ISO 27701 Clausule 6.6.2: Een gids voor gebruikerstoegangsbeheer
User Access Management regelt de methoden waarmee gebruikers toegang krijgen tot PII en privacygerelateerde informatie, en hoe organisaties dergelijke toegang kunnen controleren met behulp van een verscheidenheid aan fysieke en logische maatregelen.
Wat wordt er behandeld in ISO 27701, clausule 6.6.2
ISO 27701 6.6.2 is een relatief grote clausule (gezien het onderwerp), die zes subclausules bevat die betrekking hebben op het verlenen, gebruiken en beheren van gebruikerstoegangsrechten.
Elke subclausule bevat informatie uit een aangrenzende subclausule in ISO 27002, met richtlijnen die zijn aangepast aan privacybescherming en PII, in plaats van algemene informatiebeveiliging:
- ISO 6.6.2.1 – Gebruikersregistratie en -uitschrijving (referenties ISO 27002 controle 5.16).
- ISO 6.6.2.2 – Inrichting van gebruikerstoegang (referenties ISO 27002-controle 5.18).
- ISO 6.6.2.3 – Beheer van geprivilegieerde toegangsrechten (Referenties ISO 27002 controle 8.2).
- ISO 6.6.2.4 – Beheer van geheime authenticatie-informatie van gebruikers (Referenties ISO 27002 controle 5.17).
- ISO 6.6.2.5 – Beoordeling van toegangsrechten van gebruikers (Referenties ISO 27002 controle 5.18).
- ISO 6.6.2.6 – Verwijdering of aanpassing van toegangsrechten (Referenties ISO 27002 controle 5.18).
Twee clausules bevatten richtlijnen die van invloed kunnen zijn op de naleving van de Britse AVG, en de relevante artikelen zijn voor uw gemak verstrekt.
In al zijn clausules bevat ISO 27701 6.6.2 geen verdere richtlijnen van ISO over het gebruik van een PIMS.
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 6.6.2.1 – Gebruikersregistratie en -uitschrijving
Referenties ISO 27002 Controle 5.16
Gebruikersregistratie wordt beheerst door het gebruik van toegewezen 'identiteiten'. Identiteiten bieden organisaties een raamwerk om de toegang van gebruikers tot PII en privacygerelateerde activa en materiaal te regelen, binnen de grenzen van een netwerk.
Organisaties moeten zes belangrijke richtlijnen volgen om ervoor te zorgen dat identiteiten correct worden beheerd en dat PII wordt beschermd, waar deze ook wordt opgeslagen, verwerkt of geopend:
- Wanneer identiteiten worden toegewezen aan een mens, mag alleen die persoon zich authenticeren met die identiteit en/of deze gebruiken bij toegang tot PII.
- Gedeelde identiteiten – meerdere personen geregistreerd onder dezelfde identiteit – mogen alleen worden ingezet om aan een unieke reeks operationele vereisten te voldoen.
- Niet-menselijke entiteiten moeten anders worden beschouwd en beheerd dan op gebruikers gebaseerde identiteiten die toegang hebben tot PII en privacygerelateerd materiaal.
- Identiteiten moeten worden verwijderd zodra ze niet langer nodig zijn, vooral identiteiten met toegang tot PII of op privacy gebaseerde rollen.
- Organisaties moeten zich houden aan de regel ‘één entiteit, één identiteit’ bij het distribueren van identiteiten over het netwerk.
- Registraties moeten worden geregistreerd en vastgelegd via duidelijke documentatie, inclusief tijdstempels, toegangsniveaus en identiteitsinformatie.
Organisaties die samenwerken met externe organisaties (met name cloudgebaseerde platforms) moeten de inherente risico's begrijpen die aan dergelijke praktijken zijn verbonden, en stappen ondernemen om ervoor te zorgen dat PII tijdens het proces niet nadelig wordt beïnvloed (zie ISO 27002 controles 5.19 en 5.17).
Relevante ISO 27002-controles
- ISO 27002 5.17
- ISO 27002 5.19
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
ISO 27701 Clausule 6.6.2.2 – Inrichting van gebruikerstoegang
Referenties ISO 27002 Controle 5.18
'Toegangsrechten' bepalen hoe toegang tot PII en privacygerelateerde informatie zowel wordt verleend als ingetrokken, waarbij dezelfde reeks leidende beginselen wordt gebruikt.
Toegangsrechten verlenen en intrekken
Toegangsprocedures moeten het volgende omvatten:
- Toestemming en autorisatie van de eigenaar (of het management) van de informatie of het actief (zie ISO 27002 controle 5.9).
- Eventuele heersende commerciële, wettelijke of operationele vereisten.
- Een erkenning van de noodzaak om taken te scheiden, om de beveiliging van PII te verbeteren en een veerkrachtiger privacybeschermingsoperatie op te bouwen.
- Controles om toegangsrechten in te trekken, wanneer toegang niet langer vereist is (verlaters etc.).
- Tijdentoegangsmaatregelen voor tijdelijk personeel of aannemers.
