Mitä kohta A.3.8 edellyttää?
Henkilötietojen käsittelyyn liittyvien identiteettien koko elinkaarta on hallittava.
Tämä ohjaus sijaitsee jaetut suojauskontrollit (Taulukko A.3) ja sitä sovelletaan sekä henkilötietojen rekisterinpitäjiin että käsittelijöihin. Se laajentaa ISO 27001 -standardin identiteetinhallintavaatimuksia koskemaan erityisesti henkilötietoja käsitteleviä järjestelmiä tunnustaen, että vaarantuneet identiteetit ovat yksi yleisimmistä tavoista rikkoa yksityisyyttä.
Mitä käyttöönotto-ohjeissa sanotaan?
Liite B (kohta B.3.8) sisältää yksityiskohtaiset ohjeet henkilöllisyyden elinkaaren hallintaan henkilötietojen käsittelyjärjestelmissä:
- Vaarantuneet tunnistetiedot — Puutu tilanteisiin, joissa käyttäjien käyttöoikeudet vaarantuvat, kuten salasanojen vioittumiseen tai vaarantumiseen. Käytä menettelyjä tunnistetietojen vaarantumisen havaitsemiseksi ja siihen reagoimiseksi nopeasti.
- Deaktivoidut/vanhentuneet tunnukset — Älä myönnä uudelleen deaktivoituja tai vanhentuneita käyttäjätunnuksia henkilötietojen käsittelyjärjestelmille. Tämä säilyttää tarkastusketjujen eheyden ja estää henkilöllisyyden sekaannukset.
- Jaettu vastuu — Jos asiakkaat (esim. SaaS-kontekstissa) ovat vastuussa joistakin käyttäjätunnusten hallinnan osa-alueista, tämä tulisi dokumentoida selkeästi palvelusopimuksissa
- Lainkäyttöaluekohtaiset tarkastukset — Joillakin lainkäyttöalueilla vaaditaan käyttämättömien tunnistetietojen tarkistusta tietyin väliajoin. Tunnista ja noudata organisaatioosi sovellettavia tällaisia vaatimuksia.
- Katso myös A.3.9: Käyttöoikeudet asiaankuuluvia vaatimuksia varten
- Katso myös A.3.23: Suojattu todennus asiaankuuluvia vaatimuksia varten
Ohjeistus kattaa koko elinkaaren: identiteettien luomisen, tarjoamisen, muokkaamisen, keskeyttämisen, deaktivoinnin ja poistamisen. Jokainen vaihe tulee dokumentoida ja valvoa.
Miten tämä vastaa GDPR:ää?
Kontrollin A.3.8 kohdennus GDPR Artikla 5(1)(f) (tietojen eheyden ja luottamuksellisuuden periaate). Vankka identiteetinhallinta on 32 artiklan (käsittelyn turvallisuus) mukainen keskeinen tekninen ja organisatorinen toimenpide. Vaarantuneet tai huonosti hallinnoidut identiteetit voivat johtaa luvattomaan pääsyyn henkilötietoihin, mikä on sekä tietoturvaloukkaus että mahdollinen tietoturvaloukkaus, joka edellyttää ilmoitusta 33 ja 34 artiklan mukaisesti.
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Jaettuna tietoturvakontrollina A.3.8 tukee laajempaa ISO 29100 viitekehys. Identiteetinhallinta on tietoturvaperiaatteen suora toteutus, jolla varmistetaan, että vain valtuutetut henkilöt voivat käyttää henkilötietoja ja että heidän käyttöoikeutensa voidaan jäljittää, tarkistaa ja peruuttaa koko identiteetin elinkaaren ajan.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.8 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Identiteettielinkaaren menettelytavat — Dokumentoidut menettelyt, jotka kattavat käyttäjätunnusten luomisen, muokkaamisen, keskeyttämisen ja deaktivoinnin henkilötietojen käsittelyjärjestelmissä
- Liittyjän/muuttajan/lähtejän prosessi — Näyttö siitä, että identiteettimuutokset käynnistyvät HR-tapahtumien (uudet työntekijät, roolimuutokset, lähdöt) seurauksena ja niihin puututaan nopeasti
- Deaktivoitujen tunnisteiden uudelleenkäyttö kielletty — Todiste siitä, että deaktivoituja tai vanhentuneita käyttäjätunnuksia ei ole myönnetty uudelleen uusille käyttäjille henkilötietojen käsittelyjärjestelmissä
- Käyttämättömien valtakirjojen tarkistukset — Todiste säännöllisistä tarkastuksista, joilla tunnistetaan ja deaktivoidaan passiiviset tilit, dokumentoidulla tiheydellä ja tuloksilla
- Kompromissivastaus — Menettelyt ja todisteet tunnistetietojen vaarantumistapahtumiin reagoimiseksi (salasanan vaihdot, tilin lukitukset, tutkintatiedot)
- Palvelusopimukset — Jos asiakkaat hallinnoivat itse käyttäjätunnuksiaan, sopimukset, joissa vastuut määritellään selkeästi
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.3.4 Roolit ja vastuut | Määritellyt roolit määräävät, mitä käyttöoikeuksia kullakin identiteetillä tulisi olla |
| A.3.5 Tietojen luokittelu | Pääsy korkeamman turvallisuusluokan henkilötietoihin tulisi rajoittaa asianmukaisesti valtuutettuihin henkilöllisyyksiin |
| A.3.3 Tietoturvakäytännöt | Identiteetinhallintamenettelyjen tulisi toteuttaa tietoturvapolitiikoissa määritellyt käyttöoikeusvaatimukset |
| A.3.7 Tiedonsiirto | Siirtojärjestelmiin pääsyyn käytettäviä identiteettejä on hallittava samojen elinkaarikontrollien avulla. |
| A.3.12 Tietoturvapoikkeamiin reagointi | Luvattomaan pääsyyn johtava identiteetin vaarantuminen voi aiheuttaa tietomurtoilmoitusvelvollisuuden |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.6.2.1 (käyttäjän rekisteröinti ja rekisteröinnin poistaminen). Vuoden 2025 versiossa soveltamisalaa laajennetaan kattamaan nimenomaisesti koko henkilöllisyyden elinkaari, ei pelkästään rekisteröintiä ja rekisteröinnin poistamista. Ohjeistus sisältää nyt erityisiä määräyksiä vaarantuneista tunnistetiedoista, deaktivoitujen henkilöllisyystodistusten uudelleenkäytön kieltämisestä ja lainkäyttöaluekohtaisista tunnistetietojen tarkistusvaatimuksista. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online identiteetinhallinnan hallintaa varten?
