ISO 27701 פּונקט 6.6.2: א גייד צו באַניצער אַקסעס מאַנאַגעמענט
באַניצער אַקסעס מאַנאַגעמענט רעגיאַלייץ די מעטהאָדס דורך די באַניצער אַקסעס PII און פּריוואַטקייט-פֿאַרבונדענע אינפֿאָרמאַציע, און ווי אָרגאַנאַזיישאַנז זענען ביכולת צו קאָנטראָלירן אַזאַ אַקסעס ניצן פאַרשידן גשמיות און לאַדזשיקאַל מיטלען.
וואָס איז קאַווערד אין ISO 27701 פּונקט 6.6.2
ISO 27701 6.6.2 איז אַ לעפיערעך גרויס פּונקט (געגעבן די ונטערטעניק ענין), וואָס כּולל זעקס סאַב-קלאָזיז מיט די טנייַ, נוצן און פאַרוואַלטונג פון באַניצער אַקסעס רעכט.
יעדער סאַב-קלאָז כּולל אינפֿאָרמאַציע פֿון אַן אַדזשוינינג סאַב-קלאָז אין ISO 27002, מיט גיידאַנס צוגעפאסט צו פּריוואַטקייט שוץ און PII, אלא ווי גענעראַליזעד אינפֿאָרמאַציע זיכערהייט:
- ISO 6.6.2.1 - באַניצער רעגיסטראַציע און דערעגיסטראַטיאָן (רעפערענצן ISO 27002 קאָנטראָל 5.16).
- ISO 6.6.2.2 - באַניצער אַקסעס פּראַוויזשאַנז (רעפערענצן ISO 27002 קאָנטראָל 5.18).
- ISO 6.6.2.3 - פאַרוואַלטונג פון פּריוולידזשד אַקסעס רעכט (רעפערענצן ISO 27002 קאָנטראָל 8.2).
- ISO 6.6.2.4 - פאַרוואַלטונג פון סוד אָטענטאַקיישאַן אינפֿאָרמאַציע פון יוזערז (רעפערענצן ISO 27002 קאָנטראָל 5.17).
- ISO 6.6.2.5 - אָפּשאַצונג פון באַניצער אַקסעס רעכט (רעפֿערענצן ISO 27002 קאָנטראָל 5.18).
- ISO 6.6.2.6 - באַזייַטיקונג אָדער אַדזשאַסטמאַנט פון אַקסעס רעכט (רעפערענצן ISO 27002 קאָנטראָל 5.18).
צוויי קלאָזיז אַנטהאַלטן גיידאַנס וואָס האָבן די פּאָטענציעל צו פּראַל אויף די GDPR אַדכיראַנס פון די וק, און די באַטייַטיק אַרטיקלען זענען צוגעשטעלט פֿאַר דיין קאַנוויניאַנס.
איבער אַלע זייַן קלאָזיז, ISO 27701 6.6.2 כּולל קיין ווייַטער גיידאַנס פון ISO אויף די נוצן פון אַ PIMS.
ביטע טאָן אַז GDPR סייטיישאַנז זענען בלויז פֿאַר ינדיקאַטיוו צוועקן. אָרגאַנאַזיישאַנז זאָל ונטערזוכן די געסעצ - געבונג און מאַכן זייער אייגענע משפט אויף וואָס פּאַרץ פון די געזעץ אַפּלייז צו זיי.
ISO 27001 געמאַכט גרינג
א 81% פֿאָרשפּרונג פֿון טאָג איינס
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ 81% העאַדסטאַרט פון דעם מאָמענט איר קלאָץ אויף. כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
ISO 27701 פּונקט 6.6.2.1 - באַניצער רעגיסטראַציע און דערעגיסטראַטיאָן
רעפערענצן ISO 27002 קאָנטראָל 5.16
באַניצער רעגיסטראַציע איז גאַווערנד דורך די נוצן פון אַסיינד 'יידענטאַטיז'. אידענטיטעט צושטעלן אָרגאַנאַזיישאַנז מיט אַ פריימווערק צו רעגירן באַניצער אַקסעס צו PII און פּריוואַטקייט-פֿאַרבונדענע אַסעץ און מאַטעריאַל, אין די קאַנפיינז פון אַ נעץ.
