policy ISO 27701 PIMS Policy Pack

Personas datu drošības un piekļuves kontroles politika

Definē auditējamus personas datu drošības un piekļuves kontroles pasākumus ISO/IEC 27701 vajadzībām, aptverot piekļuvi, autentifikāciju, šifrēšanu, žurnālfiksēšanu un pierādījumus.

Pārskats

Šī politika definē personas datiem specifiskus drošības un piekļuves kontroles pasākumus sistēmām, pakalpojumiem, ierīcēm, mākoņvidēm un procesiem. Tā aptver piekļuvi, autentifikāciju, privileģēto piekļuvi, šifrēšanu, žurnālfiksēšanu, konfigurāciju, ievainojamību, galiekārtu un mākoņvides kontroles pasākumus, ar pierādījumiem, kas sasaistīti ar REG02, REG08, REG10 un REG12.

Personas datu drošības pamatlīmenis

Definē personas datiem specifiskas drošības prasības sistēmām, pakalpojumiem, ierīcēm, mākoņvidēm un operatīvajiem procesiem.

Kontrolēta piekļuve personas datiem

Prasa apstiprinātas lomas, apstiprinājumu atbilstoši biznesa nolūkam, piekļuves tiesību pārskatīšanu un ātru nepamatotas vai nevajadzīgas piekļuves personas datiem noņemšanu.

Ar pierādījumiem sasaistīts apliecinājums

Sasaista piekļuves, žurnālfiksēšanas, ievainojamību, konfigurācijas un izņēmumu pierādījumus ar REG02, REG08, REG10 un REG12.

Apstrādātāja atbildības robežas

Reģistrē klienta norādījumus, apstrādātāja saistības, apakšapstrādātāja piekļuvi un mākoņvides kopīgās atbildības robežas.

Lasīt pilnu pārskatu (click to expand)
Personas datu drošības un piekļuves kontroles politika definē organizācijas personas datiem specifiskās prasības personas informācijas aizsardzībai sistēmās, lietojumprogrammās, pakalpojumos, ierīcēs, mākoņvidēs un operatīvajos procesos. Tā attiecas uz gadījumiem, kad personas dati tiek glabāti, pārsūtīti, apstrādāti, tiem piekļūst, tos administrē vai aizsargā, un tā aptver pārziņa, kopīga pārziņa, apstrādātāja un apakšapstrādātāja kontekstus. Politika ir īpaši izstrādāta integrēšanai ar esošajām informācijas drošības praksēm, nevis pilnas informācijas drošības pārvaldības sistēmas, tīkla drošības politikas, drošas izstrādes politikas, rezerves kopiju veidošanas politikas, galiekārtu politikas, mākoņdrošības politikas, kriptogrāfiskā standarta, ievainojamību pārvaldības procedūras vai incidentu reaģēšanas procedūras aizstāšanai. Tās pamatmērķis ir nodrošināt, ka personas dati visā apstrādes laikā tiek aizsargāti ar atbilstošiem, riskam pielāgotiem un auditējamiem drošības un piekļuves kontroles pasākumiem. Šī mērķa atbalstam politika nosaka personas datu drošības pamatlīmeni un prasa izsekojamus pierādījumus, izmantojot REG02, REG08, REG10 un REG12. Šis pierādījumu modelis ir politikas centrālais elements: operatīvie žurnāli, drošības rīku izvaddati, piekļuves tiesību pārskatīšanas eksporti, ievainojamību pārskati un konfigurācijas pierādījumi var tikt pievienoti kanoniskajiem pierādījumu objektiem, apkopoti tajos vai atsaucēs uz tiem norādīti, taču tie netiek uzskatīti par atsevišķiem PIMS reģistriem. Tas ļauj organizācijai pierādīt, ka kontroles pasākumi ir plānoti, ieviesti, pārskatīti, uzraudzīti un uzlaboti, nedublējot drošības ierakstus. Politika nosaka detalizētas prasības piekļuves kontrolei, autentifikācijai un privileģētajai piekļuvei. Piekļuve personas datiem ir jāierobežo līdz apstiprinātām lomām un autorizētiem lietotājiem, kas reģistrēti vai izsekojami REG02 vai REG12, un biznesa nolūks ir jāapstiprina pirms piekļuves piešķiršanas. Augstas ietekmes vai sensitīvu personas datu sistēmām ir nepieciešama lietotāju piekļuves tiesību pārskatīšana vismaz reizi ceturksnī, savukārt citām personas datu sistēmām — vismaz ikgadēja pārskatīšana. Piekļuve ir jānoņem vai jāgroza vienas darbdienas laikā pēc lomas izmaiņām, darba attiecību izbeigšanas, līguma pabeigšanas vai tad, kad piekļuve vairs nav nepieciešama. Privileģētajai piekļuvei pirms piešķiršanas ir nepieciešams dokumentēts pamatojums, piemērošanas joma un apstiprinājums, kā arī ikmēneša pārskatīšana augstas ietekmes vai sensitīvu personas datu sistēmām un ceturkšņa pārskatīšana citām personas datu sistēmām. Politika arī nosaka tehniskās drošības prasības autentifikācijai, šifrēšanai, drošai glabāšanai, žurnālfiksēšanai, uzraudzībai, konfigurācijai, ievainojamību pārvaldībai, galiekārtu piekļuvei un mākoņvides piekļuvei. Kontiem ar piekļuvi personas datiem ir nepieciešamas unikālas lietotāju identitātes, un privileģētai, attālinātai, administratīvai vai augstas ietekmes personas datu piekļuvei ir nepieciešama spēcīga autentifikācija. Pirms augstas ietekmes, sensitīvi vai ārēji pārsūtīti personas dati tiek glabāti, pārsūtīti vai padarīti pieejami, ir jādefinē šifrēšana vai apstiprināta kompensējoša aizsardzība. Žurnālfiksēšanas piemērošanas jomai jāaptver autentifikācijas notikumi, piekļuves notikumi, privileģētas darbības, personas datu eksportēšanas aktivitātes un būtiskas konfigurācijas izmaiņas. Konfigurācijas statuss un ievainojamību pārklājums ir jāreģistrē REG12, un neatrisinātas augsta riska ievainojamības, kas ietekmē personas datus, ir jāreģistrē piecu darbdienu laikā pēc validācijas. Pārvaldības pienākumi ir piešķirti Augstākajai vadībai, Privātuma vadītājam / PIMS vadītājam, datu aizsardzības speciālistam / privātuma konsultantam, Informācijas drošības vadītājam, procesa īpašniekam / uzņēmuma īpašniekam, sistēmas īpašniekam / lietotnes īpašniekam, piegādātāju / iepirkumu atbildīgajai personai, Incidentu reaģēšanas koordinatoram un iekšējā audita / atbilstības pārskatītājam. Politika prasa ceturkšņa pierādījumu pilnīguma pārskatīšanu REG02, REG08, REG10 un REG12 ietvaros, ceturkšņa pamatlīmeņa efektivitātes un neatrisināto trūkumu pārskatīšanu, kā arī audita izlases pārbaudes attiecībā uz piekļuves tiesību pārskatīšanu, privileģētās piekļuves pārskatīšanu, žurnālfiksēšanas pierādījumiem un konfigurācijas pierādījumiem. Izņēmumi ir jāreģistrē pirms aktivizēšanas, tajos jāiekļauj termiņa beigas, kompensējošais kontroles pasākums un pārskatīšanas datums, un tiem jāsaņem Augstākās vadības apstiprinājums, ja tie ietekmē augstas ietekmes personas datus, sensitīvus personas datus, privileģēto piekļuvi, šifrēšanu, žurnālfiksēšanu vai neatrisinātas augsta riska ievainojamības.

