ISO 27701 – Lauseke 6.8.2 – Laitteet

ISO 27701, lauseke 6.8.2: Tietosuojan noudattamisen varmistavat laitteet

"Loogisten" ohjausten – ohjelmistopohjaisten pääsyrajoitusten ja palvelinpohjaisten hallinnollisten toimintojen – rinnalla ISO korostaa myös suuresti sitä roolia, joka laiteturvalla on oltava henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvien resurssien suojaamisessa.

Organisaatioiden on otettava huomioon monenlaisia ​​tekijöitä BYOD-protokollista, tietosuojaresurssien sijaintiin, käyttäjien käyttäytymiseen käyttäessään niitä, kuinka paketti poistetaan ja selkeät työpöydän/näytön käytännöt.

Mitä ISO 27701:n lauseke 6.8.2 kattaa

ISO 27701 -lauseke 6.8.2 on kauaskantoinen lauseke, joka kattaa monia eri laitteiden hallinnan ja turvallisuuden näkökohtia.

On 9 huomioitavaa alalauseketta, joista jokainen sisältää ohjeita an liitteenä oleva lauseke ISO 27002:ssa, jota sovelletaan yksityisyyden suojan yhteydessä:

• ISO 27701 6.8.2.1 – Laitteiden sijoittaminen ja suojaus (viitteet ISO 27002 ohjaus 7.8)
• ISO 27701 6.8.2.2 – Tuetut apuohjelmat (viitteet ISO 27002 ohjaus 7.11)
• ISO 27701 6.8.2.3 – Kaapeloinnin suojaus (viitteet ISO 27002 ohjaus 7.12)
• ISO 27701 6.8.2.4 – Laitteiden huolto (viitteet ISO 27002 ohjaus 7.13)
• ISO 27701 6.8.2.5 – Omaisuuden poistaminen (viitteet ISO 27002 -ohjaus 7.10)
• ISO 27701 6.8.2.6 – Laitteiden ja omaisuuden suojaus muualla kuin toimitiloissa (viitteet ISO 27002 -ohjaus 7.9)
• ISO 27701 6.8.2.7 – Laitteiden turvallinen hävittäminen tai uudelleenkäyttö (viitteet ISO 27002 ohjaus 7.14)
• ISO 27701 6.8.2.8 – Valvomattomat käyttäjälaitteet (viitteet ISO 27002 ohjaus 8.1)
• ISO 27701 6.8.2.9 – Selkeän työpöydän ja selkeän näytön käytäntö (viitteet ISO 27002 ohjaus 7.7)

ISO ei tarjoa lisäohjeita PIMS:n käyttöönotosta tai ylläpidosta, ja vain kaksi alakohtaa (6.8.2.9 ja 6.8.2.7) sisältävät tietoja, jotka on otettava huomioon Yhdistyneen kuningaskunnan GDPR-lainsäädännön ohella.

Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.

ISO 27701, lauseke 6.8.2.1 – Laitteiden sijoittaminen ja suojaus

Viitteet ISO 27002 Control 7.8

Minimoidakseen henkilökohtaisiin tunnistetietoihin ja yksityisyyteen liittyviin resursseihin kohdistuvan riskin, joka voi joutua menetykseen tai luvattomalle käytölle vahingon vuoksi, organisaatioiden tulee:

• Sijoita laitteet asianmukaisesti – mukaan lukien yksityisyyden käsittelyresurssit ja -tilat, jotta estetään luvaton henkilökunnan pääsy rajoitetuille alueille.
• Minimoi rajoitetun materiaalin (erityisesti henkilökohtaisten tunnistetietojen) vahingossa tai tarkoituksella katsomisen riski.
• Vähennä ympäristö- tai fyysisten uhkien (esim. varkaus, tulipalo, tulva) riskiä.
• Aseta selkeät sääntömme, jotka koskevat syömistä, tupakointia tai juomista yksityisyyteen liittyvien kohteiden ja tietojen lähellä.
• Varmista, että yksityisyyteen liittyvää omaisuutta säilytetään ympäristöissä, joissa on sopiva lämpö- ja kosteustaso.
• Ota käyttöön salamansuojausohjaus.
• Toteutetaan tapauskohtaisia ​​toimenpiteitä tuotantoalueilla pidettävien yksityisyyteen liittyvien omaisuuserien osalta (pölysuojat, suojattu kotelo, sähkömagneettinen suojaus jne.).
• Erottele organisaation ja ei-organisaation yksityisyyden käsittelylaitteet.

