Begrijpen van ISO 27701 Clausule 6.6: Best practices voor toegangscontrole
Toegangscontrole regelt de manieren waarop menselijke en niet-menselijke entiteiten toegang krijgen tot gegevens, IT-bronnen en applicaties – en in het geval van ISO 27701 6.6, PII en privacygerelateerd materiaal.
Toegangscontrole is een complexe en veelzijdige ICT-functie waar tal van andere bedrijfsfuncties bij betrokken zijn, zoals verandermanagement, activabeveiliging, onderwerpspecifieke autorisatie, fysieke beveiligingscontroles en technische concepten zoals RBAC, MAC en DAC. Als zodanig bevat ISO 27701 6.6 een groot aantal ondersteunende richtlijnen voor soortgelijke privacy- en informatiebescherming controles die zijn vastgelegd in de ISO 27002-norm.
Het goed regelen van toegangscontrole is een van de belangrijkste functies van een goed geoliede privacybeschermingsoperatie, vooral in de context van het beschermen van PII.
Wat wordt er behandeld in ISO 27701, clausule 6.6
ISO 27701 6.6 bevat twee subclausules die de verstrekte informatie contextualiseren ISO 27002 5.15 (toegangscontrole) op het gebied van PII en privacybescherming, met talrijke ondersteunende clausules die betrekking hebben op verschillende andere aspecten van informatiebeveiliging (zie hierboven):
- ISO 27701 6.6.1.1 – Toegangscontrolebeleid (referenties ISO 27002 Controle 5.15)
- ISO 27701 6.6.1.2 – Toegang tot netwerken en netwerkdiensten (referenties ISO 27002 Controle 5.15)
Geen van beide clausules bevat enige PIMS-specifieke richtlijnen, noch zijn ze relevant voor de Britse GDPR-wetgeving.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.6.1.1 – Toegangscontrolebeleid
Referenties ISO 27002 Controle 5.15
Eigenaars van activa die PII bevatten, en de gegevens zelf, moeten op privacy gebaseerde toegangsvereisten ontwikkelen, zowel op algemene als onderwerpspecifieke basis, en het toegangscontrolebeleid duidelijk communiceren aan al het relevante personeel.
Beleid voor toegangscontrole
Algemene vereisten en onderwerpspecifiek beleid moeten:
- Bepaal wie toegang nodig heeft tot specifieke activa en gegevens, en beheer dergelijke rechten dienovereenkomstig (zie ISO 27002 5.18).
- Houd rekening met de unieke beveiligingsvereisten van applicaties die PII gebruiken (zie ISO 27002 5.16, 5.18 en 8.26).
- Beheer fysieke toegang tot PII-gegevens (zie ISO 27002 7.2, 7.3 en 7.4).
- Verspreid PII en autoriseer gedocumenteerde toegangsverzoeken op basis van ‘need to know’ (zie ISO 27002 5.10, 5.12 en 5.13).
- Plaats beperkingen op 'bevoorrechte' toegang tot PII' (zie ISO 27701 8.2).
- Gescheiden taken, om de mogelijkheid te beperken dat individuen en groepen de enige autoriteit zijn over elementen (zie ISO 27002 5.3).
- Houd rekening met de verplichtingen van de organisatie op het gebied van privacybeschermingswetgeving, regelgevingsrichtlijnen of contractuele vereisten (zie ISO 27002 5.31, 5.32, 5.33, 5.34 en 8.3).
- Zorg ervoor dat er nauwkeurige en actuele logboeken worden bijgehouden, waarin de toegang tot PII in de hele organisatie gedetailleerd wordt beschreven (zie ISO 27002 8.15).
Toegangscontrole-entiteiten en bijbehorende regels definiëren
ISO classificeert een 'entiteit' als een fysiek, menselijk en/of logisch item dat toegang heeft tot gegevens.
Entiteiten moeten specifieke rollen toegewezen krijgen, gerelateerd aan hun functie en de gegevens waartoe zij toegang nodig hebben.
