policy ISO 27701 PIMS Policy Pack

Henkilötietojen tietoturva- ja pääsynhallintapolitiikka

Määritä todennettavissa olevat henkilötietojen tietoturva- ja pääsynhallintakontrollit ISO/IEC 27701 -standardia varten, kattaen pääsyn, todennuksen, salauksen, lokituksen ja todentavan aineiston.

Yleiskatsaus

Tämä politiikka määrittää henkilötietoja koskevat tietoturva- ja pääsynhallintakontrollit järjestelmille, palveluille, laitteille, pilviympäristöille ja prosesseille. Se kattaa pääsyn, todennuksen, etuoikeutetun pääsyn, salauksen, lokituksen, konfiguraation, haavoittuvuuksien hallinnan, päätelaitesuojauskontrollit ja pilvikontrollit sekä kytkee todentavan aineiston REG02-, REG08-, REG10- ja REG12-kohteisiin.

Henkilötietojen tietoturvan perustaso

Määrittää henkilötietoja koskevat tietoturvavaatimukset järjestelmille, palveluille, laitteille, pilviympäristöille ja operatiivisille prosesseille.

Hallittu pääsy henkilötietoihin

Edellyttää hyväksyttyjä rooleja, liiketoimintatarkoitukseen perustuvaa hyväksyntää, käyttöoikeuskatselmointeja sekä tukemattoman tai tarpeettoman henkilötietoihin kohdistuvan pääsyn nopeaa poistamista.

Todentavaan aineistoon kytketty varmentaminen

Kytkee pääsynhallintaa, lokitusta, haavoittuvuuksia, konfiguraatiota ja poikkeuksia koskevan todentavan aineiston REG02-, REG08-, REG10- ja REG12-kohteisiin.

Henkilötietojen käsittelijän vastuun rajat

Dokumentoi asiakkaan ohjeet, henkilötietojen käsittelijän sitoumukset, alikäsittelijän pääsyn ja pilviympäristöjen jaetun vastuun rajat.