די אָרגאַניזאַציע דאַרף נאָכגיין זעקס הויפּט גיידאַנס פונקטן, אין סדר צו ענשור אַז אידענטיטעט זענען געראטן ריכטיק, און PII איז פּראָטעקטעד ווו נאָר עס איז סטאָרד, פּראַסעסט אָדער אַקסעסט:
- ווען אידענטיטעט זענען אַסיינד צו אַ מענטש, בלויז דער מענטש איז ערלויבט צו אָטענטאַקייט מיט און / אָדער נוצן די אידענטיטעט ווען אַקסעסינג PII.
- שערד אידענטיטעט - קייפל מענטשן רעגיסטרירט אויף דער זעלביקער אידענטיטעט - זאָל זיין דיפּלויד בלויז צו באַפרידיקן אַ יינציק גאַנג פון אַפּעריישאַנאַל רעקווירעמענץ.
- ניט-מענטש ענטיטיז זאָל זיין באַטראַכט און געראטן דיפערענטלי צו באַניצער-באזירט אידענטיטעט וואָס אַקסעס PII און פּריוואַטקייט-פֿאַרבונדענע מאַטעריאַל.
- אידענטיטעט זאָל זיין אַוועקגענומען אַמאָל זיי זענען ניט מער דארף - ספּעציעל יענע מיט אַקסעס צו PII אָדער פּריוואַטקייט-באזירט ראָלעס.
- אָרגאַנאַזיישאַנז זאָל האַלטן זיך צו אַ 'איין ענטיטי, איין אידענטיטעט' הערשן, ווען דיסטריביוטינג אידענטיטעט אַריבער די נעץ.
- רעדזשיסטריישאַנז זאָל זיין לאָגד און רעקאָרדעד דורך קלאָר דאַקיומענטיישאַן, אַרייַנגערעכנט טימעסטאַמפּס, אַקסעס לעוועלס און אידענטיטעט אינפֿאָרמאַציע.
אָרגאַנאַזיישאַנז וואָס אַרבעט אין שוטפעס מיט פונדרויסנדיק אָרגאַנאַזיישאַנז (ספּעציעל וואָלקן-באזירט פּלאַטפאָרמס) זאָל פֿאַרשטיין די טאָכיק ריסקס פֿאַרבונדן מיט אַזאַ פּראַקטיסיז, און נעמען סטעפּס צו ענשור אַז PII איז נישט אַדווערסלי אַפעקטאַד אין דעם פּראָצעס.זען ISO 27002 קאָנטראָלס 5.19 און 5.17).
באַטייַטיק ISO 27002 קאָנטראָלס
- ISO 27002 5.17
- ISO 27002 5.19
אָנווענדלעך GDPR אַרטיקלען
- אַרטיקל 5 - (1) (f)
ISO 27701 פּונקט 6.6.2.2 - באַניצער אַקסעס פּראַוויזשאַנז
רעפערענצן ISO 27002 קאָנטראָל 5.18
'אַקסעס רעכט' רעגירן ווי אַקסעס צו PII און פּריוואַטקייט-פֿאַרבונדענע אינפֿאָרמאַציע איז געגעבן און ריוואָוקט, ניצן די זעלבע גאַנג פון גיידינג פּרינסאַפּאַלז.
געבן און ריוואָוקינג אַקסעס רעכט
אַקסעס פּראָוסידזשערז זאָל אַרייַננעמען:
- דערלויבעניש און דערלויבעניש פון די באַזיצער (אָדער פאַרוואַלטונג) פון די אינפֿאָרמאַציע אָדער אַסעט (זען ISO 27002 קאָנטראָל 5.9).
- קיין פּריוויילינג געשעפט, לעגאַל אָדער אַפּעריישאַנאַל באדערפענישן.
- א דערקענטעניש פון די נויט צו סעגרעגירן דוטיז, אין סדר צו פֿאַרבעסערן PII זיכערהייט און בויען אַ מער ריזיליאַנט פּריוואַטקייט שוץ אָפּעראַציע.
