policy ISO 27701 PIMS Policy Pack

Πολιτική ασφάλειας και ελέγχου πρόσβασης σε δεδομένα προσωπικού χαρακτήρα

Ορίστε ελέγχους ασφάλειας και ελέγχου πρόσβασης για δεδομένα προσωπικού χαρακτήρα με δυνατότητα ελέγχου για το ISO/IEC 27701, που καλύπτουν πρόσβαση, αυθεντικοποίηση, κρυπτογράφηση, καταγραφή και τεκμήρια.

Επισκόπηση

Η παρούσα πολιτική ορίζει ειδικούς ελέγχους ασφάλειας και ελέγχου πρόσβασης για δεδομένα προσωπικού χαρακτήρα σε συστήματα, υπηρεσίες, συσκευές, περιβάλλοντα νέφους και διαδικασίες. Καλύπτει την πρόσβαση, την αυθεντικοποίηση, την προνομιούχα πρόσβαση, την κρυπτογράφηση, την καταγραφή, τη ρύθμιση παραμέτρων, τις ευπάθειες, τους ελέγχους τερματικών σημείων και τους ελέγχους νέφους, με τεκμήρια συνδεδεμένα με τα REG02, REG08, REG10 και REG12.

Βασική γραμμή ασφάλειας δεδομένων προσωπικού χαρακτήρα

Ορίζει ειδικές απαιτήσεις ασφάλειας για δεδομένα προσωπικού χαρακτήρα σε συστήματα, υπηρεσίες, συσκευές, περιβάλλοντα νέφους και επιχειρησιακές διαδικασίες.

Ελεγχόμενη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα

Απαιτεί εγκεκριμένους ρόλους, έγκριση βάσει επιχειρησιακού σκοπού, αναθεωρήσεις δικαιωμάτων πρόσβασης και ταχεία αφαίρεση μη υποστηριζόμενης ή μη αναγκαίας πρόσβασης σε δεδομένα προσωπικού χαρακτήρα.

Διασφάλιση συνδεδεμένη με τεκμήρια

Συνδέει τεκμήρια πρόσβασης, καταγραφής, ευπαθειών, ρυθμίσεων και εξαιρέσεων με τα REG02, REG08, REG10 και REG12.