Lue koko yleiskatsaus (click to expand)
Henkilötietojen tietoturva- ja pääsynhallintapolitiikka määrittää organisaation henkilötietoja koskevat vaatimukset henkilötietojen suojaamiseksi järjestelmissä, sovelluksissa, palveluissa, laitteissa, pilviympäristöissä ja operatiivisissa prosesseissa. Sitä sovelletaan tilanteissa, joissa henkilötietoja säilytetään, siirretään, käsitellään, käytetään, ylläpidetään tai suojataan, ja se kattaa rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän toimintaympäristöt. Politiikka on nimenomaisesti suunniteltu integroitumaan olemassa oleviin tietoturvallisuuskäytäntöihin eikä korvaamaan täysimittaista tietoturvallisuuden hallintajärjestelmää, verkkoturvallisuuspolitiikkaa, turvallisen kehityksen politiikkaa, varmuuskopiointipolitiikkaa, päätelaitepolitiikkaa, pilviturvallisuuspolitiikkaa, kryptografista standardia, haavoittuvuuksien hallinnan menettelyä tai tietoturvapoikkeamiin reagoinnin menettelyä. Sen keskeisenä tarkoituksena on varmistaa, että henkilötiedot suojataan asianmukaisilla, riskiperusteisilla ja todennettavissa olevilla tietoturva- ja pääsynhallintakontrolleilla koko käsittelyn ajan. Tätä tarkoitusta varten politiikka muodostaa henkilötietojen tietoturvan perustason ja edellyttää jäljitettävissä olevaa todentavaa aineistoa REG02-, REG08-, REG10- ja REG12-kohteiden kautta. Tämä todentavan aineiston malli on politiikan keskeinen osa: operatiiviset lokit, tietoturvatyökalujen tuotokset, käyttöoikeuskatselmointien viennit, haavoittuvuusraportit ja konfiguraation todentava aineisto voidaan liittää kanonisiin näyttöobjekteihin, tiivistää niihin tai viitata niistä, mutta niitä ei käsitellä erillisinä PIMS-rekistereinä. Näin organisaatio voi osoittaa, että kontrollit on suunniteltu, toteutettu, katselmoitu, seurattu ja parannettu ilman tietoturvatallenteiden päällekkäistä ylläpitoa. Politiikka asettaa yksityiskohtaiset vaatimukset pääsynhallinnalle, todennukselle ja etuoikeutetulle pääsylle. Pääsy henkilötietoihin tulee rajata hyväksyttyihin rooleihin ja valtuutettuihin käyttäjiin, jotka on kirjattu tai jotka ovat jäljitettävissä REG02- tai REG12-kohteessa, ja liiketoimintatarkoitus tulee hyväksyä ennen käyttöoikeuksien myöntämistä. Vaikutuksiltaan merkittävät tai arkaluonteiset henkilötietojärjestelmät edellyttävät käyttäjien käyttöoikeuskatselmointeja vähintään neljännesvuosittain, kun taas muut henkilötietojärjestelmät edellyttävät vähintään vuosittaista katselmointia. Pääsy tulee poistaa tai muuttaa yhden työpäivän kuluessa roolimuutoksesta, työsuhteen päättämisestä, sopimuksen päättymisestä tai siitä, kun pääsyä ei enää tarvita. Etuoikeutettu pääsy edellyttää dokumentoitua perustelua, soveltamisalaa ja hyväksyntää ennen myöntämistä, ja se tulee katselmoida kuukausittain vaikutuksiltaan merkittävissä tai arkaluonteisissa henkilötietojärjestelmissä sekä neljännesvuosittain muissa henkilötietojärjestelmissä. Politiikka käsittelee myös teknisiä tietoturvaodotuksia, jotka koskevat todennusta, salausta, turvallista säilytystä, lokitusta, seurantaa, konfiguraatiota, haavoittuvuuksien hallintaa, päätelaitteiden pääsyä ja pilvipääsyä. Henkilötietoihin pääsyn sisältäviltä tileiltä edellytetään yksilöllisiä käyttäjäidentiteettejä, ja vahva tunnistautuminen vaaditaan etuoikeutetussa, etäkäytössä tapahtuvassa, ylläpidollisessa tai vaikutuksiltaan merkittävässä henkilötietoihin kohdistuvassa pääsyssä. Salaus tai hyväksytty kompensoiva suojaus tulee määrittää ennen kuin vaikutuksiltaan merkittäviä, arkaluonteisia tai ulkoisesti siirrettäviä henkilötietoja säilytetään, siirretään tai asetetaan saataville. Lokituksen laajuuden tulee kattaa todennustapahtumat, pääsytapahtumat, etuoikeutetut toimet, henkilötietojen vientitoiminta ja olennaiset konfiguraatiomuutokset. Konfiguraation tila ja haavoittuvuuksien kattavuus tulee kirjata REG12-kohteeseen, ja henkilötietoihin vaikuttavat ratkaisemattomat korkean riskin haavoittuvuudet tulee kirjata viiden työpäivän kuluessa validoinnista. Hallinnointivastuut osoitetaan ylimmälle johdolle, tietosuojavastaavalle / PIMS-päällikölle, Data Protection Officerille / tietosuojaneuvonantajalle, tietoturvavastaavalle, prosessien omistajalle / liiketoimintavastaavalle, järjestelmäomistajalle / sovellusomistajalle, toimittajalle / hankintaomistajalle, tietoturvapoikkeamiin reagoinnin koordinaattorille sekä sisäiselle tarkastukselle / vaatimustenmukaisuuden katselmoijalle. Politiikka edellyttää todentavan aineiston täydellisyyden neljännesvuosittaisia katselmointeja REG02-, REG08-, REG10- ja REG12-kohteissa, perustason tehokkuuden ja ratkaisemattomien puutteiden neljännesvuosittaista katselmointia sekä käyttöoikeuskatselmointien, etuoikeutetun pääsyn katselmointien, lokitusta koskevan todentavan aineiston ja konfiguraation todentavan aineiston auditointiotantaa. Poikkeukset tulee kirjata ennen aktivointia, ja niiden tulee sisältää päättymisaika, kompensoiva hallintakeino ja katselmointipäivä. Ylimmän johdon hyväksyntä vaaditaan, kun poikkeukset vaikuttavat vaikutuksiltaan merkittäviin henkilötietoihin, arkaluonteisiin henkilötietoihin, etuoikeutettuun pääsyyn, salaukseen, lokitukseen tai ratkaisemattomiin korkean riskin haavoittuvuuksiin.

