policy ISO 27701 PIMS Policy Pack

Policy för säkerhet och åtkomstkontroll avseende personuppgifter

Definiera verifierbara säkerhets- och åtkomstkontroller för personuppgifter enligt ISO/IEC 27701, med åtkomst, autentisering, kryptering, loggning och underlag.

Översikt

Denna policy definierar PII-specifika säkerhets- och åtkomstkontroller för system, tjänster, enheter, molnmiljöer och processer. Den omfattar åtkomst, autentisering, privilegierad åtkomst, kryptering, loggning, konfiguration, sårbarhet, slutpunkts- och molnkontroller, med underlag kopplat till REG02, REG08, REG10 och REG12.

Säkerhetsbaslinje för personuppgifter

Definierar PII-specifika säkerhetskrav för system, tjänster, enheter, molnmiljöer och operativa processer.

Kontrollerad åtkomst till personuppgifter

Kräver godkända roller, godkännande utifrån verksamhetssyfte, åtkomstgranskning och snabb borttagning av obehörig eller onödig åtkomst till personuppgifter.

Underlagskopplad säkerhetsförsäkran

Kopplar åtkomst, loggning, sårbarhet, konfiguration och underlag för undantag till REG02, REG08, REG10 och REG12.

Gränser för personuppgiftsbiträden

Registrerar kundinstruktioner, åtaganden från personuppgiftsbiträden, underbiträdens åtkomst och gränser för delat ansvar i molnmiljö.

Läs fullständig översikt (click to expand)
Policyn för säkerhet och åtkomstkontroll avseende personuppgifter definierar organisationens PII-specifika krav för skydd av personuppgifter i system, applikationer, tjänster, enheter, molnmiljöer och operativa processer. Den gäller där personuppgifter lagras, överförs, behandlas, nås, administreras eller skyddas, och den omfattar kontexter för personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde och underbiträde. Policyn är uttryckligen utformad för att integreras med befintlig informationssäkerhetspraxis, inte för att ersätta ett fullständigt ledningssystem för informationssäkerhet, en nätverkssäkerhetspolicy, en policy för säker utveckling, en policy för säkerhetskopiering, en endpointpolicy, en molnsäkerhetspolicy, en kryptografisk standard, en rutin för hantering av sårbarheter eller en rutin för incidenthantering. Det centrala syftet är att säkerställa att personuppgifter skyddas genom lämpliga, riskanpassade och verifierbara säkerhets- och åtkomstkontroller under hela behandlingen. För att stödja detta syfte etablerar policyn en säkerhetsbaslinje för personuppgifter och kräver spårbart underlag genom REG02, REG08, REG10 och REG12. Denna underlagsmodell är central för policyn: operativa loggar, utdata från säkerhetsverktyg, exporter från åtkomstgranskning, sårbarhetsrapporter och konfigurationsunderlag kan bifogas till, sammanfattas i eller refereras från de kanoniska underlagsobjekten, men de behandlas inte som separata PIMS-register. Detta gör det möjligt för organisationen att visa att kontroller planeras, genomförs, granskas, övervakas och förbättras utan att säkerhetsunderlag dupliceras. Policyn anger detaljerade krav för åtkomstkontroll, autentisering och privilegierad åtkomst. Åtkomst till personuppgifter ska begränsas till godkända roller och behöriga användare som registreras eller kan spåras i REG02 eller REG12, och verksamhetssyftet ska godkännas innan åtkomst tilldelas. System med personuppgifter med hög påverkan eller känsliga personuppgifter kräver åtkomstgranskning minst kvartalsvis, medan andra system som hanterar personuppgifter kräver minst årlig granskning. Åtkomst ska tas bort eller ändras inom en arbetsdag efter rolländring, avslut av anställning eller uppdrag, avtalsslut eller när åtkomst inte längre krävs. Privilegierad åtkomst kräver dokumenterad motivering, omfattning och godkännande innan den beviljas, med månatlig granskning för system med personuppgifter med hög påverkan eller känsliga personuppgifter och kvartalsvis granskning för andra system som hanterar personuppgifter. Policyn behandlar även tekniska säkerhetsförväntningar för autentisering, kryptering, säker lagring, loggning, övervakning, konfiguration, hantering av sårbarheter, slutpunktsåtkomst och molnåtkomst. Unika användaridentiteter krävs för konton med åtkomst till personuppgifter, och stark autentisering krävs för privilegierad, fjärrbaserad, administrativ eller högpåverkande åtkomst till personuppgifter. Kryptering eller godkänd kompenserande skyddsåtgärd ska definieras innan personuppgifter med hög påverkan, känsliga personuppgifter eller personuppgifter som överförs externt lagras, överförs eller görs åtkomliga. Loggningens omfattning ska täcka autentiseringshändelser, åtkomsthändelser, privilegierade åtgärder, export av personuppgifter och väsentliga konfigurationsändringar. Konfigurationsstatus och sårbarhetstäckning ska registreras i REG12, och olösta högrisksårbarheter som påverkar personuppgifter ska registreras inom fem arbetsdagar efter validering. Styrningsansvar tilldelas högsta ledningen, integritetsansvarig / PIMS-ansvarig, dataskyddsombud / integritetsrådgivare, informationssäkerhetsansvarig, processägare / verksamhetsägare, systemägare / applikationsägare, leverantörs- / upphandlingsansvarig, incidenthanteringskoordinator och internrevision / granskare inom regelefterlevnad. Policyn kräver kvartalsvis granskning av underlagens fullständighet i REG02, REG08, REG10 och REG12, kvartalsvis granskning av baslinjens effektivitet och olösta luckor samt revisionsurval av åtkomstgranskningar, granskningar av privilegierad åtkomst, loggningsunderlag och konfigurationsunderlag. Undantag ska registreras före aktivering, inkludera utgångsdatum, kompenserande kontroll och granskningsdatum samt godkännas av högsta ledningen när de påverkar personuppgifter med hög påverkan, känsliga personuppgifter, privilegierad åtkomst, kryptering, loggning eller olösta högrisksårbarheter.