Όρια του εκτελούντος την επεξεργασία

Καταγράφει εντολές πελάτη, δεσμεύσεις εκτελούντος την επεξεργασία, πρόσβαση του υπεργολάβου επεξεργασίας και όρια κοινής ευθύνης σε περιβάλλον νέφους.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική ασφάλειας και ελέγχου πρόσβασης σε δεδομένα προσωπικού χαρακτήρα ορίζει τις ειδικές απαιτήσεις του οργανισμού για την προστασία των προσωπικών πληροφοριών σε συστήματα, εφαρμογές, υπηρεσίες, συσκευές, περιβάλλοντα νέφους και επιχειρησιακές διαδικασίες. Εφαρμόζεται όταν δεδομένα προσωπικού χαρακτήρα αποθηκεύονται, μεταδίδονται, υφίστανται επεξεργασία, προσπελαύνονται, διαχειρίζονται ή προστατεύονται, και καλύπτει πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας. Η πολιτική έχει σχεδιαστεί ρητά ώστε να ενσωματώνεται στις υφιστάμενες πρακτικές ασφάλειας πληροφοριών και όχι να αντικαθιστά ένα πλήρες Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών, Πολιτική Ασφάλειας Δικτύου, Πολιτική Ασφαλούς Ανάπτυξης, πολιτική αντιγράφων ασφαλείας, πολιτική τερματικών σημείων, πολιτική ασφάλειας νέφους, κρυπτογραφικό πρότυπο, διαδικασία διαχείρισης ευπαθειών ή διαδικασία απόκρισης σε περιστατικά. Ο βασικός της σκοπός είναι να διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα προστατεύονται με κατάλληλους, ευθυγραμμισμένους με τον κίνδυνο και ελέγξιμους ελέγχους ασφάλειας και ελέγχου πρόσβασης καθ’ όλη τη διάρκεια της επεξεργασίας. Για την υποστήριξη αυτού του σκοπού, η πολιτική θεσπίζει βασική γραμμή ασφάλειας δεδομένων προσωπικού χαρακτήρα και απαιτεί ιχνηλάσιμα τεκμήρια μέσω των REG02, REG08, REG10 και REG12. Αυτό το μοντέλο τεκμηρίων είναι κεντρικό για την πολιτική: επιχειρησιακά αρχεία καταγραφής, έξοδοι εργαλείων ασφάλειας, εξαγωγές αναθεωρήσεων δικαιωμάτων πρόσβασης, αναφορές ευπαθειών και τεκμήρια ρυθμίσεων μπορούν να επισυνάπτονται, να συνοψίζονται ή να παραπέμπονται στα κανονικά αντικείμενα τεκμηρίων, αλλά δεν αντιμετωπίζονται ως ξεχωριστά μητρώα PIMS. Αυτό επιτρέπει στον οργανισμό να αποδεικνύει ότι οι έλεγχοι σχεδιάζονται, υλοποιούνται, ανασκοπούνται, παρακολουθούνται και βελτιώνονται χωρίς διπλή τήρηση αρχείων ασφάλειας. Η πολιτική θέτει λεπτομερείς απαιτήσεις για τον έλεγχο πρόσβασης, την αυθεντικοποίηση και την προνομιούχα πρόσβαση. Η πρόσβαση σε δεδομένα προσωπικού χαρακτήρα πρέπει να περιορίζεται σε εγκεκριμένους ρόλους και εξουσιοδοτημένους χρήστες που καταγράφονται ή είναι ιχνηλάσιμοι στο REG02 ή στο REG12, ενώ ο επιχειρησιακός σκοπός πρέπει να εγκρίνεται πριν από τη χορήγηση πρόσβασης. Τα συστήματα δεδομένων προσωπικού χαρακτήρα υψηλού αντικτύπου ή ευαίσθητα απαιτούν αναθεωρήσεις δικαιωμάτων πρόσβασης χρηστών τουλάχιστον ανά τρίμηνο, ενώ τα λοιπά συστήματα δεδομένων προσωπικού χαρακτήρα απαιτούν τουλάχιστον ετήσια ανασκόπηση. Η πρόσβαση πρέπει να αφαιρείται ή να τροποποιείται εντός μίας εργάσιμης ημέρας μετά από αλλαγή ρόλου, αποχώρηση, ολοκλήρωση σύμβασης ή όταν δεν απαιτείται πλέον. Η προνομιούχα πρόσβαση απαιτεί τεκμηριωμένη αιτιολόγηση, πεδίο εφαρμογής και έγκριση πριν από τη χορήγησή της, με μηνιαία ανασκόπηση για συστήματα δεδομένων προσωπικού χαρακτήρα υψηλού αντικτύπου ή ευαίσθητα και τριμηνιαία ανασκόπηση για άλλα συστήματα δεδομένων προσωπικού χαρακτήρα. Η πολιτική καλύπτει επίσης τις τεχνικές προσδοκίες ασφάλειας για αυθεντικοποίηση, κρυπτογράφηση, ασφαλή αποθήκευση, καταγραφή, παρακολούθηση, ρύθμιση παραμέτρων, διαχείριση ευπαθειών, πρόσβαση τερματικών σημείων και πρόσβαση σε περιβάλλον νέφους. Απαιτούνται μοναδικές ταυτότητες χρηστών για λογαριασμούς με πρόσβαση σε δεδομένα προσωπικού χαρακτήρα, καθώς και ισχυρή αυθεντικοποίηση για προνομιούχα, απομακρυσμένη, διαχειριστική πρόσβαση ή πρόσβαση υψηλού αντικτύπου σε δεδομένα προσωπικού χαρακτήρα. Η κρυπτογράφηση ή η εγκεκριμένη αντισταθμιστική προστασία πρέπει να ορίζεται πριν από την αποθήκευση, τη μετάδοση ή την παροχή δυνατότητας πρόσβασης σε δεδομένα προσωπικού χαρακτήρα υψηλού αντικτύπου, ευαίσθητα ή εξωτερικά μεταδιδόμενα. Το πεδίο καταγραφής πρέπει να καλύπτει συμβάντα αυθεντικοποίησης, συμβάντα πρόσβασης, προνομιούχες ενέργειες, δραστηριότητα εξαγωγής δεδομένων προσωπικού χαρακτήρα και ουσιώδεις αλλαγές ρυθμίσεων. Η κατάσταση ρυθμίσεων και η κάλυψη ευπαθειών πρέπει να καταγράφονται στο REG12, με τις μη επιλυμένες ευπάθειες υψηλού κινδύνου που επηρεάζουν δεδομένα προσωπικού χαρακτήρα να καταγράφονται εντός πέντε εργάσιμων ημερών από την επικύρωση. Οι αρμοδιότητες διακυβέρνησης ανατίθενται στην Ανώτατη Διοίκηση, στον Επικεφαλής Ιδιωτικότητας / Υπεύθυνο PIMS, στον Υπεύθυνο Προστασίας Δεδομένων / Σύμβουλο Ιδιωτικότητας, στον Επικεφαλής Ασφάλειας Πληροφοριών, στον Ιδιοκτήτη Διεργασίας / Ιδιοκτήτη Επιχείρησης, στον Ιδιοκτήτη συστήματος / Ιδιοκτήτη Εφαρμογής, στον Ιδιοκτήτη προμηθευτή / προμηθειών, στον Συντονιστή Αντιμετώπισης Περιστατικών και στον Ανασκοπητή Εσωτερικού Ελέγχου / Συμμόρφωσης. Η πολιτική απαιτεί τριμηνιαίες ανασκοπήσεις πληρότητας τεκμηρίων στα REG02, REG08, REG10 και REG12, τριμηνιαία ανασκόπηση της αποτελεσματικότητας της βασικής γραμμής και των μη επιλυμένων κενών, καθώς και ελεγκτική δειγματοληψία αναθεωρήσεων δικαιωμάτων πρόσβασης, ανασκοπήσεων προνομιούχας πρόσβασης, τεκμηρίων καταγραφής και τεκμηρίων ρυθμίσεων. Οι εξαιρέσεις πρέπει να καταγράφονται πριν από την ενεργοποίηση, να περιλαμβάνουν ημερομηνία λήξης, αντισταθμιστικό έλεγχο και ημερομηνία ανασκόπησης, και να λαμβάνουν έγκριση της Ανώτατης Διοίκησης όταν επηρεάζουν δεδομένα προσωπικού χαρακτήρα υψηλού αντικτύπου, ευαίσθητα δεδομένα προσωπικού χαρακτήρα, προνομιούχα πρόσβαση, κρυπτογράφηση, καταγραφή ή μη επιλυμένες ευπάθειες υψηλού κινδύνου.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διαδικασίας που δείχνει το πλαίσιο επεξεργασίας δεδομένων προσωπικού χαρακτήρα να οδηγεί στον ορισμό βασικής γραμμής ασφάλειας, την έγκριση πρόσβασης, τους ελέγχους αυθεντικοποίησης και προνομιούχας πρόσβασης, την κρυπτογράφηση, την καταγραφή, την ανασκόπηση ευπαθειών, τη συλλογή τεκμηρίων στα REG02, REG08, REG10 και REG12, τη διαχείριση εξαιρέσεων, την παρακολούθηση και την ανασκόπηση της Διοίκησης.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Βασική γραμμή ασφάλειας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση με ISMS

