Begrijpen van ISO 27701 Clausule 6.10: Communicatiebeveiliging
Communicatiebeveiliging is de basis van de meeste activiteiten op het gebied van privacybescherming, inclusief activiteiten die de toegang tot PII en privacygerelateerde activa zowel beperken als monitoren.
Organisaties moeten strenge controle uitoefenen over wie en wat toegang heeft tot beveiligings- en privacygerelateerde ICT-bronnen door wijdverbreid gebruik van veilige netwerkcontroles, servicebeheer en segregatie.
Wat wordt er behandeld in ISO 27701, clausule 6.10
ISO 27701 bevat drie subclausules die betrekking hebben op verschillende gebieden van communicatiebeveiliging:
- ISO 27701 6.10.1.1 – Netwerkcontroles (ISO 27002 Controle 8.20)
- ISO 27701 6.10.1.2 – Beveiliging in netwerkdiensten (ISO 27002 Controle 8.21)
- ISO 27701 6.10.1.3 – Segregatie in netwerken (ISO 27002 Controle 8.22)
Elke clausule bevat aangrenzende informatie uit ISO 27002, met een lange reeks ondersteunende clausules (met name in subclausule 6.10.1.1), passend bij de complexe aard van het onderwerp.
ISO biedt geen aanvullende PIMS- of PII-gerelateerde richtlijnen over het onderwerp communicatiebeveiliging, en die zijn er ook in Groot-Brittannië niet GDPR artikelen om rekening mee te houden.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 6.10.1.1 – Netwerkcontroles
Referenties ISO 27002 Controle 8.20
ISO 27701 clausule 6.10.1.1 richt zich op twee belangrijke aspecten van netwerkbeveiliging:
- Bescherming van de privacy
- Bescherming tegen ongeoorloofde toegang
Organisaties moeten:
- Categoriseer gegevens (inclusief PII) op basis van type dan: en classificatie.
- Zorg ervoor dat alleen gekwalificeerd personeel wordt gevraagd om netwerkapparatuur te onderhouden, in overeenstemming met een duidelijke reeks rollen en verantwoordelijkheden.
- Houd netwerkdiagrammen, firmwareversies en configuratiebestanden bij van kritieke apparaten zoals routers, firewalls, WAP's en netwerkswitches.
- Gescheiden netwerkverantwoordelijkheden (zie ISO 27002 Controle 5.3), inclusief de scheiding van administratief verkeer en standaard netwerkverkeer.
- Houd u aan controles die de veilige opslag en overdracht van gegevens vergemakkelijken, inclusief alle aangesloten applicaties en systemen (zie ISO 27002 Controles 5.22, 8.24, 5.14 en 6.6).
- Houd beveiligingslogboeken bij voor het hele systeem en de afzonderlijke componenten, zoals vereist (zie ISO 27002-controles 8.16 en 8.15).
- Voer netwerkbeheer- en administratietaken uit in harmonie met andere bedrijfsprocessen.
- Zorg ervoor dat de juiste autorisatie wordt gevraagd en verleend voordat personeel toegang krijgt tot relevante delen van het netwerk.
- Maak gebruik van verkeersbeperkingen, inhoudfiltering en dataregels in het hele netwerk, voor zowel inkomende als uitgaande gegevens.
- Zorg ervoor dat elk apparaat dat op het netwerk is aangesloten, kan worden beheerd door administratief personeel.
- Beschikken over de mogelijkheid om kritieke delen van het netwerk te scheiden en te verdelen, om de bedrijfscontinuïteit te garanderen na kritieke gebeurtenissen, inclusief de opschorting van netwerkprotocollen.
Relevante ISO 27002-controles
- ISO 27002 5.14
- ISO 27002 5.22
- ISO 27002 5.3
- ISO 27002 6.6
- ISO 27002 8.15
- ISO 27002 8.16
- ISO 27002 8.24
ISO 27701 Clausule 6.10.1.2 – Beveiliging in netwerkdiensten
Referenties ISO 27002 Controle 8.21
Bij het overwegen van het bredere concept van netwerkservicebeveiliging zijn er drie belangrijke factoren waarmee u rekening moet houden:
- Beveiligingsfuncties.
- Serviceniveaus.
- Servicevereisten.
