policy ISO 27701 PIMS Policy Pack

Isikut tuvastava teabe turbe ja juurdepääsukontrolli poliitika

Määratleb auditiks sobivad isikut tuvastava teabe turbe- ja juurdepääsukontrollid ISO/IEC 27701 jaoks, hõlmates juurdepääsu, autentimist, krüptimist, logimist ja tõendusmaterjali.

Ülevaade

See poliitika määratleb isikut tuvastava teabe spetsiifilised turbe- ja juurdepääsukontrollid süsteemidele, teenustele, seadmetele, pilvekeskkondadele ja protsessidele. See hõlmab juurdepääsu, autentimist, privilegeeritud juurdepääsu, krüptimist, logimist, konfiguratsiooni, haavatavuste haldust, lõppseadmete ja pilve kontrollimeetmeid ning tõendusmaterjali seoseid REG02, REG08, REG10 ja REG12-ga.

Isikut tuvastava teabe turbe baastase

Määratleb isikut tuvastava teabe spetsiifilised turbenõuded süsteemidele, teenustele, seadmetele, pilvekeskkondadele ja operatiivsetele protsessidele.

Kontrollitud juurdepääs isikut tuvastavale teabele

Nõuab heakskiidetud rolle, ärieesmärgil põhinevat heakskiitu, juurdepääsuõiguste läbivaatamist ning toetuseta või mittevajaliku juurdepääsu kiiret eemaldamist isikut tuvastavale teabele.

Tõendusmaterjaliga seotud kindlus

Seob juurdepääsu, logimise, haavatavuste, konfiguratsiooni ja erandite tõendusmaterjali REG02, REG08, REG10 ja REG12 kirjete ja tõendusobjektidega.

Volitatud töötleja vastutuse piirid

Dokumenteerib kliendi juhised, volitatud töötleja kohustused, alltöötleja juurdepääsu ja pilve jagatud vastutuse piirid.

