ISO 27701 Clausule 6.8.2: Bescherming van apparatuur voor naleving van privacy
Naast 'logische' controles – op software gebaseerde toegangsbeperkingen en servergebaseerde administratieve functies, legt ISO ook veel nadruk op de rol die apparatuurbeveiliging moet spelen bij de bescherming van PII en privacygerelateerde activa.
Organisaties moeten rekening houden met een breed scala aan factoren, van BYOD-protocollen tot de locatie van privacymiddelen, hoe gebruikers zich gedragen wanneer ze er toegang toe krijgen, hoe apparatuur wordt verwijderd en een duidelijk bureau-/schermbeleid.
Wat wordt er behandeld in ISO 27701, clausule 6.8.2
ISO 27701 clausule 6.8.2 is een verreikende clausule die veel verschillende aspecten van apparatuurcontrole en -beveiliging omvat.
Er zijn 9 subclausules waarmee u rekening moet houden, waarbij elke subclausule richtlijnen bevat van een begeleidende clausule in ISO 27002, toegepast in het kader van de privacybescherming:
- ISO 27701 6.8.2.1 – Plaatsing en bescherming van apparatuur (Referenties ISO 27002 controle 7.8)
- ISO 27701 6.8.2.2 – Ondersteunende nutsvoorzieningen (Referenties ISO 27002 controle 7.11)
- ISO 27701 6.8.2.3 – Bekabelingsbeveiliging (referenties ISO 27002 controle 7.12)
- ISO 27701 6.8.2.4 – Onderhoud van apparatuur (Referenties ISO 27002 controle 7.13)
- ISO 27701 6.8.2.5 – Verwijdering van activa (Referenties ISO 27002 controle 7.10)
- ISO 27701 6.8.2.6 – Beveiliging van apparatuur en activa buiten locatie (Referenties ISO 27002 controle 7.9)
- ISO 27701 6.8.2.7 – Veilige verwijdering of hergebruik van apparatuur (Referenties ISO 27002 controle 7.14)
- ISO 27701 6.8.2.8 – Onbeheerde gebruikersapparatuur (referenties ISO 27002-controle 8.1)
- ISO 27701 6.8.2.9 – Clear desk en clear screen-beleid (Referenties ISO 27002 controle 7.7)
ISO biedt geen verdere richtlijnen met betrekking tot de implementatie of het onderhoud van een PIMS, en slechts twee subclausules (6.8.2.9 en 6.8.2.7) bevatten informatie waarmee rekening moet worden gehouden naast de Britse AVG-wetgeving.
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 6.8.2.1 – Locatie en bescherming van apparatuur
Referenties ISO 27002 Controle 7.8
Om het risico voor PII en privacygerelateerde activa, die door schade kunnen worden blootgesteld aan verlies of ongeoorloofde toegang, tot een minimum te beperken, moeten organisaties:
- Plaats apparatuur op de juiste manier – inclusief middelen en faciliteiten voor privacyverwerking – om te voorkomen dat onbevoegd personeel toegang krijgt tot gebieden waarvoor beperkingen gelden.
- Minimaliseer het risico van het per ongeluk of opzettelijk bekijken van beperkt materiaal (vooral PII).
- Verminder het risico op omgevings- of fysieke bedreigingen (bijv. diefstal, brand, overstroming).
- Stel onze duidelijke regels op met betrekking tot eten, roken of drinken in de buurt van privacygerelateerde eigendommen en informatie.
- Zorg ervoor dat privacygerelateerde eigendommen worden bewaard in omgevingen met geschikte niveaus van hitte en vochtigheid.
- Implementeer bliksembeveiligingsmaatregelen.
- Implementeer ad-hocmaatregelen voor privacygerelateerde activa in productiegebieden (stofschermen, beveiligde behuizing, elektromagnetische afscherming enz.).
- Scheid organisatorische en niet-organisatorische faciliteiten voor privacyverwerking.
ISO 27701 Clausule 6.8.2.2 – Ondersteunende nutsvoorzieningen
Referenties ISO 27002 Controle 7.11
Het is belangrijk om PII-verwerkingsfaciliteiten te beschermen tegen verstoringen of incidenten die voortkomen uit wat ISO beschouwt als “ondersteunende nutsvoorzieningen” (elektriciteit, gas, water, riolering, enz.).
