ISO 27701, lauseke 6.6, kulunvalvonta

ISO 27701 – Kohta 6.6 – Kulunvalvonta

ISO 27701:n lausekkeessa 6.6 määritellään pääsynvalvontavaatimukset henkilökohtaisten tunnistetietojen (PII) suojaamiseksi. Näin varmistetaan, että käyttöoikeus myönnetään roolikohtaisten tarpeiden perusteella noudattaen vähiten etuoikeuksien ja suojatun todennuksen periaatteita. Se määrää verkkoon pääsyn, käyttäjien hallinnan ja järjestelmän ohjauksen käytännöt luvattoman tietojen altistumisen estämiseksi.

ISO 27701:n lausekkeen 6.6 ymmärtäminen: Kulunvalvonnan parhaat käytännöt

Pääsynhallinta säätelee tapoja, joilla ihmisille ja muille kuin ihmisille myönnetään pääsy tietoihin, IT-resursseihin ja sovelluksiin – ja ISO 27701 6.6:n tapauksessa henkilötietoihin ja yksityisyyteen liittyvään materiaaliin.

Kulunvalvonta on monimutkainen ja monipuolinen ICT-toiminto, joka vetää sisäänsä lukuisia muita liiketoimintatoimintoja, kuten muutosten hallintaa, omaisuuden turvallisuutta, aihekohtaista valtuutusta, fyysisiä turvatarkastuksia ja teknisiä konsepteja, kuten RBAC, MAC ja DAC. Sellaisenaan ISO 27701 6.6 sisältää paljon tukevia ohjeita samanlaisesta yksityisyyden ja tiedon suojasta. ISO 27002 -standardin sisältämät säätimet.

Kulunvalvontaoikeuden saaminen on yksi hyvin öljytyn yksityisyyden suojatoiminnan tärkeimmistä tehtävistä, erityisesti henkilökohtaisten tunnistetietojen turvaamisen yhteydessä.

Mitä ISO 27701:n lauseke 6.6 kattaa

ISO 27701 6.6 sisältää kaksi alalauseketta, jotka asettavat sisältöön annetut tiedot ISO 27002 5.15 (pääsynhallinta) henkilökohtaisten tunnistetietojen ja yksityisyyden suojan alalla lukuisine tukilausekkein, jotka koskevat monia muita tietoturvaan liittyviä näkökohtia (katso edellä):

ISO 27701 6.6.1.1 – Kulunvalvontakäytäntö (viitteet ISO 27002 Control 5.15)
ISO 27701 6.6.1.2 – Pääsy verkkoihin ja verkkopalveluihin (viitteet ISO 27002 Control 5.15)

Kumpikaan lauseke ei sisällä PIMS-kohtaisia ohjeita, eikä niillä ole merkitystä Yhdistyneen kuningaskunnan GDPR-lainsäädännön kannalta.

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi

ISO 27701 lauseke 6.6.1.1 – Kulunvalvontakäytäntö

Viitteet ISO 27002 Control 5.15

Henkilökohtaisia tunnistetietoja sisältävän omaisuuden ja itse datan omistajien tulee kehittää yksityisyyteen perustuvia käyttöoikeuksia koskevia vaatimuksia sekä yleisellä että aihekohtaisella pohjalla ja tiedotettava selkeästi kulunvalvontakäytännöistä kaikille asiaankuuluville henkilöille.

Kulunvalvontakäytännöt

Yleisten vaatimusten ja aihekohtaisten käytäntöjen tulee:

Määrittää, kuka tarvitsee pääsyn tiettyihin resursseihin ja tietoihin, ja hallinnoida näitä oikeuksia vastaavasti (katso ISO 27002 5.18).
Harkitse henkilökohtaisia tunnistetietoja käyttävien sovellusten ainutlaatuisia turvallisuusvaatimuksia (katso ISO 27002 5.16, 5.18 ja 8.26).
Hallitse henkilökohtaisten tunnistetietojen fyysistä pääsyä (katso ISO 27002 7.2, 7.3 ja 7.4).
Levitä henkilökohtaisia tunnistetietoja ja valtuuta dokumentoituja käyttöpyyntöjä tietotarpeen perusteella (katso ISO 27002 5.10, 5.12 ja 5.13).
Aseta rajoituksia "etuoikeutetulle" pääsylle henkilökohtaisiin tunnistetietoihin" (katso ISO 27701 8.2).
Erillään tehtävät, jotta rajoitetaan yksittäisten henkilöiden ja ryhmien mahdollisuutta olla osien ainoa auktoriteetti (katso ISO 27002 5.3).
Ota huomioon organisaation velvollisuudet mitä tahansa yksityisyyden suojaa koskevaa lainsäädäntöä, sääntelyä koskevia ohjeita tai sopimusvaatimuksia kohtaan (katso ISO 27002 5.31, 5.32, 5.33, 5.34 ja 8.3).
Varmista, että ylläpidetään tarkkoja ja ajan tasalla olevia lokeja, jotka sisältävät yksityiskohtaista pääsyä henkilökohtaisiin tunnistetietoihin koko organisaatiossa (katso ISO 27002 8.15).

Pääsynhallintayksiköiden ja niihin liittyvien sääntöjen määrittäminen

ISO luokittelee "kokonaisuuden" fyysiseksi, inhimilliseksi ja/tai loogiseksi kohteeksi, jolla on mahdollisuus päästä käsiksi tietoihin.