- קאָנטראָלס צו צוריקציען אַקסעס רעכט, ווען אַקסעס איז ניט מער פארלאנגט (לאַווערז אאז"ו ו).
- צייט אַקסעס מיטלען פֿאַר צייַטווייַליק פּערסאַנעל אָדער קאָנטראַקטאָרס.
- א צענטראליזעד רעקאָרד פון אַקסעס רעכט צו ביידע מענטש און ניט-מענטש ענטיטיז.
- מיטלען צו מאָדיפיצירן די אַקסעס רעכט פון קיין פּערסאַנעל אָדער דריט-פּאַרטיי קאָנטראַקטאָרס וואָס האָבן געביטן אַרבעט ראָלעס.
ריוויוינג אַקסעס רעכט
אָרגאַנאַזיישאַנז זאָל דורכפירן פּעריאָדיש באריכטן פון אַקסעס רעכט אַריבער די נעץ, אַרייַנגערעכנט:
- בויען אַקסעס רעכט רעוואָקאַטיאָן אין HR אַוועק באָרדינג פּראָוסידזשערז (זען ISO 27002 קאָנטראָלס 6.1 און 6.5) און ראָלע-טוישן וואָרקפלאָווס.
- ריקוועס פֿאַר 'פּריוולידזשד' אַקסעס רעכט.
טוישן מאַנאַגעמענט און לעאַווערס
פּערסאַנעל וואָס אָדער פאַרלאָזן די אָרגאַניזאַציע (אָדער ווילפאַלי אָדער ווי אַ טערמאַנייטיד אָנגעשטעלטער), און יענע וואָס זענען די ונטערטעניק פון אַ ענדערונג בעטן, זאָל האָבן זייער אַקסעס רעכט אַמענדיד באזירט אויף געזונט ריזיקירן פאַרוואַלטונג פּראָוסידזשערז, אַרייַנגערעכנט:
- דער מקור פון די ענדערונג / טערמאַניישאַן, אַרייַנגערעכנט די אַנדערלייינג סיבה.
- דער באַניצער ס קראַנט אַרבעט ראָלע און אַטאַטשט ריספּאַנסאַבילאַטיז.
- די אינפֿאָרמאַציע און אַסעץ וואָס זענען דערווייַל צוטריטלעך - אַרייַנגערעכנט זייער ריזיקירן לעוועלס און ווערט פֿאַר די אָרגאַניזאַציע.
סופּפּלעמענטאַרי גיידאַנס
באַשעפטיקונג קאַנטראַקץ און קאָנטראַקטאָר / דינסט קאַנטראַקץ זאָל אַרייַננעמען אַ דערקלערונג פון וואָס כאַפּאַנז נאָך קיין פרווון צו אַנאָטערייזד אַקסעס (זען ISO 27002 קאָנטראָלס 5.20, 6.2, 6.4, 6.6).
באַטייַטיק ISO 27002 קאָנטראָלס
- ISO 27002 5.9
- ISO 27002 5.20
- ISO 27002 6.2
- ISO 27002 6.4
- ISO 27002 6.6
אָנווענדלעך GDPR אַרטיקלען
- אַרטיקל 5 - (1) (f)
באַפֿרײַ זיך פֿון אַ באַרג פֿון ספּרעדשיטן
איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.
ISO 27701 פּונקט 6.6.2.3 - פאַרוואַלטונג פון פּריווילעדזשד אַקסעס רעכט
רעפערענצן ISO 27002 קאָנטראָל 8.2
פּריווילעדזשד אַקסעס רעכט צושטעלן אָרגאַנאַזיישאַנז די פיייקייט צו סיימאַלטייניאַסלי קאָנטראָלירן אַקסעס צו PII און פּריוואַטקייט-פֿאַרבונדענע אַפּלאַקיישאַנז און אַסעץ, און האַלטן די אָרנטלעכקייַט פון PII אַריבער זייער נעץ.
אַנאָטערייזד יוטאַלאַזיישאַן פון סיסטעם אַדמיניסטראַטאָר פּריווילאַדזשאַז (אָדער עלעוואַטעד RBAC פּערמישאַנז), איז איינער פון די הויפּט סיבות פון יקט דיסראַפּשאַן איבער דער וועלט.