ISO 27701, lauseke 6.8.2.2 – Tukiohjelmat

Viitteet ISO 27002 Control 7.11

On tärkeää suojata henkilötietojen käsittelylaitoksia kaikilta häiriöiltä tai tapauksilta, jotka johtuvat ISO:n "tukipalveluista" (sähkö, kaasu, vesi, viemäri jne.).

Minimoidakseen PII-riskin organisaatioiden tulee:

• Noudata aina apuohjelmien tarjoajien suosituksia, kun määrität laitteita paikan päällä.
• Suorittaa määräajoin laitosten auditointeja varmistaakseen, että ne vastaavat organisaation toiminnallisia ja taloudellisia tarpeita ja mahdollistavat kaikkien muiden palvelujen tarjoamisen.
• Testaa apuohjelmia säännöllisesti varmistaaksesi liiketoiminnan jatkuvuuden ja ota kaikki huolenaiheet suoraan apuohjelmien toimittajaan.
• Varmista, että laitokset hyötyvät useista syötteistä ja "monipuolisesta reitityksestä".
• Ylläpidä järjestelmää, joka erottaa omassa sisäisessä verkossaan olevat apuohjelmat henkilökohtaisten tunnistetietojen käsittelylaitoksista, jos tällaiset laitteet edellyttävät LAN-yhteyttä, ja tarjoavat niille WAN-yhteyden vain, jos se nimenomaisesti vaaditaan.
• Tarjoa hätäapupalveluita – kuten hätävalaistus, puhelinlaitteet erillisellä piirillä, joka on redundantti pääviestintäjärjestelmästä, hätänumerot ja helposti saatavilla olevat hätäuloskäynnit.
• Tutki mahdollisuutta saada useita reitittimiä palveluntarjoajaa kohden.

ISO 27701, lauseke 6.8.2.3 – Kaapeloinnin suojaus

Viitteet ISO 27002 Control 7.12

PII välitetään suurelta osin kaapeleiden kautta. Sellaisenaan organisaatioiden tulisi ottaa käyttöön kaapelin turvavalvonta, joka suojaa yksityisyyteen liittyviä tietoja sieppaukselta ja/tai katoamiselta.

Kaapelointiturvallisuus on pitkälle erikoistunut ala, ja organisaatioiden tulee tarvittaessa kysyä asiantuntija-apua. Tästä huolimatta on olemassa muutamia perusperiaatteita, joita on noudatettava.

Yleinen Ohjeistus

Organisaatioiden tulee:

• Aja virta- ja tietoliikennekaapelointi maan alle.
• Varmista, että maanpäällinen kaapelointi on suojattu sellaisilla toimenpiteillä kuin riittävä johto, lattiakotelo ja sähköpylväät.
• Erota virtakaapelit verkko- ja tietoliikennekaapeleista häiriöiden estämiseksi.
• Varmista, että kaapeleiden molemmissa päissä on tarrat huolto- ja liitäntätoimintojen helpottamiseksi.

Kriittiset järjestelmät

Liiketoiminnan kannalta kriittisten ja kaupallisesti arkaluonteisten tietojen osalta organisaatioiden tulee harkita useita lisätarkastuksia:

• Panssaroidut laitteet, mukaan lukien hälyttimet ja suojatut huoneet kaapelin päätepisteissä, mukaan lukien valvottu ja kirjattu pääsy.
• Sähkömagneettinen suojaus.
• Lisätään fyysisiä tarkastuksia.