Om het risico voor PII te minimaliseren, moeten organisaties:
- Houd u altijd aan de aanbevelingen van nutsbedrijven wanneer u apparatuur ter plaatse configureert.
- Voer periodieke audits van nutsvoorzieningen uit om ervoor te zorgen dat ze voldoen aan de operationele en financiële behoeften van de organisatie, en om de levering van alle andere nutsvoorzieningen mogelijk te maken.
- Test nutsvoorzieningen regelmatig om de bedrijfscontinuïteit te garanderen, en meld eventuele problemen rechtstreeks bij de energieleverancier.
- Zorg ervoor dat nutsbedrijven profiteren van meerdere feeds en 'diverse routing'.
- Zorg voor een systeem dat nutsvoorzieningen op hun eigen interne netwerk scheidt van PII-verwerkingsfaciliteiten, waar dergelijke faciliteiten LAN-toegang vereisen, en deze alleen WAN-toegang biedt als dit expliciet vereist is.
- Bied hulpdiensten voor noodgevallen, zoals noodverlichting, telefoonapparatuur met een speciaal circuit dat redundant is ten opzichte van het hoofdcommunicatiesysteem, contactnummers voor noodgevallen en gemakkelijk toegankelijke nooduitgangen.
- Ontdek het vooruitzicht om meerdere routers per energieleverancier te ontvangen.
ISO 27701 Clausule 6.8.2.3 – Beveiliging van bekabeling
Referenties ISO 27002 Controle 7.12
PII wordt grotendeels via kabels verzonden. Daarom moeten organisaties kabelbeveiligingscontroles invoeren die privacygerelateerde informatie beschermen tegen onderschepping en/of verlies.
Bekabelingsbeveiliging is een zeer gespecialiseerd vakgebied en organisaties moeten, indien van toepassing, deskundig advies inwinnen. Dat gezegd hebbende, zijn er een paar basisprincipes waar u zich aan moet houden.
Algemene richtlijnen
Organisaties moeten:
- Leid stroom- en communicatiekabels ondergronds.
- Zorg ervoor dat bovengrondse bekabeling wordt beschermd door maatregelen zoals adequate kabelgoten, vloerbehuizingen en elektriciteitspalen.
- Scheid stroomkabels van netwerk- en communicatiekabels om interferentie te voorkomen.
- Zorg ervoor dat de kabels aan elk uiteinde zijn voorzien van labels, om te helpen bij onderhouds- en aansluitwerkzaamheden.
Kritieke systemen
Als het om bedrijfskritische en commercieel gevoelige informatie gaat, zijn er een aantal aanvullende controles waarmee organisaties rekening moeten houden:
- Gepantserde apparatuur, inclusief alarmen en beveiligde kamers op kabelaansluitpunten, inclusief gecontroleerde en gelogde toegang.
- Elektromagnetische afscherming.
- Verhoogde fysieke inspecties.
ISO 27701 Clausule 6.8.2.4 – Onderhoud van apparatuur
Referenties ISO 27002 Controle 7.13
Om ongeoorloofde toegang tot PII – of schade aan privacygerelateerde activa – te voorkomen, moeten organisaties alle apparatuur onderhouden in overeenstemming met de richtlijnen van de fabrikant, waaronder:
- Het volgen van een robuust onderhoudsschema, uitgevoerd door opgeleid en geautoriseerd personeel.
- Registratie van alle storingen – inclusief eventuele vermoedelijke storingen.
- Indien van toepassing, het onderwerpen van extern onderhoudspersoneel aan een geheimhoudingsovereenkomst.
- Ervoor zorgen dat externe onderhoudsaannemers op passende wijze worden begeleid bij het uitvoeren van hun taken op locatie.
- Het uitoefenen van nauwe controle over onderhoudsfuncties op afstand, vooral die welke worden uitgevoerd door personeel van derden.
ISO 27701 Clausule 6.8.2.5 – Verwijdering van activa
Referenties ISO 27002 Controle 7.10
Verwisselbare opslagmedia
Bij het ontwikkelen van beleid dat de verwijdering regelt van media-items waarin PII is opgeslagen, moeten organisaties:
- Bewaak de overdracht van PII naar opslagmedia, voor welk doel dan ook.
- Ontwikkel onderwerpspecifiek beleid op basis van specifieke rolvereisten.
- Zorg ervoor dat toestemming wordt gevraagd en verleend voordat personeel opslagmedia uit het netwerk kan verwijderen.
