ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Beskytter PII med robuste system- og applikasjonstilgangskontroller
Å sette tilgangsbegrensninger på forretningskritiske oppgaver, eiendeler og prosedyrer er et grunnleggende aspekt både ved å beskytte PII og sikre at personvernrelaterte applikasjoner og systemer er fri for korrupsjon, misbruk eller sletting.
ISO 27701 6.6.4 skisserer en rekke tiltak – fra autentiseringskontroller til kildekodeadministrasjon og bruk av privilegerte hjelpeprogrammer – som lar organisasjoner utøve detaljert kontroll over hvem og hva som får tilgang til nettverket deres, og på hvilke måter.
Hva dekkes av ISO 27701 klausul 6.6.4
ISO 27701 6.6.4 inneholder fem underklausuler som omhandler de ovennevnte emnene. Hver underklausul inneholder veiledningsinformasjon fra en rekke underklausuler innenfor ISO 27002, men levert innenfor rammen av PII-sikkerhet og personvern:
- ISO 27701 6.6.4.1 – Begrensninger for informasjonstilgang (Referanser ISO 27002 kontroll 8.3).
- ISO 27701 6.6.4.2 – Sikre påloggingsprosedyrer (Referanser ISO 27002 kontroll 8.5).
- ISO 27701 6.6.4.3 – Passordstyringssystem (Referanser ISO 27002 kontroll 5.17).
- ISO 27701 6.6.4.4 – Bruk av privilegerte hjelpeprogrammer (Referanser ISO 27002 kontroll 8.18).
- ISO 27701 6.6.4.5 – Tilgangskontroll til programkildekode (Referanser ISO 27002 kontroll 8.4).
Underklausul 6.6.4.2 inneholder ytterligere veiledning om gjeldende artikler innenfor britisk GDPR-lovgivning (artikkel 5 [1][f]).
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 6.6.4.1 – Fjerning eller justering av tilgangsrettigheter
Referanser ISO 27002 Kontroll 8.3
For å kontrollere PII og personvernrelatert informasjon, og til støtte for tilgangsbegrensningstiltak, bør organisasjoner:
- Forhindre anonym tilgang til PII, inkludert offentlig tilgang.
- Vedlikeholde personvernsystemer og eventuelle tilknyttede forretningsapplikasjoner eller prosesser.
- Administrer tilgang til PII på en bruker-for-bruker-basis.
- Administrer PII-tilgangsrettigheter på et detaljert nivå (les, skriv, slett og utfør).
- Skill kritiske personvernprosesser og applikasjoner ved hjelp av en kombinasjon av fysiske og logiske tilgangskontroller.
Dynamisk tilgangsadministrasjon
ISO tar til orde for en dynamisk tilnærming til informasjonstilgang, som strekker seg til PII og personvernsystemer.
Dynamisk tilgangsadministrasjon lar organisasjoner dele eller bruke interne data med eksterne brukere, for å påvirke raskere hendelsesløsningstider (et nøkkelkrav for PII-relaterte hendelser).
Organisasjoner bør vurdere å implementere dynamisk tilgangsadministrasjon når:
- Utøver granulær kontroll over hvilke data menneskelige og ikke-menneskelige brukere har tilgang til.
- Dele informasjon med leverandører, rettshåndhevende organisasjoner eller reguleringsorganer.
- Vedta en "sanntids"-tilnærming til PII-administrasjon (overvåke og administrere PII-bruk etter hvert som den oppstår).
- Beskyttelse av PII mot uautoriserte endringer, deling eller utdata (utskrift osv.).
- Overvåking/revisjon av tilgang til og endring av personvernrelatert informasjon.
- Utvikle en prosess som styrer drift og overvåking av data, inkludert en rapporteringsprosess.
Dynamisk tilgangsadministrasjon skal beskytte data ved å:
- Tilgang oppnås gjennom en robust autentiseringsprosess.
- Aktiverer begrenset tilgang.
- Kryptering.
- Sikker utskriftstillatelse.
- Logger hvem som får tilgang til PII, og hvordan PII-data brukes.
- Implementering av en varslingsprosedyre som varsler om upassende PII-bruk.
ISO 27701 klausul 6.6.4.2 – Sikker påloggingsprosedyre
Referanser ISO 27002 Kontroll 8.5
PII og personvernrelaterte eiendeler må lagres på et nettverk som har en rekke autentiseringskontroller, inkludert:
- Multi-faktor autentisering (MFA).
- Digitale sertifikater.
- Smartkort/fob.
- Biometrisk verifisering.
