ISO 27701 – Kohta 6.6 – Kulunvalvonta

ISO 27701:n lausekkeessa 6.6 määritellään pääsynvalvontavaatimukset henkilökohtaisten tunnistetietojen (PII) suojaamiseksi. Näin varmistetaan, että käyttöoikeus myönnetään roolikohtaisten tarpeiden perusteella noudattaen vähiten etuoikeuksien ja suojatun todennuksen periaatteita. Se määrää verkkoon pääsyn, käyttäjien hallinnan ja järjestelmän ohjauksen käytännöt luvattoman tietojen altistumisen estämiseksi.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 26
LinkedIn Twitter Twitter

ISO 27701:n lausekkeen 6.6 ymmärtäminen: Kulunvalvonnan parhaat käytännöt

Pääsynhallinta säätelee tapoja, joilla ihmisille ja muille kuin ihmisille myönnetään pääsy tietoihin, IT-resursseihin ja sovelluksiin – ja ISO 27701 6.6:n tapauksessa henkilötietoihin ja yksityisyyteen liittyvään materiaaliin.

Kulunvalvonta on monimutkainen ja monipuolinen ICT-toiminto, joka vetää sisäänsä lukuisia muita liiketoimintatoimintoja, kuten muutosten hallintaa, omaisuuden turvallisuutta, aihekohtaista valtuutusta, fyysisiä turvatarkastuksia ja teknisiä konsepteja, kuten RBAC, MAC ja DAC. Sellaisenaan ISO 27701 6.6 sisältää paljon tukevia ohjeita samanlaisesta yksityisyyden ja tiedon suojasta. ISO 27002 -standardin sisältämät säätimet.

Kulunvalvontaoikeuden saaminen on yksi hyvin öljytyn yksityisyyden suojatoiminnan tärkeimmistä tehtävistä, erityisesti henkilökohtaisten tunnistetietojen turvaamisen yhteydessä.

Mitä ISO 27701:n lauseke 6.6 kattaa

ISO 27701 6.6 sisältää kaksi alalauseketta, jotka asettavat sisältöön annetut tiedot ISO 27002 5.15 (pääsynhallinta) henkilökohtaisten tunnistetietojen ja yksityisyyden suojan alalla lukuisine tukilausekkein, jotka koskevat monia muita tietoturvaan liittyviä näkökohtia (katso edellä):

  • ISO 27701 6.6.1.1 – Kulunvalvontakäytäntö (viitteet ISO 27002 Control 5.15)
  • ISO 27701 6.6.1.2 – Pääsy verkkoihin ja verkkopalveluihin (viitteet ISO 27002 Control 5.15)

Kumpikaan lauseke ei sisällä PIMS-kohtaisia ​​ohjeita, eikä niillä ole merkitystä Yhdistyneen kuningaskunnan GDPR-lainsäädännön kannalta.



Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


ISO 27701 lauseke 6.6.1.1 – Kulunvalvontakäytäntö

Viitteet ISO 27002 Control 5.15

Henkilökohtaisia ​​tunnistetietoja sisältävän omaisuuden ja itse datan omistajien tulee kehittää yksityisyyteen perustuvia käyttöoikeuksia koskevia vaatimuksia sekä yleisellä että aihekohtaisella pohjalla ja tiedotettava selkeästi kulunvalvontakäytännöistä kaikille asiaankuuluville henkilöille.

Kulunvalvontakäytännöt

Yleisten vaatimusten ja aihekohtaisten käytäntöjen tulee:

  • Määrittää, kuka tarvitsee pääsyn tiettyihin resursseihin ja tietoihin, ja hallinnoida näitä oikeuksia vastaavasti (katso ISO 27002 5.18).
  • Harkitse henkilökohtaisia ​​tunnistetietoja käyttävien sovellusten ainutlaatuisia turvallisuusvaatimuksia (katso ISO 27002 5.16, 5.18 ja 8.26).
  • Hallitse henkilökohtaisten tunnistetietojen fyysistä pääsyä (katso ISO 27002 7.2, 7.3 ja 7.4).
  • Levitä henkilökohtaisia ​​tunnistetietoja ja valtuuta dokumentoituja käyttöpyyntöjä tietotarpeen perusteella (katso ISO 27002 5.10, 5.12 ja 5.13).
  • Aseta rajoituksia "etuoikeutetulle" pääsylle henkilökohtaisiin tunnistetietoihin" (katso ISO 27701 8.2).
  • Erillään tehtävät, jotta rajoitetaan yksittäisten henkilöiden ja ryhmien mahdollisuutta olla osien ainoa auktoriteetti (katso ISO 27002 5.3).
  • Ota huomioon organisaation velvollisuudet mitä tahansa yksityisyyden suojaa koskevaa lainsäädäntöä, sääntelyä koskevia ohjeita tai sopimusvaatimuksia kohtaan (katso ISO 27002 5.31, 5.32, 5.33, 5.34 ja 8.3).
  • Varmista, että ylläpidetään tarkkoja ja ajan tasalla olevia lokeja, jotka sisältävät yksityiskohtaista pääsyä henkilökohtaisiin tunnistetietoihin koko organisaatiossa (katso ISO 27002 8.15).

Pääsynhallintayksiköiden ja niihin liittyvien sääntöjen määrittäminen

ISO luokittelee "kokonaisuuden" fyysiseksi, inhimilliseksi ja/tai loogiseksi kohteeksi, jolla on mahdollisuus päästä käsiksi tietoihin.

