policy ISO 27701 PIMS Policy Pack

Politika sigurnosti i kontrole pristupa osobnim podacima (PII)

Definirajte revizijski provjerljive sigurnosne kontrole i kontrole pristupa za osobne podatke (PII) prema ISO/IEC 27701, uključujući pristup, autentifikaciju, šifriranje, zapisivanje događaja i dokaze.

Pregled

Ova politika definira sigurnosne kontrole i kontrole pristupa specifične za PII za sustave, usluge, uređaje, okruženja u oblaku i procese. Obuhvaća pristup, autentifikaciju, pristup s povišenim ovlastima, šifriranje, zapisivanje događaja, konfiguraciju, ranjivosti, kontrole krajnjih uređaja i kontrole u oblaku, s dokazima povezanima s REG02, REG08, REG10 i REG12.

Polazna osnova sigurnosti PII-ja

Definira sigurnosne zahtjeve specifične za PII za sustave, usluge, uređaje, okruženja u oblaku i operativne procese.

Kontrolirani pristup PII-ju

Zahtijeva odobrene uloge, odobrenje poslovne svrhe, preglede pristupa te brzo uklanjanje nepotkrijepljenog ili nepotrebnog pristupa PII-ju.

Osiguranje povezano s dokazima

Povezuje dokaze o pristupu, zapisivanju događaja, ranjivostima, konfiguraciji i iznimkama s REG02, REG08, REG10 i REG12.

Granice izvršitelja obrade

Evidentira upute klijenta, obveze izvršitelja obrade, pristup podizvršitelja obrade i granice podijeljene odgovornosti u oblaku.