ווען אָנפירונג פּריוולידזשד אַקסעס רעכט מיט פּריוואַטקייט שוץ אין זינען, אָרגאַנאַזיישאַנז זאָל:
- פּלאַן אַ רשימה פון יוזערז וואָס דאַרפן פּריוולידזשד אַקסעס.
- ינסטרומענט פּראָוסידזשערז וואָס אַלאַקייט פּריוולידזשד אַקסעס רעכט צו יוזערז אויף אַ "געשעעניש דורך געשעעניש יקער" - ד"ה אַ באַניצער איז געגעבן אַ מדרגה פון אַקסעס וואָס איז אין לויט מיט זייער אַרבעט ראָלע.
- אַרבעטן מיט אַ קלאָר דערלויבעניש פּראָצעס וואָס דילז מיט ריקוועס פֿאַר פּריוולידזשד אַקסעס.
- האַלטן אַ סענטראַלייזד רעקאָרד פון פּריוולידזשד אַקסעס ריקוועס.
- אָבסערווירן אַקסעס עקספּיירי דאַטעס, ווו סטייטיד.
- פאַרזיכערן אַז יוזערז זענען אַווער פון קיין פּריוולידזשד אַקסעס רעכט וואָס זענען געגעבן צו זיי.
- דורכפירן שייַעך-אָטענטאַקייט איידער יוזערז ניצן פּריוולידזשד אַקסעס רעכט.
- פּיריאַדיקלי אָפּשאַצן די פּריוולידזשד אַקסעס רעכט פון דער אָרגאַניזאַציע (זען ISO 27002 קאָנטראָל 5.18).
- באַטראַכטן ימפּלאַמענינג אַ "ברעכן גלאז" פּראָצעדור דורך ינשורינג אַז פּריוולידזשד אַקסעס רעכט זענען געגעבן אין שטרענג פֿענצטער, ווי דיקטייטיד דורך די נאַטור פון די בקשה.
- פאַרווערן די נוצן פון דזשאַנעריק לאָגין אינפֿאָרמאַציע און טרעפן פּאַסווערדז (זען ISO 27002 קאָנטראָל 5.17).
- אַלאַקייט איין אידענטיטעט פּער באַניצער, קאַללייטיד אין אַקסעס גרופּעס אויב פארלאנגט.
- פאַרזיכערן אַז פּריוולידזשד אַקסעס איז רעזערווירט בלויז פֿאַר קריטיש טאַסקס - אַזאַ ווי יקערדיק וישאַלט אָדער אינצידענט-פֿאַרבונדענע אַקטיוויטעטן.
באַטייַטיק ISO 27002 קאָנטראָלס
- ISO 27002 5.17
- ISO 27002 5.18
ISO 27701 פּונקט 6.6.2.4 - פאַרוואַלטונג פון סוד אָטענטאַקיישאַן אינפֿאָרמאַציע פון יוזערז
רעפערענצן ISO 27002 קאָנטראָל 5.17
אָטענטאַקיישאַן דעטאַילס זאָל זיין פונאנדערגעטיילט און געראטן אַזוי אַז:
- אָטאַמאַטיק דזשענערייטאַד אָטענטאַקיישאַן אינפֿאָרמאַציע (פּאַסווערדז אאז"ו ו) זענען געהאלטן סוד פון ווער עס יז וואָס איז נישט אָטערייזד צו נוצן זיי, זענען נישט געסאַבאַל און זענען געראטן אין אַ וועג וואָס פאָרסעס אַ באַניצער צו טוישן זיי נאָך ערשט לאָגין.
- איידער ארויסגעבן אָדער ריפּלייסינג אָטענטאַקיישאַן דעטאַילס, פּראָוסידזשערז זענען שטעלן אין פּלאַץ צו באַשטעטיקן די אידענטיטעט פון דעם יחיד וואָס ריקווייערז זיי.
- די ריכטיק זיכער טשאַנאַלז זענען געניצט צו יבערשיקן אָטענטאַקיישאַן דעטאַילס (ד"ה ניט דורך E- בריוו).