- Bewaar media in overeenstemming met de specificaties van de fabrikant.
- Zorg ervoor dat de media vrij zijn van milieuschade.
- Overweeg het gebruik van versleutelingsmethoden en het implementeren van aanvullende fysieke beveiligingsmaatregelen.
- Minimaliseer het risico dat PII beschadigd raakt door informatie over te dragen tussen opslagmedia volgens een aantal best practice richtlijnen.
- Introduceer redundantie door PII tegelijkertijd op meerdere assets op te slaan.
- Gebruik alleen opslagmedia op goedgekeurde ingangen (bijv. SD-kaarten en USB-poorten).
- Houd rekening met inherente risico's bij het overbrengen van PII tussen opslagmedia, of bij het verplaatsen van activa tussen personeel of gebouwen (zie ISO 27002-controle 5.14).
Herbestemming en/of verkoop van activa
Bij het hergebruiken, hergebruiken of weggooien van opslagmedia moeten organisaties:
- Formatteer opslagmedia en zorg ervoor dat alle PII wordt gedocumenteerd en verwijderd voordat deze opnieuw wordt gebruikt (zie ISO 27002-controle 8.10).
- Gooi alle media die de organisatie niet meer gebruikt en die zijn gebruikt om PII op te slaan, veilig weg.
- (Als de verwijdering de tussenkomst van een derde partij vereist) doen er alles aan om ervoor te zorgen dat zij een geschikte partner zijn, in lijn met de verantwoordelijkheid van de organisatie op het gebied van PII en privacybescherming.
- Implementeer procedures die opslagmedia identificeren die beschikbaar zijn voor hergebruik of die veilig kunnen worden verwijderd.
Relevante ISO 27002-controles
- ISO 27002 5.14
- ISO 27002 8.10
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.8.2.6 – Beveiliging van apparatuur en activa buiten het terrein
Referenties ISO 27002 Controle 7.9
Organisaties zullen soms het gebruik van externe apparaten moeten sanctioneren, die op hun beurt toegang kunnen krijgen tot PII en/of privacygerelateerde informatie, waaronder BYOD-apparaten.
Tijdelijke externe apparatuur
Bij het beheren van een apparaat waarop PII wordt opgeslagen of actief wordt gebruikt op een andere locatie dan officieel aangewezen locaties, moeten organisaties:
- Vraag al het personeel om dergelijke apparaten niet onbeheerd achter te laten op openbare plaatsen.
- Zorg ervoor dat de richtlijnen van de fabrikant worden nageleefd, vooral als het gaat om apparaatbeveiliging en milieubescherming.
- Houd een accuraat en actueel logboek bij van de manier waarop externe apparaten worden doorgegeven tussen personeel, mocht dat nodig zijn.
- (Voor organisatiemiddelen) de juiste autorisatie vereisen voordat apparatuur uit het pand wordt verwijderd, en een logboek bijhouden van al dergelijke activiteiten (zie ISO 27002-controle 5.14).
- Vraag het personeel om rekening te houden met de manier waarop zij middelen op openbare plaatsen gebruiken, om te voorkomen dat PII en privacygerelateerd materiaal zonder toestemming wordt bekeken.
- Gebruik GPS-technologie en extern beheer om externe apparaten in de gaten te houden, terwijl u de mogelijkheid behoudt om ze op afstand te wissen.
Permanente externe apparatuur
Soms is het nodig dat een organisatie permanente vaste activa installeert, buiten hun gebouwen of kantoorfaciliteiten. Dergelijke apparatuur omvat:
- Geldautomaten.
- Communicatie antennes.
- Radioapparatuur.
Bij het installeren van een dergelijke kit moeten organisaties rekening houden met het volgende:
- XNUMX uur per dag toezicht (persoonlijk of via cameratoezicht) (zie ISO 27002 controle 7.4).
- Softwaregebaseerde toegangscontrole.
Relevante ISO 27002-controles
- ISO 27002 5.14
- ISO 27002 7.4
ISO 27701 Clausule 6.8.2.7 – Veilige verwijdering of hergebruik van apparatuur
Referenties ISO 27002 Controle 7.14
PII en privacygerelateerde informatie loopt vooral gevaar wanneer de noodzaak zich voordoet om opslag- en verwerkingsmiddelen te verwijderen of opnieuw te gebruiken – hetzij intern, hetzij in samenwerking met een gespecialiseerde externe leverancier.