Έλεγχος πρόσβασης και ανασκοπήσεις προνομιούχας πρόσβασης

Απαιτήσεις αυθεντικοποίησης και εξαιρέσεων λογαριασμών

Κρυπτογράφηση, ασφαλής αποθήκευση, καταγραφή και παρακολούθηση

Ασφαλής διαμόρφωση, ευπάθειες, έλεγχοι τερματικών σημείων και έλεγχοι νέφους

Σύνδεση τεκμηρίων REG02, REG08, REG10 και REG12

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 6.1.3Clause 8.1Clause 7.5Clause 9.1Clause 10.2Annex A.3.8Annex A.3.9Annex A.3.22Annex A.3.23Annex A.3.25Annex A.3.26Annex A.3.28Annex A.3.29Annex A.3.14Annex A.3.15Annex A.3.16
EU GDPR
Article 5(1)(f)Article 5(2)Article 24Article 28Article 32
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A control 8.1Annex A control 8.2Annex A control 8.3Annex A control 8.5Annex A control 8.8Annex A control 8.9Annex A control 8.15Annex A control 8.16Annex A control 8.20Annex A control 8.24
ISO/IEC 27002:2022
Control 8.1Control 8.2Control 8.3Control 8.5Control 8.8Control 8.9Control 8.15Control 8.16Control 8.20Control 8.24
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 9.4.2Clause 9.4.3Clause 9.4.4Clause 9.4.5Clause 10.1.2Clause 10.1.3Clause 12.1.5Clause 18.1.5Clause 18.2.2Clause 18.2.3Clause 18.2.4

Σχετικές πολιτικές

Πολιτική απογραφής επεξεργασίας και νομικής βάσης

Οι εγκρίσεις πρόσβασης σε δεδομένα προσωπικού χαρακτήρα εξαρτώνται από καταγεγραμμένο πλαίσιο επεξεργασίας, ευαισθησία και επιχειρησιακές ανάγκες πρόσβασης.

Πολιτική αξιολόγησης κινδύνου ιδιωτικότητας και DPIA

Τα αποτελέσματα της αξιολόγησης κινδύνου και της DPIA καθορίζουν το απαιτούμενο επίπεδο ασφάλειας δεδομένων προσωπικού χαρακτήρα, αυθεντικοποίησης, κρυπτογράφησης και ανασκόπησης εξαιρέσεων.