Organisaties moeten ervoor zorgen dat dienstverleners begrijpen wat er van hen wordt verwacht en dat zij op consistente wijze aan hun verplichtingen voldoen.
Organisaties moeten kunnen verwijzen naar een ondubbelzinnige reeks SLA's en de naleving ervan gedurende de looptijd van een serviceovereenkomst kunnen monitoren.
Er moeten referenties worden gezocht en verkregen uit vertrouwde bronnen, met als einddoel het vaststellen van het vermogen van een dienstverlener om aan de commerciële en operationele vereisten van de organisatie te voldoen.
Beveiligingsregels moeten het volgende omvatten:
- Alle netwerkservices waartoe toegang mag worden verleend, inclusief een uitgebreide lijst met authenticatievereisten.
- Netwerkbeheercontroles die PII en privacygerelateerde activa beschermen tegen misbruik en ongeautoriseerde toegang.
- Toegang op afstand en op locatie.
- Het registreren van belangrijke informatie over toegang tot netwerkdiensten, inclusief toegangstijd, toegangslocatie en apparaatgegevens.
- Monitoringactiviteiten.
Netwerkservicebeveiliging
Organisaties krijgen verschillende aanvullende beveiligingsmaatregelen aangeboden die de integriteit en beschikbaarheid van PII verder waarborgen.
Organisaties moeten:
- Denk aan beveiligingsfuncties zoals authenticatie, encryptie en verbindingscontroles.
- Stel duidelijke richtlijnen op voor de verbindingen met netwerkdiensten.
- Sta gebruikers toe de hoeveelheid gegevens in de cache te kiezen om de prestaties te verbeteren en de privacyrisico's die gepaard gaan met overmatige opslag te minimaliseren.
- Beperk de toegang tot netwerkdiensten.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.10.1.3 – Segregatie in netwerken
Referenties ISO 27002 Controle 8.22
Om de integriteit en beschikbaarheid van PII en privacygerelateerde middelen te verbeteren, moeten organisaties diensten, gebruikers en systemen over hun hele netwerk scheiden, op basis van hun unieke beveiligingsvereisten en in overeenstemming met een onderwerpspecifiek aanpak (zie ISO 27002 Controle 5.15).
Om dit te bereiken moeten organisaties:
- Scheid domeinen van openbare netwerken, inclusief internet.
- Segregeer delen van het netwerk op basis van vertrouwen, kriticiteit en gevoeligheid.
- Overweeg verschillende operationele functies bij het scheiden van het netwerk, zoals HR, financiën en marketing.
- Segregeer met behulp van een combinatie van fysieke en logische controles.
- Werk met duidelijk gedefinieerde netwerkgrenzen en streng gecontroleerde gateways.
- Overweeg WiFi-toegang in overeenstemming met wat vaak een losjes gedefinieerde netwerkperimeter is, met variërende toegangsvereisten, en om ervoor te zorgen dat extern verkeer door een gateway gaat voordat interne toegang wordt verleend (zie ISO 27002 Controle 8.20).
- Scheid de WiFi-toegang voor gasten en medewerkers en plaats strenge beperkingen op de toegang van gasten om gebruik door personeel te ontmoedigen.
Relevante ISO 27002-controles
- ISO 27002 5.15
- ISO 27002 8.20
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.10.1.1 | Netwerkcontroles |
8.20 – Netwerkbeveiliging voor ISO 27002 |
Geen |
| 6.10.1.2 | Beveiliging in netwerkdiensten |
8.21 – Beveiliging van netwerkdiensten voor ISO 27002 |
Geen |
| 6.10.1.3 | Segregatie in netwerken |
8.22 – Segregatie van netwerken voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
ISO 27701 laat zien hoe u een Privacy Information Management System bouwt dat voldoet aan de meeste privacyregelgeving, waaronder de AVG van de EU. BS 10012 en het Zuid-Afrikaanse POPIA. Onze vereenvoudigde, veilige, duurzame software helpt u eenvoudig de aanpak te volgen die wordt geschetst door de internationaal erkende standaard.
Ons alles-in-één-platform zorgt ervoor dat uw privacywerk aansluit bij en voldoet aan de behoeften van elke sectie van de ISO 27701-norm. En omdat het reguleringsonafhankelijk is, kunt u het toewijzen aan elke gewenste regelgeving.
Meer informatie via een demo boeken.