Käytäntökaavio

Prosessikaavio, jossa henkilötietojen käsittelyn toimintaympäristö etenee tietoturvan perustason määrittelyyn, pääsyn hyväksyntään, todennuksen ja etuoikeutetun pääsyn kontrolleihin, salaukseen, lokitukseen, haavoittuvuuksien katselmointiin, todentavan aineiston tallentamiseen REG02-, REG08-, REG10- ja REG12-kohteisiin, poikkeusten käsittelyyn, seurantaan ja johdon katselmointiin.

Napsauta kaaviota nähdäksesi sen täydessä koossa

Sisältö

Henkilötietojen tietoturvan perustaso ja ISMS-integraatio

Pääsynhallinta ja etuoikeutetun pääsyn katselmoinnit

Todennuksen ja käyttäjätilipoikkeusten vaatimukset

Salaus, turvallinen säilytys, lokitus ja seuranta

Turvallinen konfigurointi, haavoittuvuuksien hallinta, päätelaitesuojauksen kontrollit ja pilvikontrollit

REG02-, REG08-, REG10- ja REG12-todentavan aineiston linkitys

Kehysmääräysten noudattaminen

🛡️ Tuetut standardit ja kehykset

Tämä tuote on linjassa seuraavien vaatimustenmukaisuuskehysten kanssa, yksityiskohtaisilla lauseke- ja valvontamappingeillä.

Kehys Katetut lausekkeet / Kontrollit
ISO/IEC 27701:2025
Clause 6.1.3Clause 8.1Clause 7.5Clause 9.1Clause 10.2Annex A.3.8Annex A.3.9Annex A.3.22Annex A.3.23Annex A.3.25Annex A.3.26Annex A.3.28Annex A.3.29Annex A.3.14Annex A.3.15Annex A.3.16
EU GDPR
Article 5(1)(f)Article 5(2)Article 24Article 28Article 32
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A control 8.1Annex A control 8.2Annex A control 8.3Annex A control 8.5Annex A control 8.8Annex A control 8.9Annex A control 8.15Annex A control 8.16Annex A control 8.20Annex A control 8.24
ISO/IEC 27002:2022
Control 8.1Control 8.2Control 8.3Control 8.5Control 8.8Control 8.9Control 8.15Control 8.16Control 8.20Control 8.24
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 9.4.2Clause 9.4.3Clause 9.4.4Clause 9.4.5Clause 10.1.2Clause 10.1.3Clause 12.1.5Clause 18.1.5Clause 18.2.2Clause 18.2.3Clause 18.2.4

Liittyvät käytännöt

Käsittelytoimien luetteloa ja oikeusperustetta koskeva politiikka

Henkilötietoihin kohdistuvan pääsyn hyväksynnät perustuvat kirjattuun käsittelyn toimintaympäristöön, arkaluonteisuuteen ja liiketoiminnan pääsytarpeisiin.

Tietosuojariskien arviointia ja DPIA-menettelyä koskeva politiikka

Riskien ja DPIA-menettelyn tulokset ohjaavat vaadittavaa henkilötietojen tietoturvan, todennuksen, salauksen ja poikkeusten katselmoinnin tasoa.

Henkilötietojen käsittelijöiden, alikäsittelijöiden ja kolmansien osapuolten tietosuojahallinnan politiikka

Henkilötietojen käsittelijän ja alikäsittelijän tietoturvavastuut, pääsyn rajat ja todentava aineisto kirjataan REG08-kohteen kautta.

Poikkeamien ja tietoturvaloukkausten hallintapolitiikka

Epäilty luvaton pääsy, luovutus, vaarantuminen tai henkilötietojen menetys tulee avata tai linkittää REG10-poikkeamatallenteina.

PIMS-dokumentoidun tiedon ja todentavan aineiston hallintapolitiikka

Politiikka perustuu jäljitettävissä olevaan dokumentoituun todentavaan aineistoon REG02-, REG08-, REG10- ja REG12-kohteissa vaatimustenmukaisuusvalmiuden osoittamiseksi.