Bij het implementeren van toegangscontroleregels voor de verschillende entiteiten die het heeft gedefinieerd, moeten organisaties:
- Zorg ervoor dat entiteiten op consistente wijze toegang krijgen tot PII, in overeenstemming met hun specifieke rol en/of functie.
- Houd rekening met fysieke beveiligingsbehoeften bij het beheren van toegang tot PII.
- In het geval van veelzijdige cloudgebaseerde en/of gedistribueerde omgevingen krijgen entiteiten alleen toegang tot de PII-gegevenscategorieën waarvoor zij geautoriseerd zijn om te gebruiken (in plaats van algemene toegang te bieden).
Aanvullende richtlijnen
Toegangscontrole kan vaak een complex en lastig te beheren onderdeel zijn van de ICT-operatie van een organisatie.
Hier volgen enkele algemene principes waaraan u zich moet houden:
- Opereren binnen een 'need to know'- en 'need to use'-kader – dwz alleen toegang verlenen tot PII als de entiteit dit nodig heeft om hun functie uit te voeren, en niet minder.
- Organisaties moeten zich houden aan het concept van ‘least privilege’. ISO definieert dit als 'alles is in het algemeen verboden, tenzij uitdrukkelijk toegestaan'. Met andere woorden: de toegangscontrole moet nauwkeurig worden beheerd, in plaats van werknemers een breed toegangsniveau te geven over meerdere applicaties, opslagapparaten en bestandsservers.
- Wijzigingen in toegangsrechten moeten op twee manieren worden overwogen: wijzigingen die door systeembeheerders worden geïnitieerd, en wijzigingen die door ICT-systemen en -applicaties zelf worden geïnitieerd, inclusief wanneer goedkeuringen moeten worden beoordeeld.
- Voor de doeleinden van toegangs-PII schetst ISO vier belangrijke typen toegangscontrole waarmee organisaties rekening moeten houden, op basis van hun unieke vereisten:
- Verplichte toegangscontrole (MAC) – De toegang wordt centraal beheerd door één beveiligingsautoriteit.
- Discretionaire toegangscontrole (DAC) – De tegenovergestelde methode van MAC, waarbij objecteigenaren rechten kunnen doorgeven aan andere gebruikers.
- Op rollen gebaseerde toegangscontrole (RBAC) – Het meest voorkomende type commerciële toegangscontrole, gebaseerd op vooraf gedefinieerde taakfuncties en privileges.
- Attribute-based Access Control (ABAC) – Toegangsrechten worden aan gebruikers verleend door het gebruik van beleid dat attributen combineert.
Relevante ISO 27002-controles
- ISO 27002 5.3
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
- ISO 27002 5.16
- ISO 27002 5.18
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
- ISO 27002 7.2
- ISO 27002 7.3
- ISO 27002 7.4
- ISO 27002 8.2
- ISO 27002 8.3
- ISO 27002 8.26
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.6.1.2 – Toegang tot netwerken en netwerkdiensten
Referenties ISO 27002 Controle 5.15
Zie ISO 27701 clausule 6.6.1.1
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.6.1.1 | Toegangscontrolebeleid |
5.15 – Toegangscontrole voor ISO 27002 |
Geen |
| 6.6.1.2 | Toegang tot netwerken en netwerkdiensten |
5.15 – Toegangscontrole voor ISO 27002 |
Geen |
Hoe ISMS.online helpt
Hoe helpen we?
ISO 27701 laat zien hoe u een privacy-informatiebeheersysteem kunt bouwen dat voldoet aan de meeste privacyregelgeving, waaronder de AVG van de EU, BS 10012 en de POPIA van Zuid-Afrika.
Onze vereenvoudigde, veilige, duurzame software helpt u eenvoudig de aanpak te volgen die wordt geschetst door de internationaal erkende standaard.
Ons alles-in-één-platform zorgt ervoor dat uw privacywerk aansluit bij en voldoet aan de behoeften van elke sectie van de ISO 27701-norm.
En omdat het reguleringsonafhankelijk is, kunt u het toewijzen aan elke gewenste regelgeving.
Meer informatie via het boeken van een hands-on demo.