Entiteeteille olisi määritettävä erityiset roolit, jotka liittyvät niiden toimintoon ja tietoihin, joihin ne tarvitsevat pääsyn.

Ottaessaan käyttöön pääsynvalvontasääntöjä sen määrittelemille eri entiteeteille organisaatioiden tulee:

  • Varmista, että yhteisöille myönnetään pääsy henkilökohtaisiin tunnistetietoihin johdonmukaisesti niiden roolin ja/tai tehtävän mukaisesti.
  • Muista fyysiset turvallisuustarpeet, kun hallinnoit pääsyä henkilökohtaisiin tunnistetietoihin.
  • Monipuolisissa pilvipohjaisissa ja/tai hajautetuissa ympäristöissä entiteeteille myönnetään pääsy vain niihin PII-tietoluokkiin, joita niillä on lupa käyttää (eikä tarjoaisi yleiskäyttöä.

Lisäohjeet

Kulunvalvonta voi usein olla monimutkainen ja vaikeasti hallittava osa organisaation ICT-toimintaa.

Tässä on muutamia yleisiä periaatteita, joita on noudatettava:

  • Toimi "tarve tietää" ja "tarve käyttää" -kehyksessä – eli tarjoa pääsy henkilökohtaisiin tunnistetietoihin vain, jos yksikkö vaatii sitä työtehtävänsä hoitamiseksi, eikä vähempää.
  • Organisaatioiden tulisi noudattaa "pienimmän etuoikeuden" käsitettä. ISO määrittelee tämän seuraavasti: "kaikki on yleensä kiellettyä, ellei se ole nimenomaisesti sallittua". Toisin sanoen kulunvalvontaa tulisi hallita tarkasti sen sijaan, että luottaisi työntekijöihin, joilla on laaja käyttöoikeus useisiin sovelluksiin, tallennuslaitteisiin ja tiedostopalvelimiin.
  • Käyttöoikeuksien muutoksia tulee harkita kahdella tavalla – järjestelmänvalvojien käynnistämiä muutoksia ja itse ICT-järjestelmien ja -sovellusten käynnistämiä muutoksia, mukaan lukien hyväksyntöjen tarkistamisajankohta.
  • ISO hahmottelee pääsyn PII:tä varten neljä pääasiallista pääsynhallintatyyppiä, joita organisaatioiden tulee harkita yksilöllisten vaatimustensa perusteella:
    • Pakollinen kulunvalvonta (MAC) – Pääsyä hallinnoi keskitetysti ainoa turvallisuusviranomainen.
    • Harkinnanvarainen pääsynhallinta (DAC) – MAC:n vastainen menetelmä, jossa objektien omistajat voivat siirtää oikeuksia muille käyttäjille.
    • Role-based Access Control (RBAC) – Yleisin kaupallinen kulunvalvonta, joka perustuu ennalta määritettyihin työtoimintoihin ja oikeuksiin.
    • Attribuuttipohjainen pääsynhallinta (ABAC) – Käyttöoikeudet myönnetään käyttäjille käytäntöjen avulla, jotka yhdistävät attribuutit yhteen.

Asiaankuuluvat ISO 27002 -säätimet

  • ISO 27002 5.3
  • ISO 27002 5.10
  • ISO 27002 5.12
  • ISO 27002 5.13
  • ISO 27002 5.16
  • ISO 27002 5.18
  • ISO 27002 5.31
  • ISO 27002 5.32
  • ISO 27002 5.33
  • ISO 27002 5.34
  • ISO 27002 7.2
  • ISO 27002 7.3
  • ISO 27002 7.4
  • ISO 27002 8.2
  • ISO 27002 8.3
  • ISO 27002 8.26


Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


ISO 27701 lauseke 6.6.1.2 – Pääsy verkkoihin ja verkkopalveluihin

Viitteet ISO 27002 Control 5.15

Katso ISO 27701 lauseke 6.6.1.1

Tuetut ohjaimet ISO 27002:sta ja GDPR:stä

ISO 27701 -lausekkeen tunnisteISO 27701 -lausekkeen nimiISO 27002 -vaatimusAsiaan liittyvät GDPR-artikkelit
6.6.1.1Kulunvalvontakäytäntö
5.15 – ISO 27002:n kulunvalvonta
Ei eristetty
6.6.1.2Pääsy verkkoihin ja verkkopalveluihin
5.15 – ISO 27002:n kulunvalvonta
Ei eristetty

Miten ISMS.online auttaa

Miten autamme?

ISO 27701 näyttää, kuinka voit rakentaa tietosuojatietojen hallintajärjestelmän, joka on useimpien tietosuojasäännösten mukainen, mukaan lukien EU:n GDPR, BS 10012 ja Etelä-Afrikan POPIA.

Yksinkertaistetun, turvallisen ja kestävän ohjelmistomme avulla voit helposti noudattaa kansainvälisesti tunnustetun standardin määrittelemää lähestymistapaa.

All-in-one-alustamme varmistaa, että tietosuojatyösi vastaa ISO 27701 -standardin kunkin osan tarpeita.

Ja koska se on säätelyagnostikko, voit yhdistää sen mihin tahansa sääntöön, jota tarvitset.

Lisätietoja: varata käytännön demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!