planlagte adgangsgennemgange — Indstil gennemgangscyklusser med automatiske påmindelser, så adgangsrettigheder kontrolleres med planlagte intervaller
- Arbejdsgange for tiltrædende/flyttede/afgående medarbejdere — Forudbyggede opgaveskabeloner til klargøring, ændring og tilbagekaldelse af adgang, når der sker personaleændringer
- Fuld revisionsspor — Enhver ændring af adgangsrettigheder logges med tidsstempler, godkendere og årsager, klar til revisorgennemgang
- Politikstyring — Vedligehold din adgangskontrolpolitik med versionskontrol, sporing af medarbejderbekræftelser og gennemgangsdatoer
Ofte Stillede Spørgsmål
Hvor ofte skal adgangsrettigheder gennemgås?
Standarden foreskriver ikke en specifik hyppighed, men de fleste organisationer gennemgår adgangsrettigheder til personoplysninger kvartalsvis. Højrisikosystemer, der håndterer følsomme kategorier af personoplysninger, kan berettige månedlige gennemgange. Nøglen er, at gennemgange sker med planlagte intervaller og dokumenteres, og at eventuelle uoverensstemmelser løses hurtigt.
Kan delte konti bruges til at få adgang til personoplysninger?
Implementeringsvejledningen kræver specifikt individuelle brugeradgangs-id'er, så organisationer kan identificere, hvem der har tilgået personoplysninger, og hvilke ændringer de har foretaget. Delte eller generiske konti underminerer denne sporbarhed. Hvis delte konti er uundgåelige af en specifik teknisk årsag, bør kompenserende kontroller såsom yderligere logføring og overvågning dokumenteres.
Hvad er en databehandlers forpligtelser i forbindelse med administration af kundeadgang?
Når en databehandler håndterer personoplysninger på vegne af en dataansvarlig, kan den dataansvarlige være nødt til at administrere visse adgangsaspekter direkte. Databehandleren bør stille passende administrative rettigheder og værktøjer til rådighed, så den dataansvarlige kan give og tilbagekalde adgang efter behov. Ansvarsfordelingen bør være tydeligt dokumenteret i databehandleraftalen.
Dokumentér denne kontrol i din Anvendelseserklæring med din implementeringsrationale.
Se vores vejledning om krav til revisionsbeviser hvad revisorerne forventer.
