ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 6.6.2: En veiledning til administrasjon av brukertilgang
Brukertilgangsadministrasjon styrer metodene med brukernes tilgang til PII og personvernrelatert informasjon, og hvordan organisasjoner er i stand til å kontrollere slik tilgang ved å bruke en rekke fysiske og logiske tiltak.
Hva dekkes av ISO 27701 klausul 6.6.2
ISO 27701 6.6.2 er en relativt stor klausul (gitt emnet), som inneholder seks underklausuler knyttet til levering, bruk og administrasjon av brukertilgangsrettigheter.
Hver underklausul inneholder informasjon fra en tilstøtende underklausul i ISO 27002, med veiledning tilpasset personvern og PII, i stedet for generell informasjonssikkerhet:
- ISO 6.6.2.1 – Brukerregistrering og avregistrering (Referanser ISO 27002 kontroll 5.16).
- ISO 6.6.2.2 – Provisioning av brukertilgang (Referanser ISO 27002 kontroll 5.18).
- ISO 6.6.2.3 – Administrasjon av privilegerte tilgangsrettigheter (Referanser ISO 27002 kontroll 8.2).
- ISO 6.6.2.4 – Håndtering av hemmelig autentiseringsinformasjon for brukere (Referanser ISO 27002 kontroll 5.17).
- ISO 6.6.2.5 – Gjennomgang av brukertilgangsrettigheter (Referanser ISO 27002 kontroll 5.18).
- ISO 6.6.2.6 – Fjerning eller justering av tilgangsrettigheter (Referanser ISO 27002 kontroll 5.18).
To klausuler inneholder veiledning som har potensial til å påvirke Storbritannias GDPR-overholdelse, og de relevante artiklene er gitt for enkelhets skyld.
Gjennom alle klausulene inneholder ISO 27701 6.6.2 ingen ytterligere veiledning fra ISO om bruk av PIMS.
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 6.6.2.1 – Brukerregistrering og avregistrering
Referanser ISO 27002 Kontroll 5.16
Brukerregistrering styres av bruken av tildelte "identiteter". Identiteter gir organisasjoner et rammeverk for å styre brukertilgang til PII og personvernrelaterte eiendeler og materiale, innenfor rammen av et nettverk.
Organisasjonen må følge seks hovedveiledningspunkter for å sikre at identiteter administreres riktig, og PII er beskyttet uansett hvor den lagres, behandles eller åpnes:
- Der identiteter tildeles et menneske, er det bare den personen som har lov til å autentisere seg med og/eller bruke denne identiteten når han får tilgang til PII.
- Delte identiteter – flere individer registrert på samme identitet – bør bare distribueres for å tilfredsstille et unikt sett med operasjonelle krav.
- Ikke-menneskelige enheter bør vurderes og administreres annerledes enn brukerbaserte identiteter som har tilgang til PII og personvernrelatert materiale.
- Identiteter bør fjernes når de ikke lenger er nødvendige – spesielt de med tilgang til PII eller personvernbaserte roller.
- Organisasjoner bør holde seg til en «én enhet, én identitet»-regel når de distribuerer identiteter over nettverket.
- Registreringer skal logges og registreres gjennom tydelig dokumentasjon, inkludert tidsstempler, tilgangsnivåer og identitetsinformasjon.
Organisasjoner som jobber i partnerskap med eksterne organisasjoner (spesielt skybaserte plattformer) bør forstå de iboende risikoene forbundet med slik praksis, og ta skritt for å sikre at PII ikke blir negativt påvirket i prosessen (se ISO 27002 kontroller 5.19 og 5.17).
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
ISO 27701 klausul 6.6.2.2 – Provisioning av brukertilgang
Referanser ISO 27002 Kontroll 5.18
«Tilgangsrettigheter» styrer hvordan tilgang til PII og personvernrelatert informasjon både gis og tilbakekalles, ved å bruke det samme settet med veiledende prinsipper.
Tildeling og tilbakekall av tilgangsrettigheter
Tilgangsprosedyrer bør omfatte:
- Tillatelse og autorisasjon fra eieren (eller ledelsen) av informasjonen eller eiendelen (se ISO 27002 kontroll 5.9).
- Alle gjeldende kommersielle, juridiske eller operasjonelle krav.
- En erkjennelse av behovet for å skille oppgaver, for å forbedre PII-sikkerheten og bygge en mer robust personvernoperasjon.