ISO 27701, lauseke 6.8.2.4 – Laitteiden huolto

Viitteet ISO 27002 Control 7.13

Jotta estetään henkilökohtaisten tunnistetietojen luvaton käyttö – tai yksityisyyteen liittyvän omaisuuden vahingoittaminen – organisaatioiden tulee huoltaa kaikkia laitteita valmistajan ohjeiden mukaisesti, mukaan lukien:

• Koulutetun ja valtuutetun henkilöstön suorittaman tiukan huoltoaikataulun noudattaminen.
• Kirjaa kaikki viat - mukaan lukien kaikki epäillyt toimintahäiriöt.
• Tarvittaessa ulkopuolisen huoltohenkilöstön alistaminen salassapitosopimukseen.
• Varmistaa, että ulkopuoliset huoltourakoitsijat ovat asianmukaisesti valvottuja suorittaessaan tehtäviään paikan päällä.
• Etähuoltotoimintojen tarkka hallinta, erityisesti kolmannen osapuolen suorittamien huoltotoimintojen tarkka hallinta.

ISO 27701 lauseke 6.8.2.5 – Removal of Assets

Viitteet ISO 27002 Control 7.10

Irrotettava tallennusväline

Kehittäessään käytäntöjä, jotka ohjaavat henkilökohtaisia ​​tunnistetietoja tallentavan mediasisällön poistamista, organisaatioiden tulee:

• Valvo henkilökohtaisten tunnistetietojen siirtoa tallennusvälineille mihin tahansa tarkoitukseen.
• Kehitä aihekohtaisia ​​käytäntöjä erityisten roolivaatimusten perusteella.
• Varmista, että lupa on haettu ja myönnetty, ennen kuin henkilökunta voi poistaa tallennusvälineitä verkosta.
• Säilytä materiaalia valmistajan ohjeiden mukaisesti.
• Varmista, että materiaalissa ei ole ympäristövahinkoja.
• Harkitse salausmenetelmien käyttöä ja fyysisten lisäturvatoimenpiteiden käyttöönottoa.
• Minimoi henkilökohtaisten tunnistetietojen vioittumisen riski siirtämällä tietoja tallennusvälineiden välillä parhaiden käytäntöjen ohjeiden mukaisesti.
• Ota käyttöön redundanssi tallentamalla henkilökohtaisia ​​tunnistetietoja usealle omaisuudelle samanaikaisesti.
• Käytä tallennusvälineitä vain hyväksytyissä tuloissa (esim. SD-kortit ja USB-portit).
• Ota huomioon luontaiset riskit siirtäessäsi henkilökohtaisia ​​tunnistetietoja tallennusvälineiden välillä tai siirtäessäsi omaisuutta henkilöstön tai tilojen välillä (katso ISO 27002 -ohjaus 5.14).

Omaisuuden uudelleenkäyttö ja/tai luovuttaminen

Kun organisaatiot käyttävät, uudelleenkäyttävät tai hävittävät tallennusvälineitä uudelleen, niiden tulee:

• Alusta tallennusvälineet ja varmista, että kaikki henkilökohtaiset tiedot on dokumentoitu ja poistettu ennen uudelleenkäyttöä (katso ISO 27002 -ohjaus 8.10).
• Hävitä turvallisesti kaikki mediat, joita organisaatiolla ei ole enää käytössä ja joita on käytetty henkilökohtaisten tunnistetietojen tallentamiseen.
• (Jos hävittäminen edellyttää kolmannen osapuolen osallistumista) huolehtia siitä, että he ovat sopiva ja asianmukainen kumppani organisaation vastuun mukaisesti henkilökohtaisia ​​tunnistetietoja ja yksityisyyden suojaa kohtaan.
• Ota käyttöön menettelyt, jotka tunnistavat tallennusvälineet, jotka ovat käytettävissä uudelleen käytettäväksi tai jotka voidaan hävittää turvallisesti.

