policy ISO 27701 PIMS Policy Pack

Asmenį identifikuojančios informacijos (AII) saugumo ir prieigos kontrolės politika

Apibrėžkite audituojamas AII saugumo ir prieigos kontrolės priemones pagal ISO/IEC 27701, apimančias prieigą, autentifikavimą, šifravimą, žurnalavimą ir įrodymus.

Apžvalga

Ši politika apibrėžia AII taikomas saugumo ir prieigos kontrolės priemones sistemoms, paslaugoms, įrenginiams, debesijos aplinkoms ir procesams. Ji apima prieigą, autentifikavimą, privilegijuotos prieigos valdymą, šifravimą, žurnalavimą, konfigūraciją, pažeidžiamumų valdymą, galinių įrenginių ir debesijos kontrolės priemones, o įrodymai susiejami su REG02, REG08, REG10 ir REG12.

Baziniai AII saugumo reikalavimai

Apibrėžia AII taikomus saugumo reikalavimus sistemoms, paslaugoms, įrenginiams, debesijos aplinkoms ir operaciniams procesams.

Kontroliuojama AII prieiga

Reikalauja patvirtintų vaidmenų, verslo tikslo patvirtinimo, prieigos peržiūros ir greito nepagrįstos arba nereikalingos AII prieigos panaikinimo.

Įrodymais susietas patikinimas

Susieja prieigos, žurnalavimo, pažeidžiamumų, konfigūracijos ir išimčių įrodymus su REG02, REG08, REG10 ir REG12.

Duomenų tvarkytojo ribos

Registruoja kliento nurodymus, duomenų tvarkytojo įsipareigojimus, subtvarkytojo prieigą ir debesijos bendros atsakomybės ribas.

Skaityti visą apžvalgą (click to expand)
Asmenį identifikuojančios informacijos (AII) saugumo ir prieigos kontrolės politika apibrėžia organizacijos AII taikomus reikalavimus, skirtus asmens duomenims apsaugoti sistemose, taikomosiose programose, paslaugose, įrenginiuose, debesijos aplinkose ir operaciniuose procesuose. Ji taikoma, kai AII saugoma, perduodama, tvarkoma, pasiekiama, administruojama arba apsaugoma, ir apima duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstus. Politika aiškiai sukurta integruotis su esamomis informacijos saugumo praktikomis, o ne pakeisti visą informacijos saugumo valdymo sistemą, Tinklo saugumo politiką, Saugaus kūrimo politiką, atsarginių kopijų politiką, galinių įrenginių politiką, debesijos saugumo politiką, kriptografinių kontrolės priemonių standartą, pažeidžiamumų valdymo procedūrą ar reagavimo į incidentus procedūrą. Pagrindinis jos tikslas – užtikrinti, kad AII viso tvarkymo metu būtų apsaugota tinkamomis, su rizika suderintomis ir audituojamomis saugumo ir prieigos kontrolės priemonėmis. Šiam tikslui įgyvendinti politika nustato bazinius AII saugumo reikalavimus ir reikalauja atsekamų įrodymų per REG02, REG08, REG10 ir REG12. Šis įrodymų modelis yra esminė politikos dalis: operaciniai žurnalai, saugumo priemonių išvestys, prieigos peržiūrų eksportai, pažeidžiamumų ataskaitos ir konfigūracijos įrodymai gali būti pridedami prie kanoninių įrodymų objektų, juose apibendrinami arba jais nurodomi, tačiau jie nelaikomi atskirais PIMS registrais. Tai leidžia organizacijai parodyti, kad kontrolės priemonės yra planuojamos, įgyvendinamos, peržiūrimos, stebimos ir tobulinamos nedubliuojant saugumo įrašų. Politika nustato išsamius reikalavimus prieigos kontrolei, autentifikavimui ir privilegijuotos prieigos valdymui. Prieiga prie AII turi būti apribota iki patvirtintų vaidmenų ir autorizuotų naudotojų, kurie yra įrašyti arba atsekami REG02 arba REG12, o verslo tikslas turi būti patvirtintas prieš prieigos suteikimą. Didelio poveikio arba jautrioms AII sistemoms reikalaujamos bent ketvirtinės naudotojų prieigos peržiūros, o kitoms AII sistemoms – bent metinė peržiūra. Prieiga turi būti panaikinta arba pakeista per vieną darbo dieną po vaidmens pakeitimo, darbo santykių nutraukimo, sutarties įvykdymo arba kai prieiga nebėra reikalinga. Privilegijuota prieiga prieš suteikimą turi turėti dokumentuotą pagrindimą, taikymo sritį ir patvirtinimą; didelio poveikio arba jautrioms AII sistemoms ji peržiūrima kas mėnesį, o kitoms AII sistemoms – kas ketvirtį. Politika taip pat apibrėžia techninius saugumo lūkesčius dėl autentifikavimo, šifravimo, saugaus saugojimo, žurnalavimo, stebėsenos, konfigūracijos, pažeidžiamumų valdymo, galinių įrenginių prieigos ir debesijos prieigos. Paskyroms, turinčioms AII prieigą, reikalingos unikalios naudotojų tapatybės, o stiprus autentifikavimas reikalingas privilegijuotai, nuotolinei, administratoriaus lygmens arba didelio poveikio AII prieigai. Šifravimas arba patvirtinta kompensuojanti apsauga turi būti apibrėžta prieš saugant, perduodant arba padarant prieinamą didelio poveikio, jautrią arba išorėje perduodamą AII. Žurnalavimo taikymo sritis turi apimti autentifikavimo įvykius, prieigos įvykius, privilegijuotus veiksmus, AII eksporto veiklą ir esminius konfigūracijos pakeitimus. Konfigūracijos būsena ir pažeidžiamumų aprėptis turi būti įrašoma REG12, o neišspręsti didelės rizikos pažeidžiamumai, darantys poveikį AII, turi būti įrašomi per penkias darbo dienas nuo validavimo. Valdysenos atsakomybės paskirstomos aukščiausiajai vadovybei, privatumo vadovui / PIMS vadovui, duomenų apsaugos pareigūnui / privatumo konsultantui, informacijos saugumo vadovui, procesų savininkui / verslo savininkui, sistemos savininkui / taikomosios programos savininkui, tiekėjų / pirkimų savininkui, reagavimo į incidentus koordinatoriui ir vidaus audito / atitikties peržiūros vykdytojui. Politika reikalauja kas ketvirtį atlikti įrodymų išsamumo peržiūras REG02, REG08, REG10 ir REG12, kas ketvirtį peržiūrėti bazinių reikalavimų veiksmingumą ir neišspręstas spragas, taip pat atlikti audito imčių atranką prieigos peržiūroms, privilegijuotos prieigos peržiūroms, žurnalavimo įrodymams ir konfigūracijos įrodymams. Išimtys turi būti įrašytos prieš aktyvavimą, apimti galiojimo pabaigą, kompensuojančią kontrolės priemonę ir peržiūros datą, o aukščiausiosios vadovybės patvirtinimas reikalingas, kai jos daro poveikį didelio poveikio AII, jautriai AII, privilegijuotai prieigai, šifravimui, žurnalavimui arba neišspręstiems didelės rizikos pažeidžiamumams.