- Kontroller for å tilbakekalle tilgangsrettigheter, når tilgang ikke lenger er nødvendig (overlater osv.).
- Tidstilgangstiltak for vikarer eller entreprenører.
- En sentralisert oversikt over tilgangsrettigheter gitt til både menneskelige og ikke-menneskelige enheter.
- Tiltak for å endre tilgangsrettighetene til personell eller tredjepartskontraktører som har endret jobbrolle.
Gjennomgang av tilgangsrettigheter
Organisasjoner bør gjennomføre periodiske gjennomganger av tilgangsrettigheter på tvers av nettverket, inkludert:
- Bygge tilbakekalling av tilgangsrettigheter inn i HR off boarding-prosedyrer (se ISO 27002 kontroller 6.1 og 6.5) og arbeidsflyter for rolleendring.
- Forespørsler om 'privilegerte' tilgangsrettigheter.
Endringsledelse og forlater
Personell som enten forlater organisasjonen (enten med vilje eller som en oppsagt ansatt), og de som er gjenstand for en endringsforespørsel, bør få tilgangsrettighetene sine endret basert på robuste risikostyringsprosedyrer, inkludert:
- Kilden til endringen/oppsigelsen, inkludert den underliggende årsaken.
- Brukerens nåværende jobbrolle og tilhørende ansvar.
- Informasjonen og eiendelene som for øyeblikket er tilgjengelige – inkludert deres risikonivåer og verdi for organisasjonen.
Supplerende veiledning
Arbeidskontrakter og entreprenør-/tjenestekontrakter bør inneholde en forklaring på hva som skjer etter forsøk på uautorisert tilgang (se ISO 27002 kontroller 5.20, 6.2, 6.4, 6.6).
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.6.2.3 – Forvaltning av privilegerte tilgangsrettigheter
Referanser ISO 27002 Kontroll 8.2
Privilegerte tilgangsrettigheter gir organisasjoner muligheten til samtidig å kontrollere tilgang til PII og personvernrelaterte applikasjoner og eiendeler, og opprettholde integriteten til PII på tvers av nettverket.
Uautorisert bruk av systemadministratorrettigheter (eller forhøyede RBAC-tillatelser) er en av hovedårsakene til IKT-avbrudd over hele verden.
Når organisasjoner administrerer privilegerte tilgangsrettigheter med personvern i tankene, bør organisasjoner:
- Lag en liste over brukere som trenger privilegert tilgang.
- Implementere prosedyrer som tildeler privilegerte tilgangsrettigheter til brukere på "hendelse for hendelse basis" – dvs. at en bruker får et tilgangsnivå som er i samsvar med jobbrollen.
- Operer med en tydelig autorisasjonsprosess som omhandler forespørsler om privilegert tilgang.
- Hold en sentralisert oversikt over forespørsler om privilegert tilgang.
- Overhold utløpsdatoene for tilgang, der dette er oppgitt.
- Sørg for at brukerne er klar over eventuelle privilegerte tilgangsrettigheter som er gitt dem.
- Tvinge re-autentisering før brukere bruker privilegerte tilgangsrettigheter.
- Se regelmessig gjennom organisasjonsomfattende privilegerte tilgangsrettigheter (se ISO 27002 kontroll 5.18).
- Vurder å implementere en "knus glass"-prosedyre ved å sikre at privilegerte tilgangsrettigheter gis innenfor strenge vinduer, som diktert av forespørselens art.
- Forby bruk av generisk påloggingsinformasjon og gjettelige passord (se ISO 27002 kontroll 5.17).
- Tildel én identitet per bruker, sortert i tilgangsgrupper om nødvendig.
- Sørg for at privilegert tilgang kun gis forbeholdt kritiske oppgaver – for eksempel nødvendig vedlikehold eller hendelsesrelatert aktivitet.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
ISO 27701 klausul 6.6.2.4 – Håndtering av hemmelig autentiseringsinformasjon for brukere
Referanser ISO 27002 Kontroll 5.17
Autentiseringsdetaljer bør distribueres og administreres slik at:
- Automatisk generert autentiseringsinformasjon (passord osv.) holdes hemmelig for alle som ikke er autorisert til å bruke dem, er ikke gjettbare og administreres på en måte som tvinger en bruker til å endre dem etter første pålogging.
- Før utstedelse eller utskifting av autentiseringsdetaljer, settes prosedyrer på plass for å bekrefte identiteten til personen som krever dem.