Entiteeteille olisi määritettävä erityiset roolit, jotka liittyvät niiden toimintoon ja tietoihin, joihin ne tarvitsevat pääsyn.

Ottaessaan käyttöön pääsynvalvontasääntöjä sen määrittelemille eri entiteeteille organisaatioiden tulee:

Varmista, että yhteisöille myönnetään pääsy henkilökohtaisiin tunnistetietoihin johdonmukaisesti niiden roolin ja/tai tehtävän mukaisesti.
Muista fyysiset turvallisuustarpeet, kun hallinnoit pääsyä henkilökohtaisiin tunnistetietoihin.
Monipuolisissa pilvipohjaisissa ja/tai hajautetuissa ympäristöissä entiteeteille myönnetään pääsy vain niihin PII-tietoluokkiin, joita niillä on lupa käyttää (eikä tarjoaisi yleiskäyttöä.

Lisäohjeet

Kulunvalvonta voi usein olla monimutkainen ja vaikeasti hallittava osa organisaation ICT-toimintaa.

Tässä on muutamia yleisiä periaatteita, joita on noudatettava:

Toimi "tarve tietää" ja "tarve käyttää" -kehyksessä – eli tarjoa pääsy henkilökohtaisiin tunnistetietoihin vain, jos yksikkö vaatii sitä työtehtävänsä hoitamiseksi, eikä vähempää.
Organisaatioiden tulisi noudattaa "pienimmän etuoikeuden" käsitettä. ISO määrittelee tämän seuraavasti: "kaikki on yleensä kiellettyä, ellei se ole nimenomaisesti sallittua". Toisin sanoen kulunvalvontaa tulisi hallita tarkasti sen sijaan, että luottaisi työntekijöihin, joilla on laaja käyttöoikeus useisiin sovelluksiin, tallennuslaitteisiin ja tiedostopalvelimiin.
Käyttöoikeuksien muutoksia tulee harkita kahdella tavalla – järjestelmänvalvojien käynnistämiä muutoksia ja itse ICT-järjestelmien ja -sovellusten käynnistämiä muutoksia, mukaan lukien hyväksyntöjen tarkistamisajankohta.
ISO hahmottelee pääsyn PII:tä varten neljä pääasiallista pääsynhallintatyyppiä, joita organisaatioiden tulee harkita yksilöllisten vaatimustensa perusteella:

Pakollinen kulunvalvonta (MAC) – Pääsyä hallinnoi keskitetysti ainoa turvallisuusviranomainen.
Harkinnanvarainen pääsynhallinta (DAC) – MAC:n vastainen menetelmä, jossa objektien omistajat voivat siirtää oikeuksia muille käyttäjille.
Role-based Access Control (RBAC) – Yleisin kaupallinen kulunvalvonta, joka perustuu ennalta määritettyihin työtoimintoihin ja oikeuksiin.
Attribuuttipohjainen pääsynhallinta (ABAC) – Käyttöoikeudet myönnetään käyttäjille käytäntöjen avulla, jotka yhdistävät attribuutit yhteen.

Asiaankuuluvat ISO 27002 -säätimet

ISO 27002 5.3
ISO 27002 5.10
ISO 27002 5.12
ISO 27002 5.13
ISO 27002 5.16
ISO 27002 5.18
ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34
ISO 27002 7.2
ISO 27002 7.3
ISO 27002 7.4
ISO 27002 8.2
ISO 27002 8.3
ISO 27002 8.26

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi

ISO 27701 lauseke 6.6.1.2 – Pääsy verkkoihin ja verkkopalveluihin

Viitteet ISO 27002 Control 5.15

Katso ISO 27701 lauseke 6.6.1.1

Tuetut ohjaimet ISO 27002:sta ja GDPR:stä

ISO 27701 -lausekkeen tunniste	ISO 27701 -lausekkeen nimi	ISO 27002 -vaatimus	Asiaan liittyvät GDPR-artikkelit
6.6.1.1	Kulunvalvontakäytäntö	5.15 – ISO 27002:n kulunvalvonta	Ei eristetty
6.6.1.2	Pääsy verkkoihin ja verkkopalveluihin	5.15 – ISO 27002:n kulunvalvonta	Ei eristetty

Miten ISMS.online auttaa

Miten autamme?

ISO 27701 näyttää, kuinka voit rakentaa tietosuojatietojen hallintajärjestelmän, joka on useimpien tietosuojasäännösten mukainen, mukaan lukien EU:n GDPR, BS 10012 ja Etelä-Afrikan POPIA.

Yksinkertaistetun, turvallisen ja kestävän ohjelmistomme avulla voit helposti noudattaa kansainvälisesti tunnustetun standardin määrittelemää lähestymistapaa.

All-in-one-alustamme varmistaa, että tietosuojatyösi vastaa ISO 27701 -standardin kunkin osan tarpeita.

Ja koska se on säätelyagnostikko, voit yhdistää sen mihin tahansa sääntöön, jota tarvitset.

Lisätietoja: varata käytännön demo.

Toby Cane

Kumppaniasiakkuuspäällikkö

Toby Cane on ISMS.onlinen Senior Partner Success Manager. Hän on työskennellyt yrityksessä lähes neljä vuotta ja toiminut useissa eri tehtävissä, kuten webinaarien juontajana. Ennen SaaS-työtään Toby työskenteli yläasteen opettajana.

ISO 27701 -lausekkeet

Olemme alamme johtaja