ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Forstå ISO 27701 klausul 6.6: Gode fremgangsmåter for tilgangskontroll
Tilgangskontroll styrer måtene menneskelige og ikke-menneskelige enheter gis tilgang til data, IT-ressurser og applikasjoner på – og når det gjelder ISO 27701 6.6, PII og personvernrelatert materiale.
Adgangskontroll er en kompleks og mangefasettert IKT-funksjon som trekker inn en rekke andre forretningsfunksjoner, som endringsstyring, aktivasikkerhet, emnespesifikk autorisasjon, fysiske sikkerhetskontroller og tekniske konsepter som RBAC, MAC og DAC. Som sådan inneholder ISO 27701 6.6 mye støttende veiledning fra lignende personvern- og informasjonsbeskyttelse kontroller i ISO 27002-standarden.
Å få rett til tilgangskontroll er en av de fremste funksjonene til en velsmurt personvernoperasjon, spesielt innenfor rammen av å ivareta PII.
Hva dekkes av ISO 27701 klausul 6.6
ISO 27701 6.6 inneholder to underklausuler som kontekstualiserer informasjon gitt i ISO 27002 5.15 (tilgangskontroll) innenfor sfæren av PII og personvern, med en rekke støtteklausuler gitt som omhandler forskjellige andre aspekter av informasjonssikkerhet (se ovenfor):
- ISO 27701 6.6.1.1 – Retningslinjer for tilgangskontroll (referanser ISO 27002 kontroll 5.15)
- ISO 27701 6.6.1.2 – Tilgang til nettverk og nettverkstjenester (Referanser ISO 27002 Control 5.15)
Ingen av klausulene inneholder noen PIMS-spesifikke veiledninger, og de har heller ingen relevans for britisk GDPR-lovgivning.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.6.1.1 – Retningslinjer for tilgangskontroll
Referanser ISO 27002 Kontroll 5.15
Eiere av eiendeler som inneholder PII, og selve dataene, bør utvikle personvernbaserte tilgangskrav på både generelt og emnespesifikk grunnlag, og tydelig kommunisere retningslinjer for tilgangskontroll til alt relevant personell.
Retningslinjer for tilgangskontroll
Generelle krav og emnespesifikke retningslinjer bør:
- Fastslå hvem som trenger tilgang til spesifikke eiendeler og data, og administrer slike rettigheter deretter (se ISO 27002 5.18).
- Vurder de unike sikkerhetskravene til applikasjoner som bruker PII (se ISO 27002 5.16, 5.18 og 8.26).
- Kontroller fysisk tilgang til PII-data (se ISO 27002 7.2, 7.3 og 7.4).
- Spre PII og godkjenne dokumenterte tilgangsforespørsler på en "need to know"-basis (se ISO 27002 5.10, 5.12 og 5.13).
- Sett begrensninger på 'privilegert' tilgang til PII' (se ISO 27701 8.2).
- Segreger oppgaver, for å begrense muligheten for at enkeltpersoner og grupper er den eneste autoriteten på elementer (se ISO 27002 5.3).
- Ta hensyn til organisasjonens forpliktelser i forhold til personvernlovgivning, regulatoriske retningslinjer eller kontraktskrav (se ISO 27002 5.31, 5.32, 5.33, 5.34 og 8.3).
- Sørg for at nøyaktige og oppdaterte logger opprettholdes, at detaljert tilgang til PII på tvers av organisasjonen (se ISO 27002 8.15).
Definere tilgangskontrollenheter og tilknyttede regler
ISO klassifiserer en "enhet" som et fysisk, menneskelig og/eller logisk element som har muligheten til å få tilgang til data.
Enheter bør tildeles spesifikke roller, knyttet til deres funksjon og dataene de trenger tilgang til.
Når organisasjoner implementerer tilgangskontrollregler for de ulike enhetene den har definert, bør:
- Sikre at enheter gis tilgang til PII konsekvent, i samsvar med deres spesifikke rolle og/eller funksjon.
- Husk fysiske sikkerhetsbehov når du administrerer tilgang til PII.
- Når det gjelder flerfasetterte skybaserte og/eller distribuerte miljøer, gis enheter bare tilgang til PII-datakategoriene de er autorisert til å bruke (i stedet for å gi generell tilgang.
Ekstra veiledning
Tilgangskontroll kan ofte være et komplekst og vanskelig å administrere element i en organisasjons IKT-drift.
Her er noen generelle prinsipper for å følge:
- Operere innenfor et "need to know" og "need to use"-rammeverk – dvs. bare gi tilgang til PII hvis enheten krever at den utfører jobbrollen sin, og ikke mindre.
- Organisasjoner bør følge konseptet "minste privilegium". ISO definerer dette som "alt er generelt forbudt, med mindre det er uttrykkelig tillatt". Med andre ord, tilgangskontroll bør administreres tett, i stedet for å stole på ansatte med brede tilgangsnivåer på tvers av flere applikasjoner, lagringsenheter og filservere.
- Endringer i tilgangstillatelser bør vurderes på to måter – endringer initiert av systemadministratorer, og de som er initiert av IKT-systemer og applikasjoner selv – inkludert når godkjenninger skal gjennomgås.
- I forbindelse med tilgang PII skisserer ISO fire hovedtilgangskontrolltyper som organisasjoner bør vurdere, basert på deres unike krav:
- Obligatorisk tilgangskontroll (MAC) – Tilgang administreres sentralt av en eneste sikkerhetsmyndighet.
- Discretionary Access Control (DAC) – Den motsatte metoden til MAC, der objekteiere kan overføre rettigheter til andre brukere.
- Rollebasert tilgangskontroll (RBAC) – Den vanligste typen kommersiell tilgangskontroll, basert på forhåndsdefinerte jobbfunksjoner og privilegier.
- Attributtbasert tilgangskontroll (ABAC) – Tilgangsrettigheter gis til brukere gjennom bruk av policyer som kombinerer attributter.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.6.1.2 – Tilgang til nettverk og nettverkstjenester
Referanser ISO 27002 Kontroll 5.15
Se ISO 27701 klausul 6.6.1.1
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.6.1.1 | Retningslinjer for tilgangskontroll |
5.15 – Tilgangskontroll for ISO 27002 |
none |
| 6.6.1.2 | Tilgang til nettverk og nettverkstjenester |
5.15 – Tilgangskontroll for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Hvordan hjelper vi?
ISO 27701 viser deg hvordan du bygger et styringssystem for personverninformasjon som overholder de fleste personvernforskrifter, inkludert EUs GDPR, BS 10012 og Sør-Afrikas POPIA.
Vår forenklede, sikre, bærekraftige programvare hjelper deg enkelt å følge tilnærmingen skissert av den internasjonalt anerkjente standarden.
Vår alt-i-ett-plattform sikrer at personvernarbeidet ditt stemmer overens med og oppfyller behovene til hver del av ISO 27701-standarden.
Og fordi det er reguleringsagnostisk, kan du kartlegge det til enhver regulering du trenger.
Finn ut mer av bestille en praktisk demo.