- De riktige sikre kanalene brukes til å overføre autentiseringsdetaljer (dvs. ikke via e-post).
- Etter at detaljene har blitt kommunisert til den som trenger dem, bekrefter brukeren/brukerne mottak i tide.
- Eventuell leverandørlevert autentiseringsinformasjon (som standard brukernavn og passord rutere og brannmurer) endres ved mottak.
- Det føres journal over relevante autentiseringshendelser – spesielt angående den første tildelingen og påfølgende administrasjon av autentiseringsdetaljer.
Alt personell som bruker organisasjonsautentiseringsinformasjon bør sørge for at:
- Alle autentiseringsdetaljer holdes strengt konfidensielt.
- Hvis autentiseringsdetaljer enten er kompromittert, sett eller delt av andre enn den opprinnelige eieren, endres slike detaljer umiddelbart.
- Eventuelle passord opprettes og/eller genereres i tråd med organisasjonens passordpolicy, og passord er unike på tvers av ulike plattformer (dvs. domenepassord er ikke det samme som skytjenestepassord).
- Arbeidskontrakter inneholder et eksplisitt krav om å følge selskapets passordpolicy (se ISO 27002 kontroll 6.2).
Passordadministrasjonssystemer
Organisasjoner bør vurdere å implementere et passordbehandlingssystem (spesialiserte passordkontrollapplikasjoner) som:
- Henvender seg til brukere som trenger å endre passord de bruker.
- Er programmert til å avvise passord som faller utenfor retningslinjene for beste praksis.
- Tvinger brukere til å endre det systemgenererte passordet sitt etter at de har brukt det for første gang.
- Tillater ikke fortsatt bruk av gamle passord, eller lignende fraser og alfanumeriske kombinasjoner.
- Skjuler passord mens de skrives inn.
- Lagrer og sender passordinformasjon på en sikker måte.
- Tar hensyn til passordkryptering og lignende krypteringsteknikker (se ISO 27002 kontroll 8.24).
For å sikre PII og forbedre organisasjonens personverntiltak, bør passord følge fire veiledende prinsipper:
- Passord bør ikke bygges rundt gjettbar eller biografisk informasjon.
- Passord skal ikke inneholde noen gjenkjennelige ord, i stedet for tilfeldige alfanumeriske tegn.
- Spesialtegn bør brukes for å øke passordkompleksiteten.
- Alle passord bør ha en minimumslengde (ideelt sett 12 tegn).
Organisasjoner bør også vurdere bruken av autentiseringsprotokoller som Single Sign-On (SSO) for å forbedre passordsikkerheten, men slike tiltak bør kun vurderes sammen med organisasjonens unike tekniske og operasjonelle krav.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.6.2.5 – Gjennomgang av brukerrettigheter
Referanser ISO 27002 Kontroll 5.18
Se ovenfor (ISO 27701 klausul 6.6.2.2).
ISO 27701 klausul 6.6.2.6 – Fjerning eller justering av tilgangsrettigheter
Referanser ISO 27002 Kontroll 5.18
Se ovenfor (ISO 27701 klausul 6.6.2.2).
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.6.2.1 | Brukerregistrering og avregistrering |
5.16 – Identitetsadministrasjon for ISO 27002 |
Artikkel (5) |
| 6.6.2.2 | Tildeling av brukertilgang |
5.18 – Tilgangsrettigheter for ISO 27002 |
Artikkel (5) |
| 6.6.2.3 | Forvaltning av privilegerte tilgangsrettigheter |
8.2 – Privilegerte tilgangsrettigheter for ISO 27002 |
none |
| 6.6.2.4 | Håndtering av hemmelig autentiseringsinformasjon for brukere |
5.17 – Autentiseringsinformasjon for ISO 27002 |
none |
| 6.6.2.5 | Gjennomgang av brukerrettigheter |
5.18 – Tilgangsrettigheter for ISO 27002 |
none |
| 6.6.2.6 | Fjerning eller justering av tilgangsrettigheter |
5.18 – Tilgangsrettigheter for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Ved å legge til en PIMS til ISMS-en din på ISMS.online-plattformen, forblir sikkerhetsstillingen din alt-på-ett-sted, og du vil unngå duplisering der standardene overlapper hverandre.
Med din PIMS umiddelbart tilgjengelig for interesserte parter, har det aldri vært enklere å overvåke, rapportere og revidere mot både ISO 27002 og ISO 27701 ved å trykke på en knapp.
Finn ut mer av bestille en praktisk demo.