Politikos diagrama

Proceso srauto diagrama, rodanti, kaip AII tvarkymo kontekstas pereina į saugumo bazinių reikalavimų apibrėžimą, prieigos patvirtinimą, autentifikavimo ir privilegijuotos prieigos kontrolės priemones, šifravimą, žurnalavimą, pažeidžiamumų peržiūrą, įrodymų fiksavimą REG02, REG08, REG10 ir REG12, išimčių tvarkymą, stebėseną ir vadovybės peržiūrą.

Spustelėkite diagramą, kad peržiūrėtumėte visu dydžiu

Turinys

Baziniai AII saugumo reikalavimai ir ISVS integracija

Prieigos kontrolė ir privilegijuotos prieigos peržiūros

Autentifikavimo ir paskyrų išimčių reikalavimai

Šifravimas, saugus saugojimas, žurnalavimas ir stebėsena

Saugus konfigūravimas, pažeidžiamumų valdymas, galinių įrenginių ir debesijos kontrolės priemonės

REG02, REG08, REG10 ir REG12 įrodymų sąsaja

Sistemos atitiktis

🛡️ Palaikomi standartai ir sistemos

Šis produktas yra suderintas su šiomis atitikties sistemomis su išsamiu sąlygų ir kontrolės susiejimu.

Sistema Aptariamos sąlygos / Kontrolės
ISO/IEC 27701:2025
Clause 6.1.3Clause 8.1Clause 7.5Clause 9.1Clause 10.2Annex A.3.8Annex A.3.9Annex A.3.22Annex A.3.23Annex A.3.25Annex A.3.26Annex A.3.28Annex A.3.29Annex A.3.14Annex A.3.15Annex A.3.16
EU GDPR
Article 5(1)(f)Article 5(2)Article 24Article 28Article 32
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A control 8.1Annex A control 8.2Annex A control 8.3Annex A control 8.5Annex A control 8.8Annex A control 8.9Annex A control 8.15Annex A control 8.16Annex A control 8.20Annex A control 8.24
ISO/IEC 27002:2022
Control 8.1Control 8.2Control 8.3Control 8.5Control 8.8Control 8.9Control 8.15Control 8.16Control 8.20Control 8.24
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 9.4.2Clause 9.4.3Clause 9.4.4Clause 9.4.5Clause 10.1.2Clause 10.1.3Clause 12.1.5Clause 18.1.5Clause 18.2.2Clause 18.2.3Clause 18.2.4

Susijusios politikos

Tvarkymo veiklos apskaitos ir teisinio pagrindo politika

AII prieigos patvirtinimai priklauso nuo įrašyto tvarkymo konteksto, jautrumo ir verslo prieigos poreikių.