- Een gecentraliseerd overzicht van de toegangsrechten die zijn verleend aan zowel menselijke als niet-menselijke entiteiten.
- Maatregelen om de toegangsrechten te wijzigen van personeel of externe contractanten die van functie zijn veranderd.
Toegangsrechten beoordelen
Organisaties moeten periodieke beoordelingen uitvoeren van de toegangsrechten binnen het netwerk, waaronder:
- Intrekking van toegangsrechten inbouwen in HR-offboardingprocedures (zie ISO 27002 controles 6.1 en 6.5) en workflows voor rolverandering.
- Verzoeken om 'bevoorrechte' toegangsrechten.
Verandermanagement en vertrekkers
Van personeel dat de organisatie verlaat (opzettelijk of als ontslagen werknemer) en van degenen die het onderwerp zijn van een wijzigingsverzoek, moeten hun toegangsrechten worden aangepast op basis van robuuste risicobeheerprocedures, waaronder:
- De bron van de wijziging/beëindiging, inclusief de onderliggende reden.
- De huidige functie van de gebruiker en de bijbehorende verantwoordelijkheden.
- De informatie en middelen die momenteel toegankelijk zijn, inclusief hun risiconiveaus en waarde voor de organisatie.
Aanvullende begeleiding
Arbeidsovereenkomsten en contracten voor opdrachtnemers/diensten moeten een uitleg bevatten van wat er gebeurt na pogingen tot ongeoorloofde toegang (zie ISO 27002 controles 5.20, 6.2, 6.4, 6.6).
Relevante ISO 27002-controles
- ISO 27002 5.9
- ISO 27002 5.20
- ISO 27002 6.2
- ISO 27002 6.4
- ISO 27002 6.6
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.6.2.3 – Beheer van geprivilegieerde toegangsrechten
Referenties ISO 27002 Controle 8.2
Geprivilegieerde toegangsrechten bieden organisaties de mogelijkheid om tegelijkertijd de toegang tot PII en privacygerelateerde applicaties en middelen te controleren, en de integriteit van PII binnen hun netwerk te behouden.
Ongeautoriseerd gebruik van systeembeheerdersrechten (of verhoogde RBAC-rechten) is een van de belangrijkste oorzaken van ICT-verstoring over de hele wereld.
Bij het beheren van geprivilegieerde toegangsrechten met het oog op privacybescherming moeten organisaties:
- Stel een lijst op van gebruikers die bevoorrechte toegang nodig hebben.
- Implementeer procedures die geprivilegieerde toegangsrechten toewijzen aan gebruikers op een “gebeurtenis per gebeurtenis” basis – dwz dat een gebruiker een toegangsniveau krijgt dat in overeenstemming is met zijn of haar functie.
- Werk met een duidelijk autorisatieproces dat verzoeken om bevoorrechte toegang behandelt.
- Houd een gecentraliseerd register bij van verzoeken om geprivilegieerde toegang.
- Houd u aan de vervaldata van de toegang, waar aangegeven.
- Zorg ervoor dat gebruikers op de hoogte zijn van eventuele bevoorrechte toegangsrechten die aan hen zijn verleend.
- Dwing opnieuw authenticeren af voordat gebruikers bevoorrechte toegangsrechten gebruiken.
- Controleer periodiek de geprivilegieerde toegangsrechten voor de hele organisatie (zie ISO 27002 controle 5.18).
- Overweeg de implementatie van een ‘breekglas’-procedure door ervoor te zorgen dat geprivilegieerde toegangsrechten worden verleend binnen strikte vensters, zoals gedicteerd door de aard van het verzoek.
- Verbied het gebruik van generieke inloggegevens en raadbare wachtwoorden (zie ISO 27002 controle 5.17).
- Wijs één identiteit per gebruiker toe, indien nodig verzameld in toegangsgroepen.
- Zorg ervoor dat geprivilegieerde toegang uitsluitend wordt verleend aan kritieke taken, zoals essentieel onderhoud of incidentgerelateerde activiteiten.
Relevante ISO 27002-controles
- ISO 27002 5.17
- ISO 27002 5.18
ISO 27701 Clausule 6.6.2.4 – Beheer van geheime authenticatie-informatie van gebruikers
Referenties ISO 27002 Controle 5.17
Authenticatiegegevens moeten zo worden gedistribueerd en beheerd dat:
- Automatisch gegenereerde authenticatie-informatie (wachtwoorden enz.) wordt geheim gehouden voor iedereen die niet bevoegd is om deze te gebruiken, is niet te raden en wordt zo beheerd dat een gebruiker wordt gedwongen deze na de eerste aanmelding te wijzigen.
- Voordat authenticatiegegevens worden uitgegeven of vervangen, worden er procedures ingevoerd om de identiteit te verifiëren van de persoon die ze nodig heeft.
- Voor het verzenden van authenticatiegegevens worden de juiste beveiligde kanalen gebruikt (dus niet via e-mail).
- Nadat de gegevens succesvol zijn doorgegeven aan degene die ze nodig heeft, bevestigen de gebruiker(s) tijdig de ontvangst.