Politikas diagramma

Procesa plūsmas shēma, kurā personas datu apstrādes konteksts tiek virzīts uz drošības pamatlīmeņa definēšanu, piekļuves apstiprināšanu, autentifikācijas un privileģētās piekļuves kontroles pasākumiem, šifrēšanu, žurnālfiksēšanu, ievainojamību pārskatīšanu, pierādījumu fiksēšanu REG02, REG08, REG10 un REG12, izņēmumu pārvaldību, uzraudzību un vadības pārskatīšanu.

Noklikšķiniet uz diagrammas, lai skatītu pilnā izmērā

Saturs

Personas datu drošības pamatlīmenis un ISMS integrācija

Piekļuves kontrole un privileģētās piekļuves pārskatīšana

Autentifikācijas un kontu izņēmumu prasības

Šifrēšana, droša glabāšana, žurnālfiksēšana un uzraudzība

Droša konfigurācija, ievainojamību, galiekārtu un mākoņvides kontroles pasākumi

REG02, REG08, REG10 un REG12 pierādījumu sasaiste

Atbilstība ietvaram

🛡️ Atbalstītie standarti un ietvari

Šis produkts ir saskaņots ar šādiem atbilstības ietvariem ar detalizētu klauzulu un kontroles kartēšanu.

Ietvars Aplūkotās klauzulas / Kontroles
ISO/IEC 27701:2025
Clause 6.1.3Clause 8.1Clause 7.5Clause 9.1Clause 10.2Annex A.3.8Annex A.3.9Annex A.3.22Annex A.3.23Annex A.3.25Annex A.3.26Annex A.3.28Annex A.3.29Annex A.3.14Annex A.3.15Annex A.3.16
EU GDPR
Article 5(1)(f)Article 5(2)Article 24Article 28Article 32
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A control 8.1Annex A control 8.2Annex A control 8.3Annex A control 8.5Annex A control 8.8Annex A control 8.9Annex A control 8.15Annex A control 8.16Annex A control 8.20Annex A control 8.24
ISO/IEC 27002:2022
Control 8.1Control 8.2Control 8.3Control 8.5Control 8.8Control 8.9Control 8.15Control 8.16Control 8.20Control 8.24
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 9.4.2Clause 9.4.3Clause 9.4.4Clause 9.4.5Clause 10.1.2Clause 10.1.3Clause 12.1.5Clause 18.1.5Clause 18.2.2Clause 18.2.3Clause 18.2.4

Saistītās politikas

Apstrādes uzskaites un tiesiskā pamata politika

Personas datu piekļuves apstiprinājumi ir atkarīgi no reģistrēta apstrādes konteksta, sensitivitātes un biznesa piekļuves vajadzībām.

