Forståelse af ISO 27701 klausul 6.6: Adgangskontrol bedste praksis
Adgangskontrol styrer de måder, hvorpå menneskelige og ikke-menneskelige enheder får adgang til data, it-ressourcer og applikationer – og i tilfælde af ISO 27701 6.6, PII og privatlivsrelateret materiale.
Adgangskontrol er en kompleks og mangefacetteret IKT-funktion, der trækker på adskillige andre forretningsfunktioner, såsom ændringsstyring, aktivsikkerhed, emnespecifik autorisation, fysiske sikkerhedskontroller og tekniske koncepter som RBAC, MAC og DAC. Som sådan indeholder ISO 27701 6.6 en hel del understøttende vejledning fra lignende privatlivs- og informationsbeskyttelse kontroller indeholdt i ISO 27002-standarden.
At få adgangskontrolret er en af de vigtigste funktioner i en velsmurt privatlivsbeskyttelsesoperation, især i forbindelse med beskyttelse af PII.
Hvad er dækket af ISO 27701 klausul 6.6
ISO 27701 6.6 indeholder to underklausuler, der kontekstualiserer oplysningerne i ISO 27002 5.15 (Adgangskontrol) inden for området PII og beskyttelse af privatlivets fred, med adskillige understøttende klausuler forudsat, der omhandler forskellige andre aspekter af informationssikkerhed (se ovenfor):
- ISO 27701 6.6.1.1 – Adgangskontrolpolitik (Referencer ISO 27002 Kontrol 5.15)
- ISO 27701 6.6.1.2 – Adgang til netværk og netværkstjenester (Referencer ISO 27002 Kontrol 5.15)
Ingen af klausulerne indeholder nogen PIMS-specifik vejledning, og de har heller ingen relevans for britisk GDPR-lovgivning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 klausul 6.6.1.1 – Adgangskontrolpolitik
Referencer ISO 27002 Kontrol 5.15
Ejere af aktiver, der indeholder PII, og selve dataene, bør udvikle privatlivsbaserede adgangskrav på både et generelt og emnespecifikt grundlag og klart kommunikere adgangskontrolpolitikker til alt relevant personale.
Adgangskontrolpolitikker
Generelle krav og emnespecifikke politikker bør:
- Fastlæg, hvem der kræver adgang til specifikke aktiver og data, og administrer sådanne rettigheder i overensstemmelse hermed (se ISO 27002 5.18).
- Overvej de unikke sikkerhedskrav for applikationer, der bruger PII (se ISO 27002 5.16, 5.18 og 8.26).
- Styr fysisk adgang til PII-data (se ISO 27002 7.2, 7.3 og 7.4).
- Formidle PII og godkende dokumenterede adgangsanmodninger på en "need to know"-basis (se ISO 27002 5.10, 5.12 og 5.13).
- Angiv begrænsninger på 'privilegeret' adgang til PII' (se ISO 27701 8.2).
- Adskil opgaver for at begrænse muligheden for, at enkeltpersoner og grupper er den eneste autoritet på elementer (se ISO 27002 5.3).
- Tag hensyn til organisationens forpligtelser over for enhver lovgivning om beskyttelse af privatlivets fred, lovgivningsmæssige retningslinjer eller kontraktmæssige krav (se ISO 27002 5.31, 5.32, 5.33, 5.34 og 8.3).
- Sørg for, at der vedligeholdes nøjagtige og ajourførte logfiler, at detaljerede adgang til PII på tværs af organisationen (se ISO 27002 8.15).
Definition af adgangskontrolenheder og tilknyttede regler
ISO klassificerer en 'entitet' som et fysisk, menneskeligt og/eller logisk element, der har mulighed for at få adgang til data.
Enheder bør tildeles specifikke roller i forhold til deres funktion og de data, de skal have adgang til.
Når de implementerer adgangskontrolregler for de forskellige enheder, den har defineret, bør organisationer:
- Sikre, at enheder får adgang til PII konsekvent i overensstemmelse med deres specifikke rolle og/eller funktion.
- Husk fysiske sikkerhedsbehov, når du administrerer adgang til PII.
- I tilfælde af multifacetterede skybaserede og/eller distribuerede miljøer får enheder kun adgang til de PII-datakategorier, som de har tilladelse til at bruge (i stedet for at give generel adgang.
Yderligere vejledning
Adgangskontrol kan ofte være et komplekst og svært at administrere element i en organisations IKT-drift.
Her er et par generelle principper, der skal overholdes:
- Arbejd inden for en 'need to know' og 'need to use'-ramme – dvs. kun give adgang til PII, hvis enheden kræver, at den udfører deres jobrolle, og ikke mindre.
- Organisationer bør overholde begrebet 'mindst privilegium'. ISO definerer dette som 'alt er generelt forbudt, medmindre det udtrykkeligt er tilladt'. Med andre ord bør adgangskontrol administreres nøje i stedet for at stole på medarbejdere med brede adgangsniveauer på tværs af flere applikationer, lagerenheder og filservere.
- Ændringer af adgangstilladelser bør overvejes på to måder – ændringer initieret af systemadministratorer og ændringer, der er initieret af IKT-systemer og applikationer selv – herunder hvornår godkendelser skal gennemgås.
- Med henblik på adgangs-PII skitserer ISO fire hovedadgangskontroltyper, som organisationer bør overveje, baseret på deres unikke krav:
- Obligatorisk adgangskontrol (MAC) – Adgang administreres centralt af en eneste sikkerhedsmyndighed.
- Discretionary Access Control (DAC) – Den modsatte metode til MAC, hvor objektejere er i stand til at videregive privilegier til andre brugere.
- Rollebaseret adgangskontrol (RBAC) – Den mest almindelige type kommerciel adgangskontrol, baseret på foruddefinerede jobfunktioner og privilegier.
- Attributbaseret adgangskontrol (ABAC) – Adgangsrettigheder tildeles brugere gennem brug af politikker, der kombinerer attributter.
Relevante ISO 27002 kontroller
- ISO 27002 5.3
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
- ISO 27002 5.16
- ISO 27002 5.18
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
- ISO 27002 7.2
- ISO 27002 7.3
- ISO 27002 7.4
- ISO 27002 8.2
- ISO 27002 8.3
- ISO 27002 8.26
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 klausul 6.6.1.2 – Adgang til netværk og netværkstjenester
Referencer ISO 27002 Kontrol 5.15
Se ISO 27701 klausul 6.6.1.1
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.6.1.1 | Adgangskontrolpolitik |
5.15 – Adgangskontrol til ISO 27002 |
Ingen |
| 6.6.1.2 | Adgang til netværk og netværkstjenester |
5.15 – Adgangskontrol til ISO 27002 |
Ingen |
Hvordan ISMS.online hjælper
Hvordan hjælper vi?
ISO 27701 viser dig, hvordan du opbygger et Privacy Information Management System, der overholder de fleste privatlivsforordninger, herunder EU's GDPR, BS 10012 og Sydafrikas POPIA.
Vores forenklede, sikre, bæredygtige software hjælper dig med nemt at følge den tilgang, der er skitseret af den internationalt anerkendte standard.
Vores alt-i-én-platform sikrer, at dit privatlivsarbejde stemmer overens med og opfylder behovene i hver del af ISO 27701-standarden.
Og fordi det er reguleringsagnostisk, kan du kortlægge det på enhver regulering, du har brug for.
Find ud af mere ved booking af en praktisk demo.
