Förstå ISO 27701 klausul 6.10: Kommunikationssäkerhet
Kommunikationssäkerhet är brödet för de flesta integritetsskyddsoperationer, inklusive aktiviteter som både begränsar och övervakar åtkomst till PII och integritetsrelaterade tillgångar.
Organisationer måste utöva strikt kontroll över vem och vad som har tillgång till säkerhets- och integritetsrelaterade IKT-resurser genom utbredd användning av säkra nätverkskontroller, tjänstehantering och segregering.
Vad som omfattas av ISO 27701 klausul 6.10
ISO 27701 innehåller tre underklausuler som behandlar olika områden av kommunikationssäkerhet:
- ISO 27701 6.10.1.1 – Nätverkskontroller (ISO 27002 Kontroll 8.20)
- ISO 27701 6.10.1.2 – Säkerhet i nätverkstjänster (ISO 27002 Kontroll 8.21)
- ISO 27701 6.10.1.3 – Segregation i nätverk (ISO 27002 Kontroll 8.22)
Varje klausul innehåller angränsande information från ISO 27002, med en lång uppsättning stödklausuler (särskilt inom underklausul 6.10.1.1), som anstår ämnets komplexa natur.
ISO erbjuder ingen ytterligare PIMS eller PII-relaterad vägledning om ämnet kommunikationssäkerhet, och det finns inte heller några Storbritannien GDPR artiklar att ta hänsyn till.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 Klausul 6.10.1.1 – Nätverkskontroller
Referenser ISO 27002 Kontroll 8.20
ISO 27701 klausul 6.10.1.1 fokuserar på två nyckelaspekter av nätverkssäkerhet:
- Privat skydd
- Skydd mot obehörig åtkomst
Organisationer bör:
- Kategorisera data (inklusive PII) efter Typ och klassificering.
- Se till att endast kvalificerad personal ombeds underhålla nätverksutrustning, i enlighet med en tydlig uppsättning roller och ansvarsområden.
- Håll ett register över nätverksdiagram, firmwareversioner och konfigurationsfiler för viktiga enheter som routrar, brandväggar, WAP:er och nätverksväxlar.
- Segregera nätverksansvar (se ISO 27002 Kontroll 5.3), inklusive separation av administrativ trafik från standardnätverkstrafik.
- Följ kontroller som underlättar säker lagring och överföring av data, inklusive alla anslutna applikationer och system (se ISO 27002 kontroller 5.22, 8.24, 5.14 och 6.6).
- Upprätthåll säkerhetsloggar för hela systemet och enskilda komponenter efter behov (se ISO 27002 kontroller 8.16 och 8.15).
- Utföra nätverkshantering och administrationsuppgifter i harmoni med andra affärsprocesser.
- Se till att rätt auktorisation söks och beviljas innan personalen kommer åt relevanta delar av nätverket.
- Använd trafikbegränsningar, innehållsfiltrering och dataregler i hela nätverket, för både inkommande och utgående data.
- Se till att alla enheter som är anslutna till nätverket kan hanteras av administrativ personal.
- Ha förmågan att separera och dela upp kritiska områden i nätverket, för att säkerställa affärskontinuitet efter kritiska händelser, inklusive avstängning av nätverksprotokoll.
Relevanta ISO 27002-kontroller
- ISO 27002 5.14
- ISO 27002 5.22
- ISO 27002 5.3
- ISO 27002 6.6
- ISO 27002 8.15
- ISO 27002 8.16
- ISO 27002 8.24
ISO 27701 Klausul 6.10.1.2 – Säkerhet i nätverkstjänster
Referenser ISO 27002 Kontroll 8.21
När man överväger det bredare begreppet nätverkstjänstsäkerhet finns det tre huvudfaktorer att tänka på:
- Säkerhetsfunktioner.
- Servicenivåer.
- Servicekrav.
Organisationer bör se till att tjänsteleverantörer förstår vad som förväntas av dem och att de uppfyller sina angivna skyldigheter på en konsekvent basis.