ISMS.online auttaa hallitsemaan henkilötietojen käsittelyjärjestelmien identiteetin elinkaarta:
- Pääsyvalvontarekisteri — Dokumentoi, kenellä on pääsy mihinkin henkilötietojen käsittelyjärjestelmiin, roolipohjaisilla käyttöoikeustasoilla, jotka on linkitetty määriteltyihin vastuisiin
- Liittyjän/muuttajan/lähtejän työnkulut — Käynnistää identiteetin tarjoamis-, muokkaus- ja deaktivointitehtäviä HR-tapahtumista ja seurata niiden valmistumista ja hyväksymistä
- Säännölliset käyttöoikeustarkastukset — Aikatauluta ja seuraa henkilötietojen käsittelyjärjestelmien käyttöoikeustarkistuksia sisäänrakennettujen muistutusten ja tarkastustulosten lokitiedoston avulla
- Tapahtumaan vastaaminen — Kirjaa tunnistetietojen vaarantumistapahtumat ja seuraa niiden ratkaisua aina ratkaisuun asti, mukaan lukien todisteet toteutetuista korjaavista toimista
- Toimittajien käyttöoikeuksien hallinta — Jos kolmannet osapuolet tai asiakkaat hallinnoivat omia identiteettejään, dokumentoi jaetun vastuun malli ja valvo vaatimustenmukaisuutta
- Vaatimustenmukaisuusraportointi — Luo raportteja identiteetinhallinnan tilasta, mukaan lukien käyttämättömät tilit, myöhässä olevat tarkistukset ja avoimen saatavuuden muutospyynnöt
UKK
Miksi deaktivoituja käyttäjätunnuksia ei pitäisi myöntää uudelleen?
Deaktivoidun käyttäjätunnuksen uudelleenmyöntäminen uudelle henkilölle aiheuttaa epäselvyyttä lokitiedoissa. Jos järjestelmä kirjaa toimia käyttäjätunnuksen mukaan, tunnuksen alkuperäisen ja myöhempien haltijoiden toimien erottaminen toisistaan on mahdotonta. Henkilökohtaisesti tunnistettujen tietojen käsittelyjärjestelmissä, joissa lokitiedoilla on ratkaiseva merkitys vaatimustenmukaisuuden osoittamisessa ja tapausten tutkinnassa, tämä epäselvyys on mahdotonta hyväksyä. Luo aina uudet, yksilölliset käyttäjätunnukset uusille käyttäjille.
Kuinka usein meidän tulisi tarkistaa käyttämättömät tunnistetiedot?
Tarkista käyttämättömät tunnistetiedot vähintään neljännesvuosittain. Jotkin lainkäyttöalueet tai toimialakohtaiset määräykset saattavat edellyttää useammin tehtyjä tarkistuksia. Automaattiset työkalut voivat merkitä tilit, joita ei ole käytetty tietyn ajanjakson (esim. 90 päivän) kuluessa, jolloin tiimisi voi tutkia ja deaktivoida käyttämättömät tilit nopeasti. Yhdistä automaattinen tunnistus manuaaliseen tarkistusprosessiin löytääksesi tilit, jotka ovat saattaneet jäädä huomaamatta.
Mitä meidän pitäisi tehdä, kun tunnistetiedot vaarantuvat?
Palauta tai keskeytä välittömästi vaarantuneet tunnistetiedot ja tutki vaarantumisen laajuus. Selvitä, onko henkilötietoja käytetty tai vuotanut. Jos henkilötietojen tietoturvaloukkaus on tapahtunut, arvioi ilmoitustarve sovellettavan lainsäädännön nojalla (esim. GDPR 33 ja 34 artikla). Dokumentoi tapahtuma, toteutetut toimenpiteet ja lopputulos. Tarkista perimmäinen syy ja toteuta toimenpiteitä toistumisen estämiseksi, kuten monivaiheisen todennuksen käyttöönotto tai salasanakäytäntöjen vahvistaminen.
Dokumentoi tämä kontrolli omaan Ilmoitus soveltuvuudesta toteutusperustelujesi kanssa.
Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat.
