Forståelse af ISO 27701 klausul 6.10: Kommunikationssikkerhed
Kommunikationssikkerhed er brød og smør i de fleste privatlivsbeskyttelsesoperationer, herunder aktiviteter, der både begrænser og overvåger adgang til PII og privatlivsrelaterede aktiver.
Organisationer skal udøve stram kontrol over, hvem og hvad der er i stand til at få adgang til sikkerheds- og privatlivsrelaterede IKT-ressourcer gennem udbredt brug af sikre netværkskontroller, servicestyring og adskillelse.
Hvad er dækket af ISO 27701 klausul 6.10
ISO 27701 indeholder tre underklausuler, der omhandler forskellige områder af kommunikationssikkerhed:
- ISO 27701 6.10.1.1 – Netværkskontrol (ISO 27002 Kontrol 8.20)
- ISO 27701 6.10.1.2 – Sikkerhed i netværkstjenester (ISO 27002 kontrol 8.21)
- ISO 27701 6.10.1.3 – Segregation i netværk (ISO 27002 kontrol 8.22)
Hver klausul indeholder tilstødende information fra ISO 27002, med en lang række understøttende klausuler (især inden for underklausul 6.10.1.1), som passer til emnets komplekse karakter.
ISO tilbyder ingen yderligere PIMS eller PII-relateret vejledning om emnet kommunikationssikkerhed, og der er heller ingen UK GDPR artikler at tage hensyn til.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
ISO 27701 klausul 6.10.1.1 – Netværkskontrol
Referencer ISO 27002 Kontrol 8.20
ISO 27701 klausul 6.10.1.1 fokuserer på to nøgleaspekter af netværkssikkerhed:
- Beskyttelse af personlige oplysninger
- Beskyttelse mod uautoriseret adgang
Organisationer bør:
- Kategoriser data (inklusive PII) efter typen og klassificering.
- Sørg for, at kun kvalificeret personale bliver bedt om at vedligeholde netværksudstyr i overensstemmelse med et klart sæt roller og ansvarsområder.
- Hold et register over netværksdiagrammer, firmwareversioner og konfigurationsfiler for kritiske enheder såsom routere, firewalls, WAP'er og netværksswitches.
- Adskil netværksansvar (se ISO 27002 kontrol 5.3), herunder adskillelse af administrativ trafik fra standard netværkstrafik.
- Overhold kontroller, der letter sikker lagring og overførsel af data, inklusive alle tilsluttede applikationer og systemer (se ISO 27002 kontroller 5.22, 8.24, 5.14 og 6.6).
- Vedligehold sikkerhedslogfiler for hele systemet og individuelle komponenter efter behov (se ISO 27002 kontrol 8.16 og 8.15).
- Udfør netværksstyring og administrationsopgaver i harmoni med andre forretningsprocesser.
- Sørg for, at der søges korrekt autorisation og gives, før personalet får adgang til relevante dele af netværket.
- Udnyt trafikbegrænsninger, indholdsfiltrering og dataregler i hele netværket for både indgående og udgående data.
- Sørg for, at enhver enhed, der er forbundet til netværket, kan administreres af administrativt personale.
- Har evnen til at adskille og opdele kritiske områder af netværket for at sikre forretningskontinuitet efter kritiske hændelser, herunder suspension af netværksprotokoller.
Relevante ISO 27002 kontroller
- ISO 27002 5.14
- ISO 27002 5.22
- ISO 27002 5.3
- ISO 27002 6.6
- ISO 27002 8.15
- ISO 27002 8.16
- ISO 27002 8.24
ISO 27701 klausul 6.10.1.2 – Sikkerhed i netværkstjenester
Referencer ISO 27002 Kontrol 8.21
Når man overvejer det bredere koncept for netværkstjenestesikkerhed, er der tre hovedfaktorer at huske på:
- Sikkerhedsfunktioner.
- Serviceniveauer.
- Servicekrav.
Organisationer bør sikre, at tjenesteudbydere forstår, hvad der forventes af dem, og at de opfylder deres erklærede forpligtelser på et konsekvent grundlag.