Loe täielikku ülevaadet (click to expand)
Isikut tuvastava teabe turbe ja juurdepääsukontrolli poliitika määratleb organisatsiooni isikut tuvastava teabe spetsiifilised nõuded isikuandmete kaitsmiseks süsteemides, rakendustes, teenustes, seadmetes, pilvekeskkondades ja operatiivsetes protsessides. Seda kohaldatakse olukordades, kus isikut tuvastavat teavet säilitatakse, edastatakse, töödeldakse, sellele juurde pääsetakse, seda hallatakse või kaitstakse, ning see hõlmab vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekste. Poliitika on selgesõnaliselt kavandatud integreeruma olemasolevate infoturbe praktikatega, mitte asendama täielikku infoturbe juhtimissüsteemi, võrguturbe poliitikat, turvalise arenduse poliitikat, varunduspoliitikat, lõppseadmete poliitikat, pilveturbe poliitikat, krüptograafilist standardit, haavatavuste halduse protseduuri või intsidentidele reageerimise protseduuri. Selle peamine eesmärk on tagada, et isikut tuvastav teave oleks kogu töötlemise vältel kaitstud asjakohaste, riskipõhiste ja auditiks sobivate turbe- ja juurdepääsukontrollidega. Selle eesmärgi toetamiseks kehtestab poliitika isikut tuvastava teabe turbe baastaseme ning nõuab jälgitavat tõendusmaterjali REG02, REG08, REG10 ja REG12 kaudu. See tõendusmudel on poliitika keskne osa: operatiivsed logid, turbetööriistade väljundid, juurdepääsuõiguste läbivaatamise ekspordid, haavatavuste aruanded ja konfiguratsiooni tõendusmaterjal võib lisada kanoonilistele tõendusobjektidele, nendes kokku võtta või neile viidata, kuid neid ei käsitata eraldi PIMS-i registritena. See võimaldab organisatsioonil tõendada, et kontrollimeetmed on kavandatud, rakendatud, läbi vaadatud, seiratud ja täiustatud, ilma turbekirjeid dubleerimata. Poliitika sätestab üksikasjalikud nõuded juurdepääsukontrollile, autentimisele ja privilegeeritud juurdepääsule. Juurdepääs isikut tuvastavale teabele peab olema piiratud heakskiidetud rollide ja autoriseeritud kasutajatega, kes on registreeritud või jälgitavad REG02-s või REG12-s, ning ärieesmärk peab olema heaks kiidetud enne juurdepääsuõiguste andmist. Suure mõjuga või tundlikku isikut tuvastavat teavet sisaldavad süsteemid nõuavad kasutajate juurdepääsuõiguste läbivaatamist vähemalt kord kvartalis, samas kui muud isikut tuvastavat teavet sisaldavad süsteemid nõuavad läbivaatamist vähemalt kord aastas. Juurdepääs tuleb eemaldada või muuta ühe tööpäeva jooksul pärast rollimuudatust, töösuhte lõpetamist, lepingu lõppemist või siis, kui juurdepääsu enam ei vajata. Privilegeeritud juurdepääs nõuab enne andmist dokumenteeritud põhjendust, kohaldamisala ja heakskiitu, suure mõjuga või tundlikku isikut tuvastavat teavet sisaldavate süsteemide puhul igakuist läbivaatamist ning muude isikut tuvastavat teavet sisaldavate süsteemide puhul kvartaalset läbivaatamist. Poliitika käsitleb ka tehnilisi turbeootusi autentimise, krüptimise, turvalise salvestamise, logimise, seire, konfiguratsiooni, haavatavuste halduse, lõppseadmete juurdepääsu ja pilvejuurdepääsu kohta. Isikut tuvastavale teabele juurdepääsuga kontode puhul nõutakse unikaalseid kasutajaidentiteete ning privilegeeritud, kaug-, haldus- või suure mõjuga juurdepääsu puhul isikut tuvastavale teabele nõutakse tugevat autentimist. Krüptimine või heakskiidetud kompenseeriv kaitse tuleb määratleda enne, kui suure mõjuga, tundlikku või väliselt edastatavat isikut tuvastavat teavet säilitatakse, edastatakse või tehakse kättesaadavaks. Logimise kohaldamisala peab hõlmama autentimissündmusi, juurdepääsusündmusi, privilegeeritud toiminguid, isikut tuvastava teabe eksporditegevust ja olulisi konfiguratsioonimuudatusi. Konfiguratsiooni staatus ja haavatavuste katvus tuleb registreerida REG12-s ning lahendamata kõrge riskiga haavatavused, mis mõjutavad isikut tuvastavat teavet, tuleb registreerida viie tööpäeva jooksul pärast valideerimist. Juhtimiskohustused on jaotatud tippjuhtkonna, privaatsusvaldkonna juhi / PIMS-i juhi, andmekaitseametniku / privaatsusnõustaja, infoturbe juhi, protsessiomaniku / ettevõtte omaniku, süsteemiomaniku / rakenduse omaniku, tarnija / hanke omaniku, intsidentidele reageerimise koordinaatori ning siseauditi / vastavuse läbivaataja vahel. Poliitika nõuab REG02, REG08, REG10 ja REG12 lõikes tõendusmaterjali täielikkuse kvartaalset läbivaatamist, baastaseme tõhususe ja lahendamata puudujääkide kvartaalset läbivaatamist ning juurdepääsuõiguste läbivaatamiste, privilegeeritud juurdepääsu läbivaatamiste, logimise tõendusmaterjali ja konfiguratsiooni tõendusmaterjali auditivalimit. Erandid tuleb registreerida enne aktiveerimist, need peavad sisaldama aegumistähtaega, kompenseerivat kontrollimeedet ja läbivaatamise kuupäeva ning need peavad saama tippjuhtkonna heakskiidu, kui need mõjutavad suure mõjuga isikut tuvastavat teavet, tundlikku isikut tuvastavat teavet, privilegeeritud juurdepääsu, krüptimist, logimist või lahendamata kõrge riskiga haavatavusi.