PIMS-seuranta-, auditointi- ja parantamispolitiikka

Henkilötietojen tietoturvaa koskevaa todentavaa aineistoa, käyttöoikeuskatselmointeja, lokitusta ja konfiguraation todentavaa aineistoa otetaan otannalla ja katselmoidaan PIMS-valvonnan kautta.

Tietoa Clarysecin käytännöistä - Henkilötietojen tietoturva- ja pääsynhallintapolitiikka

Henkilötietojen tietoturva- ja pääsynhallintapolitiikka määrittää henkilötietoja koskevat tietoturva- ja pääsynhallintavaatimukset henkilötietojen hallintajärjestelmässä. Se kytkee käsittelyn toimintaympäristön, pääsytarpeen, henkilötietojen käsittelijän vastuut, tietoturvahavainnot ja toteutusta koskevan todentavan aineiston REG02-, REG08-, REG10- ja REG12-kohteisiin. Politiikkaa sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän toimintaympäristöihin, ja se määrittää vaatimukset pääsynhallinnalle, todennukselle, etuoikeutetulle pääsylle, salaukselle, lokitukselle, turvalliselle konfiguroinnille, haavoittuvuuksien hallinnalle, päätelaitesuojauksen kontrolleille ja pilvipääsyn rajoille. Se tukee todennettavissa olevaa PIMS-varmentamista edellyttämällä, että todentava aineisto kirjataan, linkitetään, katselmoidaan ja ylläpidetään ilman olemassa olevien tietoturvapolitiikkojen korvaamista.

Henkilötietokohtainen kontrollien soveltamisala

Kattaa järjestelmät, sovellukset, palvelut, laitteet, pilviympäristöt ja prosessit, jotka käsittelevät tai suojaavat henkilötietoja.

Selkeä roolien vastuiden osoitettavuus

Osoittaa vastuut tietosuojan, tietoturvan, järjestelmien, prosessien, toimittajien, tietoturvapoikkeamiin reagoinnin ja auditoinnin rooleille.

Määritetty katselmointitiheys

Asettaa kuukausittaiset, neljännesvuosittaiset, vuosittaiset ja tapahtumaperusteiset katselmoinnit pääsylle, etuoikeutetulle pääsylle, todentavalle aineistolle ja perustasoille.

Kanoninen todentavan aineiston malli

Käyttää REG02-, REG08-, REG10- ja REG12-kohteita todennettavissa olevina näyttöobjekteina PIMS-varmentamista varten.

Usein kysytyt kysymykset

Suunniteltu johtajille, johtajien toimesta

Tämän käytännön on laatinut tietoturvajohtaja, jolla on yli 25 vuoden kokemus ISMS-viitekehysten käyttöönotosta ja auditoinnista globaaleissa organisaatioissa. Se ei ole pelkkä asiakirja, vaan puolustettava viitekehys, joka kestää auditorin tarkastelun.

Laatinut asiantuntija, jolla on seuraavat pätevyydet:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Kattavuus & Aiheet

🏢 Kohdeosastot

Tietosuoja vaatimustenmukaisuus IT-tietoturva riskienhallinta auditointi

🏷️ Aiheen kattavuus

Henkilötietojen hallinta henkilötietojen käsittely rekisterinpitäjän ja henkilötietojen käsittelijän vastuut kolmansien osapuolten hallinta tietojen luokittelu tietoturvaloukkausten hallinta riskienhallinta
€49

Kertaosto

Välitön lataus
Elinikäiset päivitykset

Tämä käytäntö on 1/25 täydellisessä ISO/IEC 27701 PIMS -paketissa

Säästä 52%

Hanki kaikki 25 PIMS-käytäntöä, täydellinen rekisterisarja ja yksityiskohtainen toteutussuunnitelma hintaan €799 erikseen ostettujen €1 675 sijaan.

Katso täydellinen 27701-paketti →
PII Security and Access Control Policy

Tuotetiedot

Tyyppi: policy
Luokka: ISO 27701 PIMS Policy Pack
Standardit: 6