Beleid inzake beveiliging van persoonsgegevens en toegangscontrole

Het Beleid inzake beveiliging van persoonsgegevens en toegangscontrole definieert de organisatiespecifieke vereisten voor persoonsgegevens voor de bescherming van persoonsgegevens binnen systemen, toepassingen, diensten, apparaten, in de cloud gehoste omgevingen en operationele processen. Het is van toepassing waar persoonsgegevens worden opgeslagen, verzonden, verwerkt, benaderd, beheerd of beschermd, en omvat contexten van verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker. Het beleid is uitdrukkelijk ontworpen om te integreren met bestaande informatiebeveiligingspraktijken, niet om een volledig managementsysteem voor informatiebeveiliging (ISMS), Beleid inzake netwerkbeveiliging, Beleid inzake veilige ontwikkeling, back-upbeleid, endpointbeleid, cloudbeveiligingsbeleid, standaard voor cryptografische beheersmaatregelen, procedure voor kwetsbaarheidsbeheer of incidentresponsprocedure te vervangen. Het kerndoel is te waarborgen dat persoonsgegevens gedurende de verwerking worden beschermd door passende, op risico's afgestemde en auditeerbare beveiligings- en toegangsbeheersmaatregelen. Ter ondersteuning van dat doel stelt het beleid een beveiligingsbaseline voor persoonsgegevens vast en vereist het traceerbaar bewijsmateriaal via REG02, REG08, REG10 en REG12. Dit bewijsmodel staat centraal in het beleid: operationele logboeken, uitvoer van beveiligingstools, exports van toegangsrechtenbeoordelingen, kwetsbaarheidsrapporten en configuratiebewijsmateriaal kunnen aan de canonieke bewijsobjecten worden toegevoegd, daarin worden samengevat of daarnaar verwijzen, maar worden niet behandeld als afzonderlijke PIMS-registers. Hierdoor kan de organisatie aantonen dat beheersmaatregelen worden gepland, geïmplementeerd, beoordeeld, gemonitord en verbeterd zonder beveiligingsregistraties te dupliceren. Het beleid stelt gedetailleerde eisen voor toegangscontrole, authenticatie en geprivilegieerde toegang. Toegang tot persoonsgegevens moet worden beperkt tot goedgekeurde rollen en geautoriseerde gebruikers die in REG02 of REG12 zijn geregistreerd of traceerbaar zijn, en het zakelijke doel moet worden goedgekeurd voordat toegangsverlening plaatsvindt. Systemen met persoonsgegevens met hoge impact of gevoelige persoonsgegevens vereisen ten minste kwartaalgewijze toegangsrechtenbeoordelingen voor gebruikers, terwijl andere systemen met persoonsgegevens ten minste een jaarlijkse beoordeling vereisen. Toegang moet binnen één werkdag na rolwijziging, beëindiging, contractafronding of wanneer toegang niet langer vereist is, worden verwijderd of aangepast. Geprivilegieerde toegang vereist gedocumenteerde rechtvaardiging, reikwijdte en goedkeuring voordat deze wordt verleend, met maandelijkse beoordeling voor systemen met persoonsgegevens met hoge impact of gevoelige persoonsgegevens en kwartaalgewijze beoordeling voor andere systemen met persoonsgegevens. Het beleid behandelt ook technische beveiligingsverwachtingen voor authenticatie, encryptie, veilige opslag, logging, monitoring, configuratie, kwetsbaarheidsbeheer, endpointtoegang en cloudtoegang. Unieke gebruikersidentiteiten zijn vereist voor accounts met toegang tot persoonsgegevens, en sterke authenticatie is vereist voor geprivilegieerde, externe, administratieve toegang of toegang met hoge impact tot persoonsgegevens. Encryptie of goedgekeurde compenserende bescherming moet worden gedefinieerd voordat persoonsgegevens met hoge impact, gevoelige persoonsgegevens of extern verzonden persoonsgegevens worden opgeslagen, verzonden of toegankelijk gemaakt. De reikwijdte van logging moet authenticatiegebeurtenissen, toegangsgebeurtenissen, geprivilegieerde handelingen, exportactiviteiten van persoonsgegevens en wezenlijke configuratiewijzigingen omvatten. Configuratiestatus en dekking van kwetsbaarheden moeten in REG12 worden geregistreerd, waarbij openstaande kwetsbaarheden met hoog risico die persoonsgegevens raken binnen vijf werkdagen na validatie worden geregistreerd. Governanceverantwoordelijkheden worden toegewezen aan topmanagement, de privacyverantwoordelijke / PIMS-manager, functionaris voor gegevensbescherming (FG) / privacyadviseur, verantwoordelijke voor informatiebeveiliging, proceseigenaar / bedrijfseigenaar, systeemeigenaar / applicatie-eigenaar, leveranciers-/inkoopverantwoordelijke, Incident Response Coordinator en beoordelaar interne audit / naleving. Het beleid vereist kwartaalgewijze beoordelingen van de volledigheid van bewijsmateriaal in REG02, REG08, REG10 en REG12, kwartaalgewijze beoordeling van de doeltreffendheid van de baseline en openstaande hiaten, en auditsteekproeven van toegangsrechtenbeoordelingen, beoordelingen van geprivilegieerde toegang, loggingbewijsmateriaal en configuratiebewijsmateriaal. Uitzonderingen moeten vóór activering worden geregistreerd, een vervaldatum, compenserende beheersmaatregel en beoordelingsdatum bevatten, en goedkeuring van topmanagement krijgen wanneer zij betrekking hebben op persoonsgegevens met hoge impact, gevoelige persoonsgegevens, geprivilegieerde toegang, encryptie, logging of openstaande kwetsbaarheden met hoog risico.