Policydiagram

Processflödesdiagram som visar behandlingskontext för personuppgifter som flödar in i definition av säkerhetsbaslinje, åtkomstgodkännande, autentisering och kontroller för privilegierad åtkomst, kryptering, loggning, sårbarhetsgranskning, insamling av underlag i REG02, REG08, REG10 och REG12, undantagshantering, övervakning och ledningens genomgång.

Klicka på diagrammet för att visa i full storlek

Innehåll

Säkerhetsbaslinje för personuppgifter och ISMS-integration

Åtkomstkontroll och granskning av privilegierad åtkomst

Krav för autentisering och kontoundantag

Kryptering, säker lagring, loggning och övervakning

Säker konfiguration, sårbarhets-, slutpunkts- och molnkontroller

Underlagskoppling till REG02, REG08, REG10 och REG12

Ramverksefterlevnad

🛡️ Stödda standarder & ramverk

Den här produkten är anpassad till följande efterlevnadsramverk, med detaljerade klausul- och kontrollmappningar.

Ramverk Täckta klausuler / Kontroller
ISO/IEC 27701:2025
Clause 6.1.3Clause 8.1Clause 7.5Clause 9.1Clause 10.2Annex A.3.8Annex A.3.9Annex A.3.22Annex A.3.23Annex A.3.25Annex A.3.26Annex A.3.28Annex A.3.29Annex A.3.14Annex A.3.15Annex A.3.16
EU GDPR
Article 5(1)(f)Article 5(2)Article 24Article 28Article 32
ISO/IEC 27001:2022
Clause 6.1.3Clause 8.1Annex A control 8.1Annex A control 8.2Annex A control 8.3Annex A control 8.5Annex A control 8.8Annex A control 8.9Annex A control 8.15Annex A control 8.16Annex A control 8.20Annex A control 8.24
ISO/IEC 27002:2022
Control 8.1Control 8.2Control 8.3Control 8.5Control 8.8Control 8.9Control 8.15Control 8.16Control 8.20Control 8.24
ISO/IEC 29100:2020
Clause 5.11Clause 5.12
ISO/IEC 29151:2022
Clause 9.4.2Clause 9.4.3Clause 9.4.4Clause 9.4.5Clause 10.1.2Clause 10.1.3Clause 12.1.5Clause 18.1.5Clause 18.2.2Clause 18.2.3Clause 18.2.4

Relaterade policyer

Policy för behandlingsförteckning och rättslig grund

Godkännanden av åtkomst till personuppgifter beror på registrerad behandlingskontext, känslighet och verksamhetens åtkomstbehov.