Privātuma risku izvērtēšanas un DPIA politika

Riska un DPIA rezultāti nosaka nepieciešamo personas datu drošības, autentifikācijas, šifrēšanas un izņēmumu pārskatīšanas līmeni.

Apstrādātāju, apakšapstrādātāju un trešo pušu privātuma pārvaldības politika

Apstrādātāja un apakšapstrādātāja drošības pienākumi, piekļuves robežas un pierādījumi tiek reģistrēti, izmantojot REG08.

Incidentu un pārkāpumu pārvaldības politika

Aizdomas par nesankcionētu piekļuvi, izpaušanu, kompromitēšanu vai personas datu zudumu ir jāatver vai jāsasaista kā REG10 incidentu ieraksti.

PIMS dokumentētas informācijas un pierādījumu pārvaldības politika

Politika paļaujas uz izsekojamiem dokumentētiem pierādījumiem REG02, REG08, REG10 un REG12, lai nodrošinātu gatavību auditam.

PIMS uzraudzības, audita un uzlabošanas politika

Personas datu drošības pierādījumi, piekļuves tiesību pārskatīšana, žurnālfiksēšana un konfigurācijas pierādījumi tiek atlasīti un pārskatīti PIMS pārraudzības ietvaros.

Par Clarysec politikām - Personas datu drošības un piekļuves kontroles politika

Personas datu drošības un piekļuves kontroles politika nosaka personas datiem specifiskas drošības un piekļuves kontroles prasības Privātuma informācijas pārvaldības sistēmā. Tā sasaista apstrādes kontekstu, piekļuves nepieciešamību, apstrādātāja pienākumus, drošības konstatējumus un ieviešanas pierādījumus ar REG02, REG08, REG10 un REG12. Politika attiecas uz pārziņa, kopīga pārziņa, apstrādātāja un apakšapstrādātāja kontekstiem un definē prasības piekļuves kontrolei, autentifikācijai, privileģētajai piekļuvei, šifrēšanai, žurnālfiksēšanai, drošai konfigurācijai, ievainojamību pārvaldībai, galiekārtu kontroles pasākumiem un mākoņvides piekļuves robežām. Tā atbalsta auditējamu PIMS apliecinājumu, prasot pierādījumus reģistrēt, sasaistīt, pārskatīt un uzturēt, neaizstājot esošās informācijas drošības politikas.

Personas datiem specifiska kontroles piemērošanas joma

Aptver sistēmas, lietojumprogrammas, pakalpojumus, ierīces, mākoņvides un procesus, kuros tiek apstrādāti vai aizsargāti personas dati.

Skaidra lomu pārskatatbildība

Piešķir pienākumus privātuma, drošības, sistēmu, procesu, piegādātāju, incidentu reaģēšanas un audita lomām.

Definēts pārskatīšanas ritms

Nosaka ikmēneša, ceturkšņa, ikgadējas un notikumu ierosinātas pārskatīšanas piekļuvei, privileģētajai piekļuvei, pierādījumiem un pamatlīmeņiem.

Kanoniskais pierādījumu modelis

Izmanto REG02, REG08, REG10 un REG12 kā auditējamus pierādījumu objektus PIMS apliecinājumam.

Biežāk uzdotie jautājumi

Izstrādāts līderiem, līderu veidots

Šo politiku ir izstrādājis drošības līderis ar vairāk nekā 25 gadu pieredzi ISMS ietvaru ieviešanā un auditēšanā globālos uzņēmumos. Tā ir paredzēta ne tikai kā dokuments, bet kā aizstāvams ietvars, kas iztur auditoru pārbaudi.

Izstrādājis eksperts ar šādām kvalifikācijām:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pārklājums un tēmas

🏢 Mērķa departamenti

Privātums Atbilstība IT drošība Risks Audits

🏷️ Tematiskais pārklājums

Privātuma informācijas pārvaldība Personas datu apstrāde Pārziņa un apstrādātāja pienākumi Trešo pušu pārvaldība Datu klasifikācija Pārkāpumu pārvaldība Risku pārvaldība
€49

Vienreizējs pirkums

Tūlītēja lejupielāde
Mūža atjauninājumi

Šī politika ir 1 no 25 pilnajā ISO/IEC 27701 PIMS komplektā

Ietaupiet 52%

Saņemiet visas 25 PIMS politikas, pilnu reģistru komplektu un detalizētu ieviešanas plānu par €799, nevis €1 675, iegādājoties atsevišķi.

Skatīt pilno 27701 komplektu →
PII Security and Access Control Policy

Produkta informācija

Veids: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standarti: 6