Pročitaj cijeli pregled (click to expand)
Politika sigurnosti i kontrole pristupa osobnim podacima (PII) definira zahtjeve organizacije specifične za PII za zaštitu osobnih informacija u sustavima, aplikacijama, uslugama, uređajima, okruženjima u oblaku i operativnim procesima. Primjenjuje se ondje gdje se PII pohranjuje, prenosi, obrađuje, gdje mu se pristupa, gdje se administrira ili štiti, a obuhvaća kontekste voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade. Politika je izričito osmišljena za integraciju s postojećim praksama informacijske sigurnosti, a ne kao zamjena za cjelovit sustav upravljanja informacijskom sigurnošću, Politiku sigurnosti mreže, Politiku sigurnog razvoja, politiku sigurnosnog kopiranja, politiku krajnjih uređaja, politiku sigurnosti oblaka, kriptografski standard, postupak upravljanja ranjivostima ili postupak odgovora na incidente. Njezina je temeljna svrha osigurati da su PII zaštićeni odgovarajućim, s rizikom usklađenim i revizijski provjerljivim sigurnosnim kontrolama i kontrolama pristupa tijekom cijele obrade. U tu svrhu politika uspostavlja polaznu osnovu sigurnosti PII-ja i zahtijeva sljedive dokaze kroz REG02, REG08, REG10 i REG12. Ovaj model dokaza središnji je element politike: operativni dnevnički zapisi, izlazni rezultati sigurnosnih alata, izvozi pregleda pristupa, izvješća o ranjivostima i dokazi o konfiguraciji mogu se priložiti kanonskim objektima dokaza, sažeti u njima ili referencirati iz njih, ali se ne tretiraju kao zasebni PIMS-registri. Time se organizaciji omogućuje da dokaže da su kontrole planirane, implementirane, pregledane, praćene i poboljšane bez dupliciranja sigurnosnih zapisa. Politika postavlja detaljne zahtjeve za kontrolu pristupa, autentifikaciju i pristup s povišenim ovlastima. Pristup PII-ju mora biti ograničen na odobrene uloge i ovlaštene korisnike evidentirane ili sljedive u REG02 ili REG12, a poslovna svrha mora biti odobrena prije dodjele pristupa. Sustavi s PII-jem visokog utjecaja ili osjetljivi PII-sustavi zahtijevaju najmanje tromjesečne preglede korisničkog pristupa, dok drugi PII-sustavi zahtijevaju najmanje godišnji pregled. Pristup se mora ukloniti ili izmijeniti u roku od jednog radnog dana nakon promjene uloge, prestanka radnog odnosa, završetka ugovora ili kada pristup više nije potreban. Pristup s povišenim ovlastima zahtijeva dokumentirano obrazloženje, opseg i odobrenje prije dodjele, uz mjesečni pregled za sustave s PII-jem visokog utjecaja ili osjetljive PII-sustave te tromjesečni pregled za druge PII-sustave. Politika također uređuje tehnička sigurnosna očekivanja za autentifikaciju, šifriranje, sigurnu pohranu, zapisivanje događaja, praćenje, konfiguraciju, upravljanje ranjivostima, pristup krajnjim uređajima i pristup oblaku. Jedinstveni korisnički identiteti obvezni su za račune s pristupom PII-ju, a snažna autentifikacija obvezna je za pristup PII-ju s povišenim ovlastima, udaljeni, administratorski ili visokog utjecaja. Šifriranje ili odobrena kompenzacijska zaštita mora biti definirana prije nego što se PII visokog utjecaja, osjetljivi PII ili PII koji se prenosi prema van pohrane, prenesu ili učine dostupnima. Opseg zapisivanja događaja mora obuhvatiti događaje autentifikacije, događaje pristupa, radnje s povišenim ovlastima, aktivnost izvoza PII-ja i značajne promjene konfiguracije. Status konfiguracije i obuhvat ranjivosti moraju se evidentirati u REG12, a neriješene ranjivosti visokog rizika koje utječu na PII moraju se evidentirati u roku od pet radnih dana od validacije. Odgovornosti upravljanja dodjeljuju se najvišem rukovodstvu, voditelju privatnosti / voditelju PIMS-a, službeniku za zaštitu podataka / savjetniku za privatnost, voditelju informacijske sigurnosti, vlasniku procesa / vlasniku poslovanja, vlasniku sustava / vlasniku aplikacije, vlasniku dobavljača / nabave, koordinatoru odgovora na incidente i pregledavatelju iz unutarnje revizije / usklađenosti. Politika zahtijeva tromjesečne preglede potpunosti dokaza u REG02, REG08, REG10 i REG12, tromjesečni pregled djelotvornosti polazne osnove i neriješenih praznina te revizijsko uzorkovanje pregleda pristupa, pregleda pristupa s povišenim ovlastima, dokaza o zapisivanju događaja i dokaza o konfiguraciji. Iznimke se moraju evidentirati prije aktivacije, moraju uključivati datum isteka, kompenzacijsku kontrolu i datum pregleda te moraju dobiti odobrenje najvišeg rukovodstva kada utječu na PII visokog utjecaja, osjetljivi PII, pristup s povišenim ovlastima, šifriranje, zapisivanje događaja ili neriješene ranjivosti visokog rizika.

Dijagram politike

Dijagram tijeka procesa koji prikazuje kako kontekst obrade PII-ja prelazi u definiranje polazne osnove sigurnosti, odobrenje pristupa, kontrole autentifikacije i pristupa s povišenim ovlastima, šifriranje, zapisivanje događaja, pregled ranjivosti, prikupljanje dokaza u REG02, REG08, REG10 i REG12, postupanje s iznimkama, praćenje i preispitivanje od strane uprave.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Polazna osnova sigurnosti PII-ja i integracija s ISMS-om

Kontrola pristupa i pregledi pristupa s povišenim ovlastima

Zahtjevi za autentifikaciju i iznimke računa

Šifriranje, sigurna pohrana, zapisivanje događaja i praćenje

Sigurna konfiguracija, ranjivosti, kontrole krajnjih uređaja i kontrole u oblaku

Povezanost dokaza s REG02, REG08, REG10 i REG12

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27701:2025
Clause 6.1.3Clause 8.1Clause 7.5Clause 9.1Clause 10.2Annex A.3.8Annex A.3.9Annex A.3.22Annex A.3.23Annex A.3.25Annex A.3.26Annex A.3.28Annex A.3.29Annex A.3.14Annex A.3.15Annex A.3.16
EU GDPR
Article 5(1)(f)Article 5(2)Article 24Article 28Article 32
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A control 8.1Annex A control 8.2Annex A control 8.3Annex A control 8.5Annex A control 8.8Annex A control 8.9Annex A control 8.15Annex A control 8.16Annex A control 8.20Annex A control 8.24
ISO/IEC 27002:2022
Control 8.1Control 8.2Control 8.3Control 8.5Control 8.8Control 8.9Control 8.15Control 8.16Control 8.20Control 8.24
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 9.4.2Clause 9.4.3Clause 9.4.4Clause 9.4.5Clause 10.1.2Clause 10.1.3Clause 12.1.5Clause 18.1.5Clause 18.2.2Clause 18.2.3Clause 18.2.4

Povezane politike

Politika popisa aktivnosti obrade i pravne osnove

Odobrenja pristupa PII-ju ovise o evidentiranom kontekstu obrade, osjetljivosti i poslovnim potrebama za pristup.