- Sikre tokens.
For å forhindre og minimere risikoen for uautorisert tilgang til PII, bør organisasjoner:
- Forhindre visning av PII på en skjerm eller endepunktsenhet før en bruker har autentisert seg.
- Gi potensielle brukere en klar advarsel – før noen pålogging forsøkes – som skisserer den sensitive naturen til dataene de er i ferd med å få tilgang til.
- Vær forsiktig med å gi for mye hjelp gjennom hele autentiseringsprosessen (dvs. å forklare hvilken del av et mislykket påloggingsforsøk som er ugyldig).
- Implementer beste praksis sikkerhetstiltak, inkludert:
- CAPTCHA-teknologi.
- Tvinge tilbakestilling av passord og/eller midlertidig hindre pålogging etter flere mislykkede forsøk.
- Logg mislykkede påloggingsforsøk for videre analyse og/eller formidling til rettshåndhevende organer.
- Start en sikkerhetshendelse når det oppdages et større påloggingsavvik, eller organisasjonen oppdager en autentiseringsavvik som har potensial til å påvirke PII.
- Videresend autentiseringslogger – som inneholder siste påloggingsforsøk og mislykket påloggingsinformasjon – til en egen datakilde.
- Send bare passorddata som abstrakte symboler), med mindre brukeren har problemer med tilgjengelighet/syn.
- Forhindre deling av alle autentiseringsdata.
- Drep sovende påloggingsøkter, spesielt der PII brukes i eksterne arbeidsmiljøer, eller på BYOD-ressurser.
- Sett en tidsbegrensning på autentiserte økter, spesielt de som har aktivt tilgang til PII.
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.6.4.3 – passordbehandlingssystem
Referanser ISO 27002 Kontroll 5.17
Autentiseringsdetaljer bør distribueres og administreres slik at:
- Automatisk generert autentiseringsinformasjon (passord osv.) holdes hemmelig for alle som ikke er autorisert til å bruke dem, er ikke gjettbare og administreres på en måte som tvinger en bruker til å endre dem etter første pålogging.
- Før utstedelse eller utskifting av autentiseringsdetaljer, settes prosedyrer på plass for å bekrefte identiteten til personen som krever dem.
- De riktige sikre kanalene brukes til å overføre autentiseringsdetaljer (dvs. ikke via e-post).
- Etter at detaljene har blitt kommunisert til den som trenger dem, bekrefter brukeren/brukerne mottak i tide.
- Eventuell leverandørlevert autentiseringsinformasjon (som standard brukernavn og passord rutere og brannmurer) endres ved mottak.
- Det føres journal over relevante autentiseringshendelser – spesielt angående den første tildelingen og påfølgende administrasjon av autentiseringsdetaljer.
Alt personell som bruker organisasjonsautentiseringsinformasjon bør sørge for at:
- Alle autentiseringsdetaljer holdes strengt konfidensielt.
- Hvis autentiseringsdetaljer enten er kompromittert, sett eller delt av andre enn den opprinnelige eieren, endres slike detaljer umiddelbart.
- Eventuelle passord opprettes og/eller genereres i tråd med organisasjonens passordpolicy, og passord er unike på tvers av ulike plattformer (dvs. domenepassord er ikke det samme som skytjenestepassord).
- Arbeidskontrakter inneholder et eksplisitt krav om å følge selskapets passordpolicy (se ISO 27002 6.2).
Passordadministrasjonssystemer
Organisasjoner bør implementere et passordbehandlingssystem som:
- Henvender seg til brukere som trenger å endre passord de bruker.
- Er programmert til å avvise passord som faller utenfor retningslinjene for beste praksis.
- Tvinger brukere til å endre det systemgenererte passordet sitt etter at de har brukt det for første gang.
- Tillater ikke fortsatt bruk av gamle passord, eller lignende fraser og alfanumeriske kombinasjoner.
- Skjuler passord mens de skrives inn.
- Lagrer og sender passordinformasjon på en sikker måte.
- Passer på passordkryptering og lignende krypteringsteknikker (se ISO 27002 8.24).
For å sikre PII og forbedre organisasjonens personverntiltak, bør passord følge fire veiledende prinsipper:
- Passord bør ikke bygges rundt gjettbar eller biografisk informasjon.
- Passord skal ikke inneholde noen gjenkjennelige ord, i stedet for tilfeldige alfanumeriske tegn.
- Spesialtegn bør brukes for å øke passordkompleksiteten.
- Alle passord bør ha en minimumslengde (ideelt sett 12 tegn).