Poliitika diagramm

Protsessivoo diagramm, mis näitab isikut tuvastava teabe töötlemiskonteksti liikumist turbe baastaseme määratlusse, juurdepääsu heakskiitu, autentimise ja privilegeeritud juurdepääsu kontrollimeetmetesse, krüptimisse, logimisse, haavatavuste läbivaatamisse, tõendusmaterjali kogumisse REG02, REG08, REG10 ja REG12 objektides, erandite käsitlemisse, seiresse ja juhtkonna läbivaatamisse.

Klõpsake diagrammil, et vaadata seda täissuuruses

Sisu

Isikut tuvastava teabe turbe baastase ja ISMS-i integratsioon

Juurdepääsukontroll ja privilegeeritud juurdepääsu läbivaatamised

Autentimise ja kontoerandite nõuded

Krüptimine, turvaline salvestamine, logimine ja seire

Turvaline konfiguratsioon ning haavatavuste, lõppseadmete ja pilve kontrollimeetmed

REG02, REG08, REG10 ja REG12 tõendusmaterjali seosed

Raamistiku vastavus

🛡️ Toetatud standardid ja raamistikud

See toode on kooskõlas järgmiste vastavusraamistikkudega, üksikasjalike klauslite ja kontrolli kaardistustega.

Raamistik Kaetud klauslid / Kontrollid
ISO/IEC 27701:2025
Clause 6.1.3Clause 8.1Clause 7.5Clause 9.1Clause 10.2Annex A.3.8Annex A.3.9Annex A.3.22Annex A.3.23Annex A.3.25Annex A.3.26Annex A.3.28Annex A.3.29Annex A.3.14Annex A.3.15Annex A.3.16
EU GDPR
Article 5(1)(f)Article 5(2)Article 24Article 28Article 32
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A control 8.1Annex A control 8.2Annex A control 8.3Annex A control 8.5Annex A control 8.8Annex A control 8.9Annex A control 8.15Annex A control 8.16Annex A control 8.20Annex A control 8.24
ISO/IEC 27002:2022
Control 8.1Control 8.2Control 8.3Control 8.5Control 8.8Control 8.9Control 8.15Control 8.16Control 8.20Control 8.24
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 9.4.2Clause 9.4.3Clause 9.4.4Clause 9.4.5Clause 10.1.2Clause 10.1.3Clause 12.1.5Clause 18.1.5Clause 18.2.2Clause 18.2.3Clause 18.2.4

Seotud poliitikad

Töötlemise register ja õigusliku aluse poliitika

Isikut tuvastavale teabele juurdepääsu heakskiidud sõltuvad registreeritud töötlemiskontekstist, tundlikkusest ja ärilisest juurdepääsuvajadusest.

Privaatsusriskide hindamise ja DPIA poliitika

Riskide ja DPIA tulemused määravad nõutava isikut tuvastava teabe turbe, autentimise, krüptimise ja erandite läbivaatamise taseme.

Volitatud töötleja, alltöötleja ja kolmanda osapoole privaatsuse halduse poliitika

Volitatud töötleja ja alltöötleja turbega seotud vastutused, juurdepääsupiirid ja tõendusmaterjal registreeritakse REG08 kaudu.

Intsidentide ja rikkumiste halduse poliitika

Kahtlustatav loata juurdepääs, avalikustamine, kompromiteerimine või isikut tuvastava teabe kadu tuleb avada või siduda REG10 intsidendikirjetena.

PIMS-i dokumenteeritud teabe ja tõendusmaterjali halduse poliitika

Poliitika tugineb auditiks valmis oleku tagamiseks jälgitavale dokumenteeritud tõendusmaterjalile REG02-s, REG08-s, REG10-s ja REG12-s.