Politika procjene rizika za privatnost i DPIA-e

Ishodi rizika i DPIA-e određuju potrebnu razinu sigurnosti PII-ja, autentifikacije, šifriranja i pregleda iznimaka.

Politika upravljanja privatnošću za izvršitelje obrade, podizvršitelje obrade i treće strane

Sigurnosne odgovornosti izvršitelja obrade i podizvršitelja obrade, granice pristupa i dokazi evidentiraju se kroz REG08.

Politika upravljanja incidentima i povredama

Sumnja na neovlašteni pristup, otkrivanje, kompromitaciju ili gubitak PII-ja mora se otvoriti ili povezati kao zapis incidenta REG10.

Politika upravljanja dokumentiranim informacijama i dokazima PIMS-a

Politika se oslanja na sljedive dokumentirane dokaze u REG02, REG08, REG10 i REG12 radi spremnosti za reviziju.

Politika praćenja, revizije i poboljšanja PIMS-a

Dokazi o sigurnosti PII-ja, pregledi pristupa, zapisivanje događaja i dokazi o konfiguraciji uzorkuju se i pregledavaju kroz nadzor PIMS-a.

O Clarysec politikama - Politika sigurnosti i kontrole pristupa osobnim podacima (PII)

Politika sigurnosti i kontrole pristupa osobnim podacima (PII) uspostavlja sigurnosne zahtjeve i zahtjeve kontrole pristupa specifične za PII unutar sustava upravljanja informacijama o privatnosti. Povezuje kontekst obrade, potrebu za pristupom, odgovornosti izvršitelja obrade, sigurnosne nalaze i dokaze o implementaciji s REG02, REG08, REG10 i REG12. Politika se primjenjuje na kontekste voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade te definira zahtjeve za kontrolu pristupa, autentifikaciju, pristup s povišenim ovlastima, šifriranje, zapisivanje događaja, sigurnu konfiguraciju, upravljanje ranjivostima, kontrole krajnjih uređaja i granice pristupa u oblaku. Podržava revizijski provjerljivo osiguranje PIMS-a zahtijevajući da se dokazi evidentiraju, povezuju, pregledavaju i održavaju bez zamjene postojećih politika informacijske sigurnosti.

Opseg kontrola specifičan za PII

Obuhvaća sustave, aplikacije, usluge, uređaje, okruženja u oblaku i procese koji postupaju s PII-jem ili ga štite.

Jasna odgovornost uloga

Dodjeljuje odgovornosti ulogama za privatnost, sigurnost, sustave, procese, dobavljače, odgovor na incidente i reviziju.

Definiran ritam pregleda

Uspostavlja mjesečne, tromjesečne, godišnje i događajem potaknute preglede pristupa, pristupa s povišenim ovlastima, dokaza i polaznih osnova.

Kanonski model dokaza

Koristi REG02, REG08, REG10 i REG12 kao revizijski provjerljive objekte dokaza za osiguranje PIMS-a.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

privatnost usklađenost IT-sigurnost rizik revizija

🏷️ Tematska pokrivenost

upravljanje informacijama o privatnosti obrada osobnih podataka odgovornosti voditelja obrade i izvršitelja obrade upravljanje trećim stranama klasifikacija podataka upravljanje povredama upravljanje rizicima
€49

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja

Ova politika je 1 od 25 u kompletnom ISO/IEC 27701 PIMS paketu

Uštedite 52%

Nabavite svih 25 PIMS politika, kompletan set registara i detaljan plan implementacije za €799, umjesto €1.675 pojedinačno.

Pogledaj kompletni 27701 paket →
PII Security and Access Control Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standardi: 6