Mitä kohta A.3.9 edellyttää?
Henkilötietojen ja muiden henkilötietojen käsittelyyn liittyvien resurssien käyttöoikeudet myönnetään, tarkistetaan, muutetaan ja poistetaan organisaation aihekohtaisen käyttöoikeuksien hallintaa koskevan politiikan ja sääntöjen mukaisesti.
Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3), joka sisältää sekä henkilötietojen rekisterinpitäjiin että käsittelijöihin sovellettavia velvoitteita. Tehokas pääsynhallinta varmistaa, että vain valtuutettu henkilöstö voi käyttää henkilötietoja, mikä vähentää luvattoman paljastamisen tai muokkaamisen riskiä.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liitteessä B (kohta B.3.9) annetaan seuraavat ohjeet:
- Säilytä tarkat tiedot — Pidä ajan tasalla olevia tietoja käyttäjäprofiileista, jotka dokumentoivat, millä henkilöillä on valtuutettu pääsy henkilötietoihin ja niiden käsittelyjärjestelmiin
- Yksittäiset käyttäjätunnukset — Käytä yksilöllisiä käyttäjätunnisteita, jotta organisaatiot voivat tarkasti tunnistaa, kuka on käyttänyt henkilötietoja ja mitä muutoksia he ovat tehneet, mikä tukee vastuullisuutta ja jäljitettävyyttä
- Käsittelijän vastuut — Käsittelijätilanteissa asiakas (rekisterinpitäjä) voi olla vastuussa joistakin käyttöoikeuksien hallinnan osa-alueista. Käsittelijöiden tulisi antaa asianmukaiset järjestelmänvalvojan oikeudet, jotta rekisterinpitäjät voivat hallita käyttöoikeuksia tarpeen mukaan.
- Katso myös A.3.8: Identiteetinhallinta asiaankuuluvia vaatimuksia varten
- Katso myös A.3.23: Suojattu todennus asiaankuuluvia vaatimuksia varten
Yksilöllisen tunnistamisen korostaminen tarkoittaa, että jaetut tilit tai yleiset kirjautumistunnukset eivät ole hyväksyttäviä, jos kyseessä on henkilötietoja. Jokainen käyttöoikeustapahtuma on voitava jäljittää tiettyyn henkilöön.
Miten tämä vastaa GDPR:ää?
Kontrollin A.3.9 kohdennus GDPR Artiklan 5(1)(f) mukaan henkilötietoja on käsiteltävä tavalla, joka varmistaa asianmukaisen turvallisuuden, mukaan lukien suojan luvattomalta käytöltä. Vankka pääsynhallinta on yksi suorimmista tavoista osoittaa tämän eheys- ja luottamuksellisuusperiaatteen noudattaminen.
Täydellinen GDPR:n ja ISO 27701 -standardin välinen vastaavuus on lueteltu alla. GDPR-vaatimustenmukaisuusopas.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdissa 6.6.2.2, 6.6.2.5 ja 6.6.2.6, jotka käsittelivät käyttäjien käyttöoikeuksien tarjoamista, käyttäjien käyttöoikeuksien tarkistamista sekä käyttöoikeuksien poistamista tai muuttamista. Vuoden 2025 painos yhdistää nämä yhdeksi kontrolliksi (A.3.9), jossa kontrollilausunto ja toteutusohjeet on erotettu toisistaan selkeämmin kohdassa B.3.9. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Aloita ilmainen kokeilu
Haluatko tutkia?
Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.9 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Kulunvalvontakäytäntö — Dokumentoitu, aihekohtainen käytäntö, joka kattaa henkilötietojen käyttöoikeuksien myöntämisen, tarkistamisen ja peruuttamisen
- Käyttäjärekisteri — Ajantasainen luettelo kaikista henkilöistä, joilla on pääsy henkilötietoihin, mukaan lukien heidän roolinsa ja erityiset tietojoukot, joihin heillä on pääsy
- Säännölliset käyttöoikeustarkastukset — Todiste säännöllisistä tarkastuksista (esim. neljännesvuosittain), jotka vahvistavat käyttöoikeuksien asianmukaisen pysymisen, sekä kirjaukset mahdollisista muutoksista
- Liittyjän/muuttajan/lähtejän prosessi — Dokumentoidut menettelyt, jotka osoittavat, miten käyttöoikeudet myönnetään uusille aloittajille, miten niitä mukautetaan henkilöstön roolien vaihtuessa ja miten ne poistetaan viipymättä jonkun lähtiessä
- Tarkastuslokit — Järjestelmälokit, jotka osoittavat, että yksittäisiä käyttäjätunnuksia käytetään ja että käyttötapahtumien jäljitettävyys on olemassa
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.3.10 Toimittajasopimukset | Toimittajasopimuksissa tulisi määritellä henkilötietojen käyttöoikeudet ja -rajoitukset |
| A.3.18 Salassapitosopimukset | Henkilötietoihin pääsyn saaneen henkilöstön on oltava salassapitovelvollisuuden alaista |
| A.3.16 Käytäntöjen noudattaminen | Varmista, että käyttöoikeuskäytäntöjä noudatetaan käytännössä |
| A.3.15 Riippumaton arviointi | Riippumattomien tarkastusten tulisi arvioida, ovatko käyttöoikeuksien valvonnat tehokkaita |
| A.3.17 Tietoisuus ja koulutus | Henkilöstö tarvitsee koulutusta pääsynvalvontatehtävistä ja henkilötietojen käsittelystä |
Ketä tämä valvonta koskee?