Asiaankuuluvat ISO 27002 -säätimet

• ISO 27002 5.14
• ISO 27002 8.10

ISO 27701 lauseke 6.8.2.6 – Laitteiden ja omaisuuden turvallisuus muualla kuin toimitiloissa

Viitteet ISO 27002 Control 7.9

Organisaatioiden on toisinaan määrättävä seuraamuksia ulkopuolisten laitteiden käytöstä, jotka puolestaan ​​voivat päästä käsiksi henkilökohtaisiin tunnistetietoihin ja/tai yksityisyyteen liittyviin tietoihin – mukaan lukien BYOD-laitteet.

Väliaikaiset offsite-laitteet

Hallitessaan laitetta, joka joko tallentaa tai käyttää aktiivisesti henkilökohtaisia ​​tunnistetietoja muualla kuin virallisesti nimetyillä sivustoilla, organisaatioiden tulee:

• Pyydä kaikkia henkilökuntaa olemaan jättämättä tällaisia ​​laitteita ilman valvontaa julkisille paikoille.
• Varmista, että valmistajan ohjeita noudatetaan, erityisesti laitteen turvallisuutta ja ympäristönsuojelua koskevia ohjeita.
• Pidä tarkkaa ja ajan tasalla olevaa lokia siitä, kuinka ulkopuoliset laitteet siirretään henkilöstön välillä tarvittaessa.
• (Organisaatioomaisuudelle) vaadittava asianmukainen lupa ennen laitteiden poistamista tiloista ja pidettävä kirjaa kaikista sellaisista toimista (katso ISO 27002 -ohjaus 5.14).
• Pyydä henkilökuntaa huomioimaan, kuinka he käyttävät omaisuuttaan julkisilla paikoilla, jotta henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvän materiaalin luvaton katselu voidaan estää.
• Käytä GPS-tekniikkaa ja etähallintaa seurataksesi ulkopuolisia laitteita, säilyttäen samalla mahdollisuuden etäpyyhkiä ne.

Pysyvä offsite-kalusto

Joskus organisaation on tarpeen asentaa kiinteää omaisuutta tilojensa tai toimistotilojen ulkopuolelle. Tällaisia ​​laitteita ovat:

• Pankkiautomaatit.
• Tietoliikenneantennit.
• Radiolaitteet.

Tällaista sarjaa asentaessaan organisaatioiden tulee ottaa huomioon:

• Ympärivuorokautinen seuranta (joko henkilökohtaisesti tai CCTV:n kautta) (katso ISO 27002 -ohjaus 7.4).
• Ohjelmistopohjainen pääsynhallinta.

Asiaankuuluvat ISO 27002 -säätimet

• ISO 27002 5.14
• ISO 27002 7.4

ISO 27701, kohta 6.8.2.7 – Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Viitteet ISO 27002 Control 7.14

Henkilökohtaiset tunnistetiedot ja yksityisyyteen liittyvät tiedot ovat erityisen vaarassa, kun ilmenee tarve joko hävittää tai käyttää uudelleen tallennus- ja käsittelyomaisuutta – joko sisäisesti tai yhteistyössä erikoistuneen kolmannen osapuolen kanssa.

Organisaatioiden on ennen kaikkea varmistettava, että kaikki hävitettäväksi merkityt, henkilökohtaisia ​​tunnistetietoja sisältäneet tallennusvälineet fyysisesti tuhottu, pyyhkiä or ylikirjoitettu (katso ISO 27002 -säätimet 7.10 ja 8.10).

Jotta henkilökohtaisia ​​tunnistetietoja ei vaarantuisi millään tavalla omaisuutta hävitettäessä tai uudelleenkäytettäessä, organisaatioiden tulee:

• Varmista, että kaikki tarrat joko poistetaan tai niitä muutetaan tarpeen mukaan – erityisesti sellaiset, jotka osoittavat henkilökohtaisia ​​tunnistetietoja.
• Poista kaikki fyysiset ja loogiset turvatarkastukset, kun tiloja poistetaan käytöstä tai siirretään, jotta niitä voidaan käyttää uudelleen uudessa paikassa.