Bovenal moeten organisaties ervoor zorgen dat alle opslagmedia die zijn gemarkeerd voor verwijdering en die PII bevatten, dat ook moeten zijn fysiek vernietigd, veegde or overschreven (zie ISO 27002 controles 7.10 en 8.10).
Om te voorkomen dat PII op enigerlei wijze in gevaar komt, moeten organisaties bij het weggooien of hergebruiken van activa:
- Zorg ervoor dat alle labels indien nodig worden verwijderd of aangepast, vooral de labels die de aanwezigheid van PII aangeven.
- Verwijder alle fysieke en logische beveiligingscontroles bij het buiten gebruik stellen van faciliteiten of het verplaatsen van gebouwen, met de bedoeling deze op een nieuwe locatie te hergebruiken.
Relevante ISO 27002-controles
- ISO 27002 7.10
- ISO 27002 8.10
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
ISO 27701 Clausule 6.8.2.8 – Onbeheerde gebruikersapparatuur
Referenties ISO 27002 Controle 8.1
Organisaties moeten onderwerpspecifiek beleid implementeren dat betrekking heeft op verschillende categorieën eindpuntapparaten, met de nadruk op het verbeteren van de privacybescherming en PII-beveiliging.
Organisaties moeten beleid en procedures opstellen die rekening houden met:
- Het bestaan van PII op het netwerk van een organisatie.
- Hoe apparaten in eerste instantie worden geregistreerd en vervolgens worden geïdentificeerd.
- Controles op fysieke bescherming.
- Beperkingen op software-installatie.
- Beheer op afstand.
- Toegangscontrole voor gebruikers.
- cryptografie.
- Anti-malwareplatforms.
- Back-up en noodherstel.
- Browsebeperkingen en inhoudfiltering.
- Gebruikersanalyses (zie ISO 27002 controle 8.16).
- Verwijderbare opslag en bijbehorende apparaten.
- Op apparaten gebaseerde gegevenssegregatie – dat wil zeggen het creëren van een barrière tussen organisatorische en persoonlijke gegevens.
- Noodplannen voor verloren of gestolen apparaten.
Verantwoordelijkheden van de gebruiker
Gebruikers van externe apparaten moeten zich voortdurend bewust zijn van het beleid en de procedures die op hen van toepassing zijn, als externe gebruikers.
Als algemene reeks principes moeten gebruikers:
- Sluit werk-/remote-sessies wanneer ze niet langer in gebruik zijn.
- Houd u aan fysieke en logische beschermingsmaatregelen.
- Houd rekening met hun fysieke omgeving wanneer u toegang krijgt tot PII of privacygerelateerde informatie (dwz vermijd 'shouldersurfen' in openbare ruimtes).
Bring Your Own Device-protocollen (BYOD).
Organisaties die hun personeel toestaan hun eigen persoonlijke apparaten te gebruiken, moeten ook rekening houden met het volgende:
- Software installeren die helpt bij het scheiden van zakelijke en persoonlijke gegevens.
- Het afdwingen van een BYOD-beleid dat het volgende omvat:
- Erkenning van organisatorisch eigendom van PII.
- Fysieke en digitale beschermingsmaatregelen (zie hierboven).
- Verwijdering van gegevens op afstand.
- Alle maatregelen die zorgen voor afstemming op de PII-wetgeving en regelgevingsrichtlijnen.
- IE-rechten, met betrekking tot bedrijfseigendom van alles dat op een persoonlijk apparaat is geproduceerd.
- Organisatorische toegang tot het apparaat – hetzij voor doeleinden van privacybescherming, hetzij om te voldoen aan een intern of extern onderzoek.
- EULA's en softwarelicenties die kunnen worden beïnvloed door het gebruik van commerciële software op een particulier apparaat.
WiFi-richtlijnen
Wanneer organisaties overwegen hoe ze de WiFi-connectiviteit voor externe apparaten kunnen beheren, moeten ze:
- Denk goed na over hoe apparaten verbinding kunnen maken met draadloze netwerken (dwz vermijd onbeveiligde netwerken tijdens het gebruik van PII).
- Zorg ervoor dat WiFi voldoende capaciteit heeft om back-ups te maken, onderhoudsactiviteiten uit te voeren en gegevens te verwerken zonder grote belemmeringen voor de prestaties van het apparaat en de gegevensbeveiliging.
