Politik for PII-sikkerhed og adgangsstyring

Politikken for PII-sikkerhed og adgangsstyring definerer organisationens PII-specifikke krav til beskyttelse af personoplysninger på tværs af systemer, applikationer, tjenester, enheder, cloudmiljøer og driftsprocesser. Den gælder, hvor PII opbevares, transmitteres, behandles, tilgås, administreres eller beskyttes, og den dækker kontekster for dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler. Politikken er udtrykkeligt udformet til at integrere med eksisterende praksis for informationssikkerhed i stedet for at erstatte et fuldt ledelsessystem for informationssikkerhed, en politik for netværkssikkerhed, en politik for sikker udvikling, en backuppolitik, en endepunktspolitik, en cloud-sikkerhedspolitik, en standard for kryptografiske kontroller, en procedure for sårbarhedsstyring eller en procedure for hændelseshåndtering. Dens centrale formål er at sikre, at PII beskyttes af passende, risikoafstemte og reviderbare sikkerheds- og adgangskontroller gennem hele behandlingen. For at understøtte dette formål etablerer politikken en PII-sikkerhedsbaseline og kræver sporbart bevismateriale gennem REG02, REG08, REG10 og REG12. Denne bevismodel er central for politikken: driftslogfiler, output fra sikkerhedsværktøjer, eksport fra gennemgang af adgangsrettigheder, sårbarhedsrapporter og konfigurationsbevismateriale kan vedhæftes, opsummeres i eller henvises til af de kanoniske bevisobjekter, men de behandles ikke som særskilte PIMS-registre. Det gør det muligt for organisationen at dokumentere, at kontroller planlægges, implementeres, gennemgås, overvåges og forbedres uden at duplikere sikkerhedsregistreringer. Politikken fastsætter detaljerede krav til adgangsstyring, autentifikation og privilegeret adgang. Adgang til PII skal begrænses til godkendte roller og autoriserede brugere, der er registreret eller sporbare i REG02 eller REG12, og forretningsformålet skal godkendes, før adgang tildeles. Systemer med PII med højt konsekvensniveau eller følsom PII kræver mindst kvartalsvise gennemgange af brugeradgang, mens andre PII-systemer kræver mindst årlig gennemgang. Adgang skal fjernes eller ændres inden for én arbejdsdag efter rolleændring, fratrædelse, kontraktophør eller når adgangen ikke længere er nødvendig. Privilegeret adgang kræver dokumenteret begrundelse, omfang og godkendelse, før den tildeles, med månedlig gennemgang for systemer med PII med højt konsekvensniveau eller følsom PII og kvartalsvis gennemgang for andre PII-systemer. Politikken omhandler også tekniske sikkerhedsforventninger til autentifikation, kryptering, sikker lagring, logning, overvågning, konfiguration, sårbarhedsstyring, endepunktsadgang og cloudadgang. Unikke brugeridentiteter kræves for konti med PII-adgang, og stærk autentifikation kræves for privilegeret, fjern, administrativ eller PII-adgang med højt konsekvensniveau. Kryptering eller godkendt kompenserende beskyttelse skal defineres, før PII med højt konsekvensniveau, følsom PII eller eksternt transmitteret PII opbevares, transmitteres eller gøres tilgængelig. Logningsomfanget skal dække autentifikationshændelser, adgangshændelser, privilegerede handlinger, PII-eksportaktivitet og væsentlige konfigurationsændringer. Konfigurationsstatus og sårbarhedsdækning skal registreres i REG12, og uafklarede højrisikosårbarheder, der påvirker PII, skal registreres inden for fem arbejdsdage efter validering. Styringsansvar fordeles på øverste ledelse, den databeskyttelsesansvarlige/PIMS-ansvarlige, databeskyttelsesrådgiveren (DPO)/rådgiveren inden for databeskyttelse, den informationssikkerhedsansvarlige, procesejeren/virksomhedsejeren, systemejeren/applikationsansvarlige, den leverandør-/indkøbsansvarlige, hændelseskoordinatoren og intern revision/den efterlevelsesansvarlige gennemgangsfunktion. Politikken kræver kvartalsvis gennemgang af bevismaterialets fuldstændighed på tværs af REG02, REG08, REG10 og REG12, kvartalsvis gennemgang af baselinens effektivitet og uafklarede mangler samt revisionsstikprøver af gennemgang af adgangsrettigheder, gennemgang af privilegeret adgang, logningsbevismateriale og konfigurationsbevismateriale. Undtagelser skal registreres før aktivering, indeholde udløb, kompenserende kontrol og gennemgangsdato og have godkendelse fra øverste ledelse, når de påvirker PII med højt konsekvensniveau, følsom PII, privilegeret adgang, kryptering, logning eller uafklarede højrisikosårbarheder.