Asiaankuuluvat ISO 27002 -säätimet

• ISO 27002 7.10
• ISO 27002 8.10

Sovellettavat GDPR-artikkelit

• 5 artikla – 1 kohdan f alakohta

ISO 27701, kohta 6.8.2.8 – Valvomattomat käyttäjälaitteet

Viitteet ISO 27002 Control 8.1

Organisaatioiden tulisi ottaa käyttöön aihekohtaisia ​​käytäntöjä, jotka koskevat eri päätelaiteluokkia, keskittyen yksityisyyden suojan ja henkilökohtaisten tunnistetietojen turvallisuuden parantamiseen.

Organisaatioiden tulee laatia politiikkoja ja menettelyjä, joissa otetaan huomioon:

• Henkilökohtaisten tunnistetietojen olemassaolo organisaation verkossa.
• Miten laitteet alun perin rekisteröidään ja myöhemmin tunnistetaan.
• Fyysisen suojan hallintalaitteet.
• Ohjelmiston asennuksen rajoitukset.
• Etähallinta.
• Käyttäjien käyttöoikeudet.
• Kryptografia.
• Haittaohjelmien vastaiset alustat.
• Varmuuskopiointi ja katastrofipalautus.
• Selausrajoitukset ja sisällön suodatus.
• Käyttäjäanalytiikka (katso ISO 27002 ohjaus 8.16).
• Irrotettava tallennustila ja siihen liittyvät laitteet.
• Laitepohjainen tietojen erottelu eli esteen luominen organisaation ja henkilötietojen välille.
• Varasuunnitelmat kadonneita tai varastettuja laitteita varten.

Käyttäjän vastuu

Ulkopuolisten laitteiden käyttäjien tulee olla jatkuvasti tietoisia kaikista käytännöistä ja menettelyistä, jotka koskevat heitä ulkopuolisena käyttäjänä.

Yleisenä periaatteena käyttäjien tulee:

• Sulje työ-/etäistunnot, kun ne eivät ole enää käytössä.
• Noudata fyysisiä ja loogisia suojatoimenpiteitä.
• Ota huomioon heidän fyysinen ympäristönsä, kun käytät henkilökohtaisia ​​tunnistetietoja tai yksityisyyteen liittyviä tietoja (esim. vältät "olkapääsurffausta" julkisilla alueilla).

Tuo oma laite (BYOD) -protokollat

Organisaatioiden, jotka sallivat henkilöstön käyttää omia henkilökohtaisia ​​laitteitaan, tulisi myös harkita:

• Ohjelmiston asentaminen, joka auttaa erottamaan yritys- ja henkilötiedot.
• BYOD-käytännön täytäntöönpano, joka sisältää:
• Henkilökohtaisten tunnistetietojen organisaation omistajuuden tunnustaminen.
• Fyysiset ja digitaaliset suojatoimenpiteet (katso edellä).
• Tietojen etäpoisto.
• Kaikki toimenpiteet, joilla varmistetaan yhdenmukaisuus henkilökohtaisia ​​tunnistetietoja koskevan lainsäädännön ja sääntelyohjeiden kanssa.
• IP-oikeudet, jotka koskevat yrityksen omistusta kaikkeen, mikä on tuotettu henkilökohtaisella laitteella.
• Organisaation pääsy laitteeseen – joko yksityisyyden suojaamiseksi tai sisäisen tai ulkoisen tutkimuksen noudattamiseksi.
• Käyttöoikeussopimukset ja ohjelmistolisenssit, joihin kaupallisten ohjelmistojen käyttö yksityisomistuksessa olevassa laitteessa voi vaikuttaa.