Privatumo rizikos vertinimo ir DPIA politika

Rizikos ir DPIA rezultatai informuoja, koks AII saugumo, autentifikavimo, šifravimo ir išimčių peržiūros lygis reikalingas.

Duomenų tvarkytojų, subtvarkytojų ir trečiųjų šalių privatumo valdymo politika

Duomenų tvarkytojo ir subtvarkytojo saugumo atsakomybės, prieigos ribos ir įrodymai registruojami per REG08.

Incidentų ir pažeidimų valdymo politika

Įtariama neteisėta prieiga, atskleidimas, kompromitavimas arba AII praradimas turi būti atidaryti arba susieti kaip REG10 incidentų įrašai.

PIMS dokumentuotos informacijos ir įrodymų valdymo politika

Politika remiasi atsekamais dokumentuotais įrodymais REG02, REG08, REG10 ir REG12, kad būtų užtikrintas pasirengimas auditui.

PIMS stebėsenos, audito ir tobulinimo politika

AII saugumo įrodymai, prieigos peržiūros, žurnalavimas ir konfigūracijos įrodymai atrenkami imtimi ir peržiūrimi per PIMS priežiūrą.

Apie Clarysec politikas - Asmenį identifikuojančios informacijos (AII) saugumo ir prieigos kontrolės politika

Asmenį identifikuojančios informacijos (AII) saugumo ir prieigos kontrolės politika nustato AII skirtus saugumo ir prieigos kontrolės reikalavimus privačios informacijos apsaugos valdymo sistemai. Ji susieja tvarkymo kontekstą, prieigos poreikį, duomenų tvarkytojo atsakomybes, saugumo išvadas ir įgyvendinimo įrodymus su REG02, REG08, REG10 ir REG12. Politika taikoma duomenų valdytojo, bendro duomenų valdytojo, duomenų tvarkytojo ir subtvarkytojo kontekstams ir apibrėžia reikalavimus prieigos kontrolei, autentifikavimui, privilegijuotos prieigos valdymui, šifravimui, žurnalavimui, saugiam konfigūravimui, pažeidžiamumų valdymui, galinių įrenginių kontrolės priemonėms ir debesijos prieigos riboms. Ji palaiko audituojamą PIMS patikinimą, reikalaudama, kad įrodymai būtų registruojami, susiejami, peržiūrimi ir palaikomi, nepakeičiant esamų informacijos saugumo politikų.

AII taikoma kontrolės priemonių sritis

Apima sistemas, taikomąsias programas, paslaugas, įrenginius, debesijos aplinkas ir procesus, kurie tvarko arba apsaugo AII.

Aiški vaidmenų atskaitomybė

Priskiria atsakomybes privatumo, saugumo, sistemų, procesų, tiekėjų, reagavimo į incidentus ir audito vaidmenims.

Apibrėžtas peržiūrų periodiškumas

Nustato mėnesines, ketvirtines, metines ir įvykių inicijuojamas prieigos, privilegijuotos prieigos, įrodymų ir bazinių reikalavimų peržiūras.

Kanoninis įrodymų modelis

Naudoja REG02, REG08, REG10 ir REG12 kaip audituojamus PIMS patikinimo įrodymų objektus.

Dažniausiai užduodami klausimai

Sukurta lyderiams, lyderių

Šią politiką parengė saugumo lyderis, turintis daugiau nei 25 metų patirtį diegiant ir audituojant ISMS sistemas tarptautinėse organizacijose. Ji sukurta ne tik kaip dokumentas, bet kaip pagrįsta sistema, atlaikanti auditoriaus vertinimą.

Parengė ekspertas, turintis šias kvalifikacijas:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Aprėptis ir temos

🏢 Tiksliniai skyriai

Privatumas atitiktis IT saugumas rizika auditas

🏷️ Teminė aprėptis

Privačios informacijos apsaugos valdymas asmens duomenų tvarkymas duomenų valdytojo ir duomenų tvarkytojo atsakomybės trečiųjų šalių valdymas duomenų klasifikavimas pažeidimų valdymas rizikos valdymas
€49

Vienkartinis pirkimas

Momentinis atsisiuntimas
Visą gyvenimą trunkantys atnaujinimai

Ši politika yra 1 iš 25 visame ISO/IEC 27701 PIMS rinkinyje

Sutaupykite 52%

Gaukite visas 25 PIMS politikas, pilną registrų rinkinį ir išsamų įgyvendinimo planą už €799 vietoj €1 675 perkant atskirai.

Žiūrėti visą 27701 rinkinį →
PII Security and Access Control Policy

Produkto informacija

Tipas: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standartai: 6