PIMS-i seire, auditi ja täiustamise poliitika

Isikut tuvastava teabe turbe tõendusmaterjali, juurdepääsuõiguste läbivaatamisi, logimist ja konfiguratsiooni tõendusmaterjali valimit kontrollitakse ning vaadatakse läbi PIMS-i järelevalve kaudu.

Claryseci poliitikate kohta - Isikut tuvastava teabe turbe ja juurdepääsukontrolli poliitika

Isikut tuvastava teabe turbe ja juurdepääsukontrolli poliitika kehtestab isikut tuvastava teabe spetsiifilised turbe- ja juurdepääsukontrolli nõuded privaatsusteabe haldussüsteemis. See seob töötlemiskonteksti, juurdepääsuvajaduse, volitatud töötleja vastutuse, turbeleidud ja rakendamise tõendusmaterjali REG02, REG08, REG10 ja REG12-ga. Poliitikat kohaldatakse vastutava töötleja, kaasvastutava töötleja, volitatud töötleja ja alltöötleja kontekstides ning see määratleb nõuded juurdepääsukontrollile, autentimisele, privilegeeritud juurdepääsule, krüptimisele, logimisele, turvalisele konfiguratsioonile, haavatavuste haldusele, lõppseadmete kontrollimeetmetele ja pilvejuurdepääsu piiridele. See toetab auditiks sobivat PIMS-i kindlust, nõudes tõendusmaterjali registreerimist, sidumist, läbivaatamist ja säilitamist ilma olemasolevaid infoturbepoliitikaid asendamata.

Isikut tuvastava teabe spetsiifiline kontrollimeetmete kohaldamisala

Hõlmab süsteeme, rakendusi, teenuseid, seadmeid, pilvekeskkondi ja protsesse, mis käitlevad või kaitsevad isikut tuvastavat teavet.

Selge rollipõhine vastutus

Määrab vastutused privaatsuse, turbe, süsteemide, protsesside, tarnijate, intsidentidele reageerimise ja auditi rollidele.

Määratletud läbivaatamise sagedus

Kehtestab juurdepääsu, privilegeeritud juurdepääsu, tõendusmaterjali ja baastasemete igakuised, kvartaalsed, iga-aastased ning sündmuspõhised läbivaatamised.

Kanooniline tõendusmudel

Kasutab REG02, REG08, REG10 ja REG12 objekte PIMS-i kindluse auditiks sobivate tõendusobjektidena.

Korduma kippuvad küsimused

Loodud juhtidele, juhtide poolt

Selle poliitika on koostanud turbejuht, kellel on üle 25 aasta kogemust ISMS-raamistike juurutamisel ja auditeerimisel globaalsetes organisatsioonides. See ei ole mõeldud vaid dokumendina, vaid kaitstava raamistikuna, mis peab vastu audiitori kontrollile.

Koostanud ekspert järgmiste kvalifikatsioonidega:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Katvus ja teemad

🏢 Sihtosakond

Privaatsus vastavus IT-turve risk audit

🏷️ Temaatiline katvus

privaatsusteabe haldus isikuandmete töötlemine vastutava töötleja ja volitatud töötleja vastutused kolmandate osapoolte haldus andmete klassifitseerimine rikkumiste haldus riskijuhtimine
€49

Ühekordne ost

Kohene allalaadimine
Eluaegsed uuendused

See poliitika on 1 25-st täielikus ISO/IEC 27701 PIMS-paketis

Säästke 52%

Hankige kõik 25 PIMS-poliitikat, täielik registrikomplekt ja üksikasjalik rakenduskava hinnaga €799 üksikult ostetava €1 675 asemel.

Vaata täielikku 27701 paketti →
PII Security and Access Control Policy

Toote üksikasjad

Tüüp: policy
Kategooria: ISO 27701 PIMS Policy Pack
Standardid: 6