Policy för bedömning av integritetsrisker och DPIA

Resultat från riskbedömning och DPIA styr den nivå av säkerhet, autentisering, kryptering och undantagsgranskning som krävs för personuppgifter.

Policy för hantering av personuppgiftsbiträden, underbiträden och integritet hos tredje part

Säkerhetsansvar för personuppgiftsbiträden och underbiträden, åtkomstgränser och underlag registreras genom REG08.

Policy för incident- och personuppgiftsincidenthantering

Misstänkt obehörig åtkomst, obehörigt röjande, kompromettering eller förlust av personuppgifter ska öppnas eller kopplas som REG10-incidentposter.

Policy för PIMS-dokumenterad information och underlagshantering

Policyn bygger på spårbar dokumenterad information i REG02, REG08, REG10 och REG12 för beredskap för revision.

Policy för PIMS-övervakning, revision och förbättring

Säkerhetsunderlag för personuppgifter, åtkomstgranskningar, loggning och konfigurationsunderlag granskas genom urval och följs upp inom PIMS-tillsyn.

Om Clarysecs policyer - Policy för säkerhet och åtkomstkontroll avseende personuppgifter

Policyn för säkerhet och åtkomstkontroll avseende personuppgifter fastställer PII-specifika krav på säkerhet och åtkomstkontroll inom ledningssystem för hantering av integritetsinformation. Den kopplar behandlingskontext, åtkomstbehov, ansvar för personuppgiftsbiträden, säkerhetsiakttagelser och genomförandeunderlag till REG02, REG08, REG10 och REG12. Policyn gäller för kontexter där organisationen är personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde eller använder underbiträde och definierar krav för åtkomstkontroll, autentisering, privilegierad åtkomst, kryptering, loggning, säker konfiguration, hantering av sårbarheter, slutpunktskontroller och gränser för molnåtkomst. Den stödjer verifierbar PIMS-säkerhetsförsäkran genom att kräva att underlag registreras, kopplas, granskas och underhålls utan att ersätta befintliga informationssäkerhetspolicyer.

PII-specifik kontrollomfattning

Omfattar system, applikationer, tjänster, enheter, molnmiljöer och processer som hanterar eller skyddar personuppgifter.

Tydlig ansvarsskyldighet för roller

Tilldelar ansvar till integritets-, säkerhets-, system-, process-, leverantörs-, incidenthanterings- och revisionsroller.

Definierad granskningsfrekvens

Fastställer månatliga, kvartalsvisa, årliga och händelsestyrda granskningar av åtkomst, privilegierad åtkomst, underlag och baslinjer.

Kanonisk underlagsmodell

Använder REG02, REG08, REG10 och REG12 som de verifierbara underlagsobjekten för PIMS-säkerhetsförsäkran.

Vanliga frågor

Byggd för ledare, av ledare

Denna policy har utarbetats av en säkerhetsledare med över 25 års erfarenhet av att implementera och revidera ISMS-ramverk för globala företag. Den är utformad inte bara som ett dokument, utan som ett robust ramverk som håller för granskning av revisorer.

Författad av en expert med följande meriter:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Täckning & Ämnen

🏢 Målavdelningar

Dataskydd regelefterlevnad IT-säkerhet risk revision

🏷️ Ämnestäckning

Ledningssystem för hantering av integritetsinformation behandling av personuppgifter ansvar för personuppgiftsansvarig och personuppgiftsbiträde tredjepartshantering dataklassificering incidenthantering riskhantering
€49

Engångsköp

Omedelbar nedladdning
Livstidsuppdateringar

Denna policy är 1 av 25 i det fullständiga ISO/IEC 27701 PIMS-paketet

Spara 52%

Få alla 25 PIMS-policyer, en komplett uppsättning register och en detaljerad implementeringsplan för €799, istället för €1 675 om du köper separat.

Visa fullständigt 27701-paket →
PII Security and Access Control Policy

Produktdetaljer

Typ: policy
Kategori: ISO 27701 PIMS Policy Pack
Standarder: 6