- נאָך די דעטאַילס האָבן שוין הצלחה יבערגעבן צו ווער עס יז דאַרף זיי, דער באַניצער (s) באַשטעטיקן קאַבאָלע אין אַ בייַצייַטיק שטייגער.
- קיין פאַרקויפער-צוגעשטעלט אָטענטאַקיישאַן אינפֿאָרמאַציע (אַזאַ ווי די פעליקייַט נאמען און פּאַראָל ראָוטערס און פירעוואַללס) איז טשיינדזשד ביי קאַבאָלע.
- רעקאָרדס זענען געהאלטן פון באַטייַטיק אָטענטאַקיישאַן געשעענישן - ספּעציעל וועגן די ערשט אַלאַקיישאַן און סאַבסאַקוואַנט אַדמיניסטראַציע פון אָטענטאַקיישאַן דעטאַילס.
יעדער פּערסאַנעל וואָס ניצט אָרגאַנאַזיישאַנאַל אָטענטאַקיישאַן אינפֿאָרמאַציע זאָל ענשור אַז:
- אַלע אָטענטאַקיישאַן דעטאַילס זענען געהאלטן שטרענג קאַנפאַדענטשאַל.
- אויב אָטענטאַקיישאַן דעטאַילס זענען קאַמפּראַמייזד, וויוד אָדער שערד דורך ווער עס יז אנדערע ווי דער אָריגינעל באַזיצער, אַזאַ דעטאַילס זענען געביטן טייקעף.
- קיין פּאַסווערדז זענען באשאפן און / אָדער דזשענערייטאַד אין שורה מיט די פּאַראָל פּאָליטיק פון דער אָרגאַניזאַציע, און פּאַסווערדז זענען יינציק אין פאַרשידן פּלאַטפאָרמס (ד"ה פעלד פּאַסווערדז זענען נישט די זעלבע ווי וואָלקן סערוויס פּאַסווערדז).
- באַשעפטיקונג קאַנטראַקץ אַנטהאַלטן אַ יקספּליסאַט פאָדערונג צו נאָכפאָלגן די פירמע פּאַראָל פּאָליטיק (זען ISO 27002 קאָנטראָל 6.2).
פּאַראָל מאַנאַגעמענט סיסטעמס
אָרגאַנאַזיישאַנז זאָל באַטראַכטן ימפּלאַמענינג אַ פּאַראָל פאַרוואַלטונג סיסטעם (ספּעציעלעד פּאַראָל קאָנטראָל אַפּלאַקיישאַנז) וואָס:
- גיט פֿאַר ניצערס וואָס דאַרפֿן צו טוישן קיין פּאַראָל וואָס זיי נוצן.
- איז פּראָוגראַמד צו אָפּוואַרפן פּאַסווערדז וואָס פאַלן אַרויס פון בעסטער פיר גיידליינז.
- פאָרסעס ניצערס צו טוישן זייער סיסטעם-דזשענערייטאַד פּאַראָל נאָך זיי נוצן עס פֿאַר די ערשטער מאָל.
- ניט דערלויבט די קאַנטיניוינג נוצן פון אַלט פּאַסווערדז, אָדער ענלעך פראַסעס און אַלפאַנומעריק קאַמבאַניישאַנז.
- כיידז פּאַסווערדז בשעת זיי זענען ינפּוט.
- סטאָרז און סענדז פּאַראָל אינפֿאָרמאַציע אין אַ זיכער שטייגער.
- גיט פֿאַר פּאַראָל ענקריפּשאַן און ענלעך ענקריפּשאַן טעקניקס (זען ISO 27002 קאָנטראָל 8.24).
צו באַוואָרענען PII און פֿאַרבעסערן אָרגאַנאַזיישאַנאַל פּריוואַטקייט שוץ השתדלות, פּאַסווערדז זאָל נאָכגיין פיר גיידינג פּרינסאַפּאַלז:
- פּאַסווערדז זאָל ניט זיין קאַנסטראַקטאַד אַרום געסאַבאַל אָדער ביאָגראַפיק אינפֿאָרמאַציע.
- פּאַסווערדז זאָל נישט אַנטהאַלטן קיין רעקאַגנייזאַבאַל ווערטער, אין פּלאַץ פון טראַפ - אַלפאַנומעריק אותיות.