Organisasjoner bør også vurdere bruken av autentiseringsprotokoller som Single Sign-On (SSO) for å forbedre passordsikkerheten, men slike tiltak bør kun vurderes sammen med organisasjonens unike tekniske og operasjonelle krav.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
ISO 27701 klausul 6.6.4.4 – Bruk av Privileged Utility Programs
Referanser ISO 27002 Kontroll 8.18
For å beskytte PII og personvernrelaterte eiendeler – og samtidig forbedre nettverksintegriteten – bør organisasjoner:
- Begrens bruken av hjelpeprogrammer til vedlikeholdspersonell og/eller entreprenører som har i oppgave å administrere organisasjonens nettverk.
- Sørg for at bruken av et enkelt hjelpeprogram er autorisert av ledelsen, inkludert å opprettholde en liste over personell som trenger å bruke hjelpeprogrammer som en del av deres tildelte ansvar.
- Forhindre bruk av hjelpeprogrammer på områder av nettverket som har adskilte oppgaver.
- Gjennomgå med jevne mellomrom bruken av hjelpeprogrammer, fjern eller legg til noen som organisasjonen finner passende.
- Partisjoner av hjelpeprogrammer til forskjell fra standardapplikasjoner.
- Logg bruken av hjelpeprogrammer, inkludert oppbevart informasjon om tidsstempler og autoriserte brukere.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.6.4.5 – Tilgangskontroll til programkildekode
Referanser ISO 27002 Kontroll 8.4
Tilgang til kildekode og utviklingsverktøy bør kontrolleres nøye, slik at personvernrelaterte applikasjoner ikke kompromitteres, og PII ikke blir utsatt for offentlig visning eller noen form for uautorisert tilgang.
Kildekode og "tilknyttede elementer" inkluderer:
- Design.
- Spesifikasjoner.
- Verifikasjonsplaner.
- Valideringsplaner.
Utviklingsverktøy inkluderer:
- Kompilatorer.
- Byggherrer.
- Integrasjonsverktøy.
- Test plattformer.
- Miljøer.
ISO anbefaler at organisasjoner lagrer og administrerer kildekoden via et dedikert 'kildekodestyringssystem' som beskytter IP, kode og utviklingsverktøy og administrerer tilgang til begrenset materiale. Kildekoden bør administreres med varierende grad av lese- og skrivetilgang, basert på en persons jobbrolle.
For å forhindre korrupsjon og beskytte PIMS, PII og personvernrelatert informasjon og eiendeler, bør organisasjoner:
- Administrer nøye tilgangen til kildekoden og eventuelle tilknyttede biblioteker.
- Begrens tilbudet av kildekodetilgang på grunnlag av "need to know" og "need to use".
- Følg organisasjonsomfattende endringsadministrasjonsprosedyrer, når du oppdaterer/endrer kildekode, eller gjør endringer i tilgangsrettigheter (se ISO 27002 8.32).
- Forby den direkte adgang av kildekode av utviklere, og i stedet gi tilgang gjennom spesialiserte utviklerverktøy.
- Lagre programoppføringer på en sikker måte, med relevante nivåer av lese- og skrivetilgang.
Relevante ISO 27002 kontroller
- Se ISO 27002 8.32
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.6.4.1 | 8.3 |
8.3 – Begrensning av informasjonstilgang for ISO 27002 |
none |
| 6.6.4.2 | 8.5 |
8.5 – Sikker autentisering for ISO 27002 |
Artikkel (5) |
| 6.6.4.3 | 5.17 |
5.17 – Autentiseringsinformasjon for ISO 27002 |
none |
| 6.6.4.4 | 8.18 |
8.18 – Bruk av Privileged Utility Programs for ISO 27002 |
none |
| 6.6.4.5 | 8.4 |
8.4 – Tilgang til kildekode for ISO 27002 |
none |
Hvordan ISMS.online hjelper
ISO 27701 viser deg hvordan du bygger et styringssystem for personverninformasjon som overholder de fleste personvernforskrifter, inkludert EUs GDPR, BS 10012 og Sør-Afrikas POPIA.
Vår forenklede, sikre, bærekraftige programvare hjelper deg enkelt å følge tilnærmingen skissert av den internasjonalt anerkjente standarden.
Vår alt-i-ett-plattform sikrer at personvernarbeidet ditt stemmer overens med og oppfyller behovene til hver del av ISO 27701-standarden. Og fordi det er reguleringsagnostisk, kan du kartlegge det til enhver regulering du trenger.
Finn ut mer av bestille en praktisk demo.
