Förstå ISO 27701 klausul 6.6: Bästa metoder för åtkomstkontroll
Åtkomstkontroll styr sätten på vilka mänskliga och icke-mänskliga enheter ges åtkomst till data, IT-resurser och applikationer – och i fallet med ISO 27701 6.6, PII och integritetsrelaterat material.
Åtkomstkontroll är en komplex och mångfacetterad IKT-funktion som drar in många andra affärsfunktioner, såsom förändringshantering, tillgångssäkerhet, ämnesspecifik auktorisering, fysiska säkerhetskontroller och tekniska koncept som RBAC, MAC och DAC. Som sådan innehåller ISO 27701 6.6 en hel del stödjande vägledning från liknande integritets- och informationsskydd kontroller som ingår i ISO 27002-standarden.
Att få rätt till åtkomstkontroll är en av de främsta funktionerna i en väloljad integritetsskyddsverksamhet, särskilt inom ramen för att skydda PII.
Vad som omfattas av ISO 27701 klausul 6.6
ISO 27701 6.6 innehåller två underklausuler som kontextualiserar information som tillhandahålls i ISO 27002 5.15 (åtkomstkontroll) inom området PII och integritetsskydd, med många stödjande klausuler som behandlar olika andra aspekter av informationssäkerhet (se ovan):
- ISO 27701 6.6.1.1 – Åtkomstkontrollpolicy (Referenser ISO 27002 Kontroll 5.15)
- ISO 27701 6.6.1.2 – Tillgång till nätverk och nätverkstjänster (Referenser ISO 27002 Kontroll 5.15)
Varken klausulen innehåller någon PIMS-specifik vägledning, och de har inte heller någon relevans för brittisk GDPR-lagstiftning.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.6.1.1 – Åtkomstkontrollpolicy
Referenser ISO 27002 Kontroll 5.15
Ägare av tillgångar som innehåller PII, och själva data, bör utveckla sekretessbaserade åtkomstkrav på både allmän och ämnesspecifik basis, och tydligt kommunicera åtkomstkontrollpolicyer till all relevant personal.
Åtkomstkontrollpolicyer
Allmänna krav och ämnesspecifika policyer bör:
- Fastställ vem som behöver tillgång till specifika tillgångar och data, och hantera sådana rättigheter i enlighet med detta (se ISO 27002 5.18).
- Tänk på de unika säkerhetskraven för applikationer som använder PII (se ISO 27002 5.16, 5.18 och 8.26).
- Styr fysisk åtkomst till PII-data (se ISO 27002 7.2, 7.3 och 7.4).
- Sprid PII och auktorisera dokumenterade åtkomstförfrågningar på en "need to know"-basis (se ISO 27002 5.10, 5.12 och 5.13).
- Placera begränsningar för "privilegierad" åtkomst till PII" (se ISO 27701 8.2).
- Segregera uppgifter, för att begränsa möjligheten för individer och grupper att vara den enda auktoriteten på element (se ISO 27002 5.3).
- Ta hänsyn till organisationens skyldigheter gentemot eventuell integritetsskyddslagstiftning, regulatoriska riktlinjer eller avtalskrav (se ISO 27002 5.31, 5.32, 5.33, 5.34 och 8.3).
- Se till att korrekta och uppdaterade loggar upprätthålls, att detaljerad tillgång till PII över hela organisationen (se ISO 27002 8.15).
Definiera åtkomstkontrollenheter och associerade regler
ISO klassificerar en "enhet" som ett fysiskt, mänskligt och/eller logiskt föremål som har förmågan att komma åt data.
Entiteter bör tilldelas specifika roller, relaterade till deras funktion och de uppgifter de behöver tillgång till.
När man implementerar regler för åtkomstkontroll för de olika enheter som den har definierat, bör organisationer:
- Se till att enheter ges tillgång till PII konsekvent, i enlighet med deras specifika roll och/eller funktion.
- Tänk på fysiska säkerhetsbehov när du administrerar åtkomst till PII.
- När det gäller mångfacetterade molnbaserade och/eller distribuerade miljöer, ges enheter endast åtkomst till de PII-datakategorier som de har behörighet att använda (istället för att tillhandahålla allmän åtkomst.
Ytterligare vägledning
Åtkomstkontroll kan ofta vara en komplex och svårhanterlig del av en organisations IKT-verksamhet.
Här är några allmänna principer att följa:
- Arbeta inom ramen för "need to know" och "need to use" – det vill säga bara ge tillgång till PII om enheten kräver att den utför sin arbetsroll, och inte mindre.
- Organisationer bör hålla sig till begreppet "minsta privilegium". ISO definierar detta som "allt är generellt förbjudet, såvida det inte uttryckligen tillåts". Med andra ord, åtkomstkontroll bör administreras noggrant, snarare än att lita på anställda med breda nivåer av åtkomst över flera applikationer, lagringsenheter och filservrar.
- Ändringar av åtkomstbehörigheter bör övervägas på två sätt – ändringar som initieras av systemadministratörer och de som initieras av ICT-system och applikationer själva – inklusive när godkännanden ska granskas.
- När det gäller åtkomst PII, skisserar ISO fyra huvudsakliga åtkomstkontrolltyper som organisationer bör överväga, baserat på deras unika krav:
- Obligatorisk åtkomstkontroll (MAC) – Åtkomsten hanteras centralt av en enda säkerhetsmyndighet.
- Discretionary Access Control (DAC) – Den motsatta metoden till MAC, där objektägare kan överföra privilegier till andra användare.
- Rollbaserad åtkomstkontroll (RBAC) – Den vanligaste typen av kommersiell åtkomstkontroll, baserad på fördefinierade jobbfunktioner och privilegier.
- Attributbaserad åtkomstkontroll (ABAC) – Åtkomsträttigheter ges till användare genom användning av policyer som kombinerar attribut.
Relevanta ISO 27002-kontroller
- ISO 27002 5.3
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
- ISO 27002 5.16
- ISO 27002 5.18
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
- ISO 27002 7.2
- ISO 27002 7.3
- ISO 27002 7.4
- ISO 27002 8.2
- ISO 27002 8.3
- ISO 27002 8.26
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.6.1.2 – Tillgång till nätverk och nätverkstjänster
Referenser ISO 27002 Kontroll 5.15
Se ISO 27701 klausul 6.6.1.1
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.6.1.1 | Åtkomstkontrollpolicy |
5.15 – Åtkomstkontroll för ISO 27002 |
Ingen |
| 6.6.1.2 | Tillgång till nätverk och nätverkstjänster |
5.15 – Åtkomstkontroll för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
Hur hjälper vi till?
ISO 27701 visar hur du bygger ett integritetsinformationshanteringssystem som följer de flesta integritetsbestämmelser, inklusive EU:s GDPR, BS 10012 och Sydafrikas POPIA.
Vår förenklade, säkra och hållbara mjukvara hjälper dig att enkelt följa det tillvägagångssätt som beskrivs av den internationellt erkända standarden.
Vår allt-i-ett-plattform säkerställer att ditt integritetsarbete överensstämmer med och uppfyller behoven för varje del av ISO 27701-standarden.
Och eftersom det är regleringsagnostisk kan du mappa det till vilken reglering du behöver.
Ta reda på mer av boka en praktisk demo.