- ספּעציעלע אותיות זאָל זיין געניצט צו פאַרגרעסערן פּאַראָל קאַמפּלעקסיטי.
- אַלע פּאַסווערדז זאָל האָבן אַ מינימום לענג (יידילי 12 אותיות).
אָרגאַנאַזיישאַנז זאָל אויך באַטראַכטן די נוצן פון אָטענטאַקיישאַן פּראָטאָקאָלס אַזאַ ווי איין צייכן-אויף (SSO) צו פֿאַרבעסערן פּאַראָל זיכערהייט, אָבער אַזאַ מיטלען זאָל זיין באַטראַכט בלויז צוזאמען מיט די יינציק טעכניש און אַפּעריישאַנאַל רעקווירעמענץ פון די אָרגאַניזאַציע.
באַטייַטיק ISO 27002 קאָנטראָלס
- ISO 27002 6.2
- ISO 27002 8.24
פאַרוואַלטן אַלע אייערע קאָנפאָרמאַנס, אַלץ אין איין אָרט
ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.
ISO 27701 פּונקט 6.6.2.5 - רעצענזיע פון באַניצער אַקסעס רעכט
רעפערענצן ISO 27002 קאָנטראָל 5.18
זען אויבן (ISO 27701 פּונקט 6.6.2.2).
ISO 27701 פּונקט 6.6.2.6 - באַזייַטיקונג אָדער אַדזשאַסטמאַנט פון אַקסעס רעכט
רעפערענצן ISO 27002 קאָנטראָל 5.18
זען אויבן (ISO 27701 פּונקט 6.6.2.2).
שטיצן קאָנטראָלס פֿון ISO 27002 און GDPR
| ISO 27701 קלאָז אידענטיפֿיער | ISO 27701 פּונקט נאָמען | ISO 27002 רעקווירעמענץ | אַססאָסיאַטעד GDPR אַרטיקלען |
|---|---|---|---|
| 6.6.2.1 | באַניצער רעגיסטראַציע און דע-רעגיסטראַציע |
5.16 - אידענטיטעט מאַנאַגעמענט פֿאַר ISO 27002 |
אַרטיקל (5) |
| 6.6.2.2 | באַניצער אַקסעס פּראַוויזשאַנז |
5.18 - אַקסעס רעכט פֿאַר ISO 27002 |
אַרטיקל (5) |
| 6.6.2.3 | פאַרוואַלטונג פון פּריווילעדזשד אַקסעס רעכט |
8.2 - פּריווילעדזשד אַקסעס רעכט פֿאַר ISO 27002 |
גאָרניט |
| 6.6.2.4 | פאַרוואַלטונג פון סוד אָטענטאַקיישאַן אינפֿאָרמאַציע פון יוזערז |
5.17 - אָטענטאַקיישאַן אינפֿאָרמאַציע פֿאַר ISO 27002 |
גאָרניט |
| 6.6.2.5 | רעצענזיע פון באַניצער אַקסעס רעכט |
5.18 - אַקסעס רעכט פֿאַר ISO 27002 |
גאָרניט |
| 6.6.2.6 | באַזייַטיקונג אָדער אַדזשאַסטמאַנט פון אַקסעס רעכט |
5.18 - אַקסעס רעכט פֿאַר ISO 27002 |
גאָרניט |
ווי ISMS.online העלפּס
דורך אַדינג אַ PIMS צו דיין ISMS אויף די ISMS.online פּלאַטפאָרמע, דיין זיכערהייט האַלטנ זיך בלייבט אַלע-אין-איין-אָרט און איר וועט ויסמיידן דופּליקיישאַן ווו די סטאַנדאַרדס אָוווערלאַפּ.
מיט דיין PIMS גלייך צוטריטלעך פֿאַר אינטערעסירט פּאַרטיעס, עס איז קיינמאָל געווען גרינגער צו מאָניטאָר, באַריכט און קאָנטראָלירן ביידע ISO 27002 און ISO 27701 מיט די קליקינג פון אַ קנעפּל.
געפֿינען זיך מער דורך בוקינג אַ הענט אויף דעמאָ.