Organisationer bör kunna hänvisa till en entydig uppsättning SLA och övervaka efterlevnaden under hela tjänsteavtalets löptid.
Referenser bör sökas och erhållas från pålitliga källor, med slutmålet att etablera en tjänsteleverantörs förmåga att uppfylla de kommersiella och operativa kraven i organisationen.
Säkerhetsreglerna bör innehålla:
- Alla nätverkstjänster som är tillåtna att nås – inklusive en noggrann lista över autentiseringsförutsättningar.
- Nätverkshanteringskontroller som skyddar PII och integritetsrelaterade tillgångar mot missbruk och obehörig åtkomst.
- Fjärråtkomst och åtkomst på plats.
- Loggning av nyckelinformation om åtkomst till nätverkstjänster, inklusive åtkomsttid, åtkomstplats och enhetsdata.
- Övervakning av aktiviteter.
Nätverkstjänstsäkerhet
Organisationer presenteras med olika ytterligare säkerhetsåtgärder som ytterligare säkerställer integriteten och tillgängligheten för PII.
Organisationer bör:
- Tänk på säkerhetsfunktioner som t.ex autentisering, kryptering och anslutningskontroller.
- Upprätta tydliga riktlinjer som styr anslutningar till nätverkstjänster.
- Tillåt användare att välja mängden data som cachelagras för att öka prestandan och minimera integritetsriskerna i samband med överdriven lagring.
- Begränsa åtkomsten till nätverkstjänster.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.10.1.3 – Segregation i nätverk
Referenser ISO 27002 Kontroll 8.22
För att förbättra integriteten och tillgängligheten för PII och integritetsrelaterade tillgångar bör organisationer segregera tjänster, användare och system över hela sitt nätverk, baserat på deras unika säkerhetskrav och i enlighet med en ämnesspecifikt tillvägagångssätt (se ISO 27002 Kontroll 5.15).
För att uppnå detta bör organisationer:
- Separera domäner från alla offentliga nätverk, inklusive Internet.
- Segregera områden i nätverket baserat på förtroende, kritik och känslighet.
- Tänk på distinkta operativa funktioner när du segregerar nätverket, såsom HR, ekonomi och marknadsföring.
- Segregera med en kombination av fysiska och logiska kontroller.
- Arbeta med tydligt definierade nätverksomkretsar och hårt kontrollerade gateways.
- Överväg WiFi-åtkomst i enlighet med vad som ofta är en löst definierad nätverksperimeter, med varierande åtkomstkrav, och för att säkerställa att extern trafik passerar genom en gateway innan intern åtkomst beviljas (se ISO 27002 Kontroll 8.20).
- Separera WiFi-åtkomst för gäster och anställda, och sätt kraftiga restriktioner för gästernas tillgång för att motverka användning av personal.
Relevanta ISO 27002-kontroller
- ISO 27002 5.15
- ISO 27002 8.20
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.10.1.1 | Nätverkskontroller |
8.20 – Nätverkssäkerhet för ISO 27002 |
Ingen |
| 6.10.1.2 | Säkerhet i nätverkstjänster |
8.21 – Säkerhet för nätverkstjänster för ISO 27002 |
Ingen |
| 6.10.1.3 | Segregation i nätverk |
8.22 – Segregering av nätverk för ISO 27002 |
Ingen |
Hur ISMS.online Hjälp
ISO 27701 visar hur du bygger ett integritetsinformationshanteringssystem som följer de flesta integritetsbestämmelser, inklusive EU:s GDPR, BS 10012 och Sydafrikas POPIA. Vår förenklade, säkra och hållbara mjukvara hjälper dig att enkelt följa det tillvägagångssätt som beskrivs av den internationellt erkända standarden.
Vår allt-i-ett-plattform säkerställer att ditt integritetsarbete överensstämmer med och uppfyller behoven för varje del av ISO 27701-standarden. Och eftersom det är regleringsagnostisk kan du mappa det till vilken reglering du behöver.
Ta reda på mer av boka en demo.