WiFi-ohjeet

Harkittaessa ulkopuolisten laitteiden WiFi-yhteyden hallintaa organisaatioiden tulee:

• Harkitse huolellisesti, kuinka laitteet voivat muodostaa yhteyden langattomiin verkkoihin (eli välttää suojaamattomia verkkoja henkilökohtaisia ​​tunnistetietoja käytettäessä).
• Varmista, että WiFi-verkossa on riittävästi kapasiteettia varmuuskopiointia, ylläpitotoimia ja tietojen käsittelyä varten ilman, että se haittaa merkittävästi laitteen suorituskykyä ja tietoturvaa.

Asiaankuuluvat ISO 27002 -säätimet

• ISO 27002 8.9
• ISO 27002 8.16

ISO 27701, lauseke 6.8.2.9 – Clear Desk and Clear Screen -käytäntö

Viitteet ISO 27002 Control 7.7

Henkilökohtaiset tunnistetiedot ja yksityisyyteen liittyvät tiedot ovat erityisen vaarassa, jos huolimaton henkilökunta ja ulkopuoliset urakoitsijat eivät noudata työpaikan turvatoimia, jotka suojaavat luvattomalta henkilökunnalta henkilökohtaisten tunnistetietojen vahingossa tai tarkoitukselliselta katselulta.

Organisaatioiden tulee laatia aihekohtaiset selkeät työpöytä- ja selkeät näyttökäytännöt (tarvittaessa työtilakohtaisesti), jotka sisältävät:

• Piilottaminen satunnaisesti, lukitseminen tai tallentaminen turvallisesti henkilökohtaisiin tunnistetietoihin ja yksityisyyteen liittyviin tietoihin, kun tällaista datamateriaalia ei tarvita.
• ICT-omaisuuden fyysiset lukitusmekanismit.
• Digitaaliset kulunvalvontatoiminnot – kuten näytön aikakatkaisut, salasanalla suojatut näytönsäästäjät ja automaattiset uloskirjautumistoiminnot.
• Turvallinen tulostus ja välitön asiakirjojen keräys.
• Arkaluonteisten asiakirjojen turvallinen, lukittu säilytys ja tällaisen materiaalin asianmukainen hävittäminen, kun niitä ei enää tarvita (silppuaminen, kolmannen osapuolen hävityspalvelut jne.).
• ottaa huomioon viestien esikatselut (sähköposti, tekstiviestit, kalenterimuistutukset), jotka voivat tarjota pääsyn arkaluontoisiin tietoihin; aina kun näyttöä jaetaan tai sitä tarkastellaan julkisessa paikassa.
• Fyysisten näyttöjen (esim. valkotaulut ja ilmoitustaulut) poistaminen arkaluontoisista tiedoista, kun niitä ei enää tarvita.

Kun organisaatiot poistuvat tiloista kollektiivisesti – esimerkiksi toimiston muuton tai vastaavan muutoksen yhteydessä – minun on pyrittävä varmistamaan, ettei pöydälle ja arkistointijärjestelmiin jää dokumentaatiota tai sellaista, joka on mahdollisesti pudonnut hämäriin paikkoihin.

Sovellettavat GDPR-artikkelit

• 5 artikla – 1 kohdan f alakohta

Tuetut ohjaimet ISO 27002:sta ja GDPR:stä

Miten ISMS.online auttaa

Teemme ROPAsta helppoa

Teemme tietojen kartoittamisesta yksinkertaisen tehtävän. Kaiken tallentaminen ja tarkistaminen on helppoa, kun lisäät organisaatiosi tiedot valmiiksi määritettyyn dynaamiseen Records of Processing Activity -työkaluun.

Arviointimallit sinulle

Erilaisia ​​tietosuoja-arviointeja on helppo määrittää ja suorittaa tietosuojavaikutusten arvioinneista sääntelyyn tai vaatimustenmukaisuusvalmiuksiin.

Meillä on sisäänrakennettu riskipankki

Olemme luoneet sisäänrakennetun riskipankin ja joukon muita käytännön työkaluja, jotka auttavat kaikissa riskinarviointi- ja hallintaprosessin osissa.

Varaa demo tänään ja selvitä, kuinka voimme auttaa organisaatiotasi saavuttamaan ISO 27701 -standardin.