Organisationer bør kunne henvise til et utvetydigt sæt SLA'er og overvåge overholdelse i hele varigheden af en serviceaftale.
Referencer bør søges og indhentes fra pålidelige kilder med det endelige mål at etablere en tjenesteudbyders evne til at opfylde de kommercielle og operationelle krav i organisationen.
Sikkerhedsregler bør omfatte:
- Alle netværkstjenester, der er tilladt at få adgang til – inklusive en grundig liste over godkendelseskrav.
- Netværksstyringskontroller, der beskytter PII og privatlivsrelaterede aktiver mod misbrug og uautoriseret adgang.
- Fjernadgang og onsite adgang.
- Logning af nøgleoplysninger om adgang til netværkstjenester, herunder adgangstid, adgangsplacering og enhedsdata.
- Overvågning af aktiviteter.
Netværkstjenestesikkerhed
Organisationer præsenteres for forskellige yderligere sikkerhedsforanstaltninger, der yderligere sikrer integriteten og tilgængeligheden af PII.
Organisationer bør:
- Overvej sikkerhedsfunktioner som f.eks autentificering, kryptering og forbindelseskontrol.
- Etabler klare retningslinjer, der styrer forbindelser til netværkstjenester.
- Tillad brugere at vælge mængden af cachelagrede data for at øge ydeevnen og minimere privatlivsrisici forbundet med overdreven lagring.
- Begræns adgangen til netværkstjenester.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 paragraf 6.10.1.3 – Opdeling i netværk
Referencer ISO 27002 Kontrol 8.22
For at forbedre integriteten og tilgængeligheden af PII og privatlivsrelaterede aktiver bør organisationer adskille tjenester, brugere og systemer på tværs af hele deres netværk baseret på deres unikke sikkerhedskrav og i overensstemmelse med en emnespecifik tilgang (se ISO 27002 kontrol 5.15).
For at opnå dette bør organisationer:
- Adskil domæner fra alle offentlige netværk, inklusive internettet.
- Adskil områder af netværket baseret på tillid, kritik og følsomhed.
- Overvej adskilte operationelle funktioner, når du adskiller netværket, såsom HR, økonomi og marketing.
- Adskil ved hjælp af en kombination af fysiske og logiske kontroller.
- Betjen med klart definerede netværksperimetre og stramt kontrollerede gateways.
- Overvej WiFi-adgang i overensstemmelse med, hvad der ofte er en løst defineret netværksperimeter, med varierende adgangskrav, og for at sikre, at ekstern trafik passerer gennem en gateway, før intern adgang gives (se ISO 27002 Kontrol 8.20).
- Adskil gæste- og medarbejders WiFi-adgang, og sæt kraftige begrænsninger på gæsters adgang for at modvirke brug af personale.
Relevante ISO 27002 kontroller
- ISO 27002 5.15
- ISO 27002 8.20
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.10.1.1 | Netværkskontrol |
8.20 – Netværkssikkerhed for ISO 27002 |
Ingen |
| 6.10.1.2 | Sikkerhed i netværkstjenester |
8.21 – Sikkerhed for netværkstjenester for ISO 27002 |
Ingen |
| 6.10.1.3 | Segregation i netværk |
8.22 – Adskillelse af netværk til ISO 27002 |
Ingen |
Hvordan ISMS.online Hjælp
ISO 27701 viser dig, hvordan du opbygger et Privacy Information Management System, der overholder de fleste privatlivsforordninger, herunder EU's GDPR, BS 10012 og Sydafrikas POPIA. Vores forenklede, sikre, bæredygtige software hjælper dig med nemt at følge den tilgang, der er skitseret af den internationalt anerkendte standard.
Vores alt-i-én-platform sikrer, at dit privatlivsarbejde stemmer overens med og opfylder behovene i hver del af ISO 27701-standarden. Og fordi det er reguleringsagnostisk, kan du kortlægge det på enhver regulering, du har brug for.
Find ud af mere ved booking af en demo.