A.3.9 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Rekisterinpitäjien on varmistettava, että pääsy henkilötietoihin on rajoitettu valtuutetulle henkilöstölle, kun taas käsittelijöiden on tarjottava rekisterinpitäjille hallinnolliset työkalut käyttöoikeuksien hallintaan. Käytännössä tämä tarkoittaa, että molempien osapuolten on oltava dokumentoituja käyttöoikeuksien hallintamenettelyjä.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Miksi valita ISMS.online henkilötietojen käyttöoikeuksien hallintaan?
ISMS.online tarjoaa käytännön työkaluja käyttöoikeuksien hallintaan koko tietosuojaohjelmassasi:
- Pääsyvalvontarekisteri — Dokumentoi, kenellä on pääsy mihinkin henkilötietoresursseihin, roolipohjaisen luokittelun ja hyväksyntäprosessien avulla
- Aikataulutetut käyttöoikeustarkastukset — Aseta tarkistussyklit automaattisilla muistutuksilla, jotta käyttöoikeudet tarkistetaan suunnitelluin väliajoin
- Liittyjän/muuttajan/lähtejän työnkulut — Valmiita tehtäväpohjia käyttöoikeuksien myöntämiseen, muokkaamiseen ja peruuttamiseen henkilöstömuutosten yhteydessä
- Täydellinen tarkastusketju — Jokainen käyttöoikeuksien muutos kirjataan aikaleimoineen, hyväksyjineen ja syineen, valmiina tilintarkastajan tarkastettavaksi
- Politiikan hallinta — Ylläpidä käyttöoikeuskäytäntöäsi versionhallinnalla, henkilöstön kuittausten seurannalla ja tarkistuspäivämäärillä
UKK
Kuinka usein käyttöoikeuksia tulisi tarkistaa?
Standardi ei määrää tiettyä tiheyttä, mutta useimmat organisaatiot tarkistavat henkilötietojen käyttöoikeudet neljännesvuosittain. Arkaluonteisia henkilötietojen luokkia käsittelevät korkean riskin järjestelmät saattavat edellyttää kuukausittaisia tarkistuksia. Olennaista on, että tarkastukset tehdään suunnitelluin väliajoin ja ne dokumentoidaan, ja mahdolliset poikkeamat korjataan viipymättä.
Voiko jaettuja tilejä käyttää henkilötietoihin pääsyyn?
Toteutusohjeissa edellytetään erityisesti yksilöllisiä käyttäjätunnuksia, jotta organisaatiot voivat tunnistaa, kuka on käyttänyt henkilötietoja ja mitä muutoksia he ovat tehneet. Jaetut tai yleiset tilit heikentävät tätä jäljitettävyyttä. Jos jaetut tilit ovat väistämättömiä tietystä teknisestä syystä, on dokumentoitava korvaavat toimenpiteet, kuten lisälokikirjaus ja -valvonta.
Mitkä ovat käsittelijän velvollisuudet asiakkaiden käyttöoikeuksien hallinnassa?
Kun käsittelijä käsittelee henkilötietoja rekisterinpitäjän puolesta, rekisterinpitäjän on ehkä hallinnoitava joitakin käyttöoikeuksia suoraan. Käsittelijän tulee tarjota asianmukaiset järjestelmänvalvojan oikeudet ja työkalut, jotta rekisterinpitäjä voi tarvittaessa myöntää ja peruuttaa käyttöoikeuksia. Vastuunjako tulee dokumentoida selkeästi käsittelysopimuksessa.
Dokumentoi tämä kontrolli omaan Ilmoitus soveltuvuudesta toteutusperustelujesi kanssa.
Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat.