Relevante ISO 27002-controles
- ISO 27002 8.9
- ISO 27002 8.16
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.8.2.9 – Clear Desk- en Clear Screen-beleid
Referenties ISO 27002 Controle 7.7
PII en privacygerelateerde informatie loopt vooral gevaar wanneer onzorgvuldig personeel en externe contractanten zich niet houden aan veiligheidsmaatregelen op de werkplek die bescherming bieden tegen het per ongeluk of opzettelijk bekijken van PII door onbevoegd personeel.
Organisaties moeten een onderwerpspecifiek clear desk- en clear screen-beleid opstellen (indien nodig per werkplek) dat het volgende omvat:
- Verbergen voor het gewone zicht, vergrendelen of veilig opslaan van PII en privacygerelateerde informatie, wanneer dergelijk gegevensmateriaal niet vereist is.
- Fysieke vergrendelingsmechanismen op ICT-middelen.
- Digitale toegangscontroles – zoals displaytime-outs, met een wachtwoord beveiligde schermbeveiligingen en automatische uitlogmogelijkheden.
- Veilig printen en onmiddellijke documentverzameling.
- Veilige, afgesloten opslag van gevoelige documentatie en correcte verwijdering van dergelijk materiaal wanneer het niet langer nodig is (vernietiging, verwijdering door derden enz.).
- Houd rekening met berichtvoorbeelden (e-mail, sms, agendaherinneringen) die toegang kunnen bieden tot gevoelige gegevens; wanneer een scherm wordt gedeeld of bekeken op een openbare plaats.
- Het verwijderen van gevoelige informatie op fysieke displays (bijv. whiteboards en mededelingenborden) wanneer deze niet langer nodig is.
Wanneer organisaties collectief gebouwen verlaten – zoals tijdens een kantoorverhuizing of soortgelijke verhuizing – moeten er inspanningen worden geleverd om ervoor te zorgen dat er geen documentatie achterblijft, noch in bureaus en archiefsystemen, noch op onduidelijke plekken.
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.8.2.1 | Apparatuurlocatie en bescherming |
7.8 – Locatie en bescherming van apparatuur voor ISO 27002 |
Geen |
| 6.8.2.2 | Ondersteunende nutsvoorzieningen |
7.11 – Ondersteunende hulpprogramma's voor ISO 27002 |
Geen |
| 6.8.2.3 | Beveiliging van bekabeling |
7.12 – Bekabelingsbeveiliging voor ISO 27002 |
Geen |
| 6.8.2.4 | Equipment Maintenance |
7.13 – Onderhoud van apparatuur voor ISO 27002 |
Geen |
| 6.8.2.5 | Verwijdering van activa |
7.10 – Opslagmedia voor ISO 27002 |
Geen |
| 6.8.2.6 | Beveiliging van apparatuur en activa buiten het terrein |
7.9 – Beveiliging van activa buiten locatie voor ISO 27002 |
Geen |
| 6.8.2.7 | Veilige verwijdering of hergebruik van apparatuur |
7.14 – Veilige verwijdering of hergebruik van apparatuur voor ISO 27002 |
Artikel (5) |
| 6.8.2.8 | Onbeheerde gebruikersapparatuur |
8.1 – Gebruikerseindpuntapparaten voor ISO 27002 |
Geen |
| 6.8.2.9 | Duidelijk bureau en duidelijk schermbeleid |
7.7 – Clear Desk en Clear Screen voor ISO 27002 |
Artikel (5) |
Hoe ISMS.online helpt
Wij maken ROPA eenvoudig
Wij maken data mapping tot een eenvoudige taak. Het is gemakkelijk om alles vast te leggen en te bekijken, door de gegevens van uw organisatie toe te voegen aan onze vooraf geconfigureerde dynamische tool voor het registreren van verwerkingsactiviteiten.
Beoordelingssjablonen voor u
Het is eenvoudig om verschillende soorten privacybeoordelingen op te zetten en uit te voeren, van gegevensbeschermingseffectbeoordelingen tot regelgevings- of nalevingsgereedheidsbeoordelingen.
We hebben een ingebouwde risicobank
We hebben een ingebouwde risicobank en een reeks andere praktische hulpmiddelen gecreëerd die u kunnen helpen bij elk onderdeel van het risicobeoordelings- en beheerproces.
Boek vandaag nog een demo en ontdek hoe wij uw organisatie kunnen helpen ISO 27701 te behalen.