Πολιτική διαχείρισης εκτελούντων την επεξεργασία, υπεργολάβων επεξεργασίας και τρίτων μερών σε θέματα ιδιωτικότητας

Οι αρμοδιότητες ασφάλειας του εκτελούντος την επεξεργασία και του υπεργολάβου επεξεργασίας, τα όρια πρόσβασης και τα τεκμήρια καταγράφονται μέσω του REG08.

Πολιτική διαχείρισης περιστατικών και παραβιάσεων

Η ύποπτη μη εξουσιοδοτημένη πρόσβαση, κοινολόγηση, συμβιβασμός ή απώλεια δεδομένων προσωπικού χαρακτήρα πρέπει να ανοίγεται ή να συνδέεται ως αρχείο περιστατικού REG10.

Πολιτική τεκμηριωμένων πληροφοριών και διαχείρισης τεκμηρίων PIMS

Η πολιτική βασίζεται σε ιχνηλάσιμα τεκμηριωμένα τεκμήρια στα REG02, REG08, REG10 και REG12 για ετοιμότητα για έλεγχο.

Πολιτική παρακολούθησης, ελέγχου και βελτίωσης PIMS

Τα τεκμήρια ασφάλειας δεδομένων προσωπικού χαρακτήρα, οι αναθεωρήσεις δικαιωμάτων πρόσβασης, η καταγραφή και τα τεκμήρια ρυθμίσεων δειγματοληπτούνται και ανασκοπούνται μέσω της εποπτείας PIMS.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική ασφάλειας και ελέγχου πρόσβασης σε δεδομένα προσωπικού χαρακτήρα

Η Πολιτική ασφάλειας και ελέγχου πρόσβασης σε δεδομένα προσωπικού χαρακτήρα θεσπίζει ειδικές απαιτήσεις ασφάλειας και ελέγχου πρόσβασης για δεδομένα προσωπικού χαρακτήρα εντός του Συστήματος Διαχείρισης Πληροφοριών Ιδιωτικότητας. Συνδέει το πλαίσιο επεξεργασίας, την ανάγκη πρόσβασης, τις αρμοδιότητες του εκτελούντος την επεξεργασία, τα ευρήματα ασφάλειας και τα τεκμήρια υλοποίησης με τα REG02, REG08, REG10 και REG12. Η πολιτική εφαρμόζεται σε πλαίσια υπευθύνου επεξεργασίας, από κοινού υπευθύνου επεξεργασίας, εκτελούντος την επεξεργασία και υπεργολάβου επεξεργασίας και ορίζει απαιτήσεις για έλεγχο πρόσβασης, αυθεντικοποίηση, προνομιούχα πρόσβαση, κρυπτογράφηση, καταγραφή, ασφαλή διαμόρφωση, διαχείριση ευπαθειών, ελέγχους τερματικών σημείων και όρια πρόσβασης σε περιβάλλον νέφους. Υποστηρίζει ελέγξιμη διασφάλιση PIMS απαιτώντας τα τεκμήρια να καταγράφονται, να συνδέονται, να ανασκοπούνται και να διατηρούνται χωρίς να αντικαθιστά τις υφιστάμενες πολιτικές ασφάλειας πληροφοριών.

Ειδικό πεδίο ελέγχων για δεδομένα προσωπικού χαρακτήρα

Καλύπτει συστήματα, εφαρμογές, υπηρεσίες, συσκευές, περιβάλλοντα νέφους και διαδικασίες που χειρίζονται ή προστατεύουν δεδομένα προσωπικού χαρακτήρα.

Σαφής λογοδοσία ρόλων

Αναθέτει αρμοδιότητες σε ρόλους ιδιωτικότητας, ασφάλειας, συστημάτων, διεργασιών, προμηθευτών, απόκρισης σε περιστατικά και ελέγχου.

Ορισμένος ρυθμός ανασκόπησης

Ορίζει μηνιαίες, τριμηνιαίες, ετήσιες και βάσει συμβάντων ανασκοπήσεις για πρόσβαση, προνομιούχα πρόσβαση, τεκμήρια και βασικές γραμμές.

Κανονικό μοντέλο τεκμηρίων

Χρησιμοποιεί τα REG02, REG08, REG10 και REG12 ως ελέγξιμα αντικείμενα τεκμηρίων για τη διασφάλιση PIMS.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Συμμόρφωση Ασφάλεια Πληροφορικής Κίνδυνος Έλεγχος

🏷️ Θεματική κάλυψη

Διαχείριση πληροφοριών ιδιωτικότητας επεξεργασία δεδομένων προσωπικού χαρακτήρα αρμοδιότητες υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία διαχείριση τρίτων μερών ταξινόμηση δεδομένων διαχείριση παραβιάσεων διαχείριση κινδύνων
€49

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
PII Security and Access Control Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 6