- Alle door de leverancier verstrekte authenticatie-informatie (zoals de standaard gebruikersnaam en wachtwoord, routers en firewalls) wordt bij ontvangst gewijzigd.
- Er worden gegevens bijgehouden van relevante authenticatiegebeurtenissen – vooral met betrekking tot de initiële toewijzing en daaropvolgende administratie van authenticatiegegevens.
Al het personeel dat authenticatie-informatie van de organisatie gebruikt, moet ervoor zorgen dat:
- Alles authenticatiegegevens worden strikt vertrouwelijk behandeld.
- Als authenticatiegegevens worden gecompromitteerd, bekeken of gedeeld door iemand anders dan de oorspronkelijke eigenaar, worden dergelijke gegevens gewijzigd per direct.
- Eventuele wachtwoorden worden gemaakt en/of gegenereerd in overeenstemming met het wachtwoordbeleid van de organisatie, en wachtwoorden zijn uniek op verschillende platforms (dwz domeinwachtwoorden zijn niet hetzelfde als wachtwoorden voor cloudservices).
- Arbeidsovereenkomsten bevatten een expliciete vereiste om het wachtwoordbeleid van het bedrijf te volgen (zie ISO 27002 controle 6.2).
Wachtwoordbeheersystemen
Organisaties moeten overwegen een wachtwoordbeheersysteem (gespecialiseerde toepassingen voor wachtwoordcontrole) te implementeren dat:
- Geschikt voor gebruikers die elk wachtwoord dat ze gebruiken moeten wijzigen.
- Is geprogrammeerd om wachtwoorden te weigeren die buiten de richtlijnen voor best practices vallen.
- Dwingt gebruikers om hun door het systeem gegenereerde wachtwoord te wijzigen nadat ze het voor de eerste keer hebben gebruikt.
- Staat het voortdurende gebruik van oude wachtwoorden of soortgelijke zinnen en alfanumerieke combinaties niet toe.
- Verbergt wachtwoorden terwijl ze worden ingevoerd.
- Bewaart en verzendt wachtwoordinformatie op een veilige manier.
- Geschikt voor wachtwoordversleuteling en soortgelijke versleutelingstechnieken (zie ISO 27002-controle 8.24).
Om PII te beschermen en de inspanningen op het gebied van privacybescherming van organisaties te verbeteren, moeten wachtwoorden vier leidende principes volgen:
- Wachtwoorden mogen niet zijn opgebouwd rond raadbare of biografische informatie.
- Wachtwoorden mogen geen herkenbare woorden bevatten, in plaats van willekeurige alfanumerieke tekens.
- Er moeten speciale tekens worden gebruikt om de wachtwoordcomplexiteit te vergroten.
- Alle wachtwoorden moeten een minimale lengte hebben (idealiter 12 tekens).
Organisaties moeten ook het gebruik van authenticatieprotocollen zoals Single Sign-On (SSO) overwegen om de wachtwoordbeveiliging te verbeteren, maar dergelijke maatregelen mogen alleen worden overwogen naast de unieke technische en operationele vereisten van de organisatie.
Relevante ISO 27002-controles
- ISO 27002 6.2
- ISO 27002 8.24
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.6.2.5 – Beoordeling van gebruikerstoegangsrechten
Referenties ISO 27002 Controle 5.18
Zie hierboven (ISO 27701 Clausule 6.6.2.2).
ISO 27701 Clausule 6.6.2.6 – Verwijdering of aanpassing van toegangsrechten
Referenties ISO 27002 Controle 5.18
Zie hierboven (ISO 27701 Clausule 6.6.2.2).
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.6.2.1 | Gebruikersregistratie en -afmelding |
5.16 – Identiteitsbeheer voor ISO 27002 |
Artikel (5) |
| 6.6.2.2 | Inrichting van gebruikerstoegang |
5.18 – Toegangsrechten voor ISO 27002 |
Artikel (5) |
| 6.6.2.3 | Beheer van bevoorrechte toegangsrechten |
8.2 – Bevoorrechte toegangsrechten voor ISO 27002 |
Geen |
| 6.6.2.4 | Beheer van geheime authenticatie-informatie van gebruikers |
5.17 – Authenticatie-informatie voor ISO 27002 |
Geen |
| 6.6.2.5 | Herziening van gebruikerstoegangsrechten |
5.18 – Toegangsrechten voor ISO 27002 |
Geen |
| 6.6.2.6 | Verwijdering of aanpassing van toegangsrechten |
5.18 – Toegangsrechten voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
Door een PIMS toe te voegen aan uw ISMS op het ISMS.online-platform blijft uw beveiligingspositie op één plek en vermijdt u duplicatie waar de standaarden elkaar overlappen.
Omdat uw PIMS direct toegankelijk is voor geïnteresseerde partijen, is het nog nooit zo eenvoudig geweest om met één klik op de knop te monitoren, rapporteren en auditen op basis van zowel ISO 27002 als ISO 27701.
Meer informatie via het boeken van een hands-on demo.
