ISO 27701, פּונקט 6.6, אַקסעס קאָנטראָל

ISO 27701 - פּונקט 6.6 - אַקסעס קאָנטראָל

ISO 27701 פּונקט 6.6 אַוטליינז אַקסעס קאָנטראָל רעקווירעמענץ צו באַשיצן פּערסאַנאַלי ידענטיפיאַבלע אינפֿאָרמאַציע (PII), ינשורינג אַז אַקסעס איז דערלויבט באזירט אויף ראָלע-ספּעציפיש באדערפענישן און נאָכגיין די פּרינסאַפּאַלז פון מינדסטער פּריווילעגיע און זיכער אָטענטאַקיישאַן. עס מאַנדייץ פּאַלאַסיז פֿאַר נעץ אַקסעס, באַניצער פאַרוואַלטונג און סיסטעם קאָנטראָלס צו פאַרמייַדן אַנאָטערייזד דאַטן ויסשטעלן.

פֿאַרשטיין ISO 27701 פּונקט 6.6: בעסטער פּראַקטיסיז פֿאַר אַקסעס קאָנטראָל

אַקסעס קאָנטראָל רעגיאַלייץ די וועגן ווי מענטשלעך און ניט-מענטש ענטיטיז זענען דערלויבט אַקסעס צו דאַטן, IT רעסורסן און אַפּלאַקיישאַנז - און אין די פאַל פון ISO 27701 6.6, PII און פּריוואַטקייט-פֿאַרבונדענע מאַטעריאַל.

אַקסעס קאָנטראָל איז אַ קאָמפּלעקס און מאַלטי-פאַסאַטיד יקט פונקציע וואָס דראָז אין פילע אנדערע געשעפט פאַנגקשאַנז, אַזאַ ווי טוישן פאַרוואַלטונג, אַסעט זיכערהייט, טעמע-ספּעציפיש דערלויבעניש, גשמיות זיכערהייט קאָנטראָלס און טעכניש קאַנסעפּס אַזאַ ווי RBAC, MAC און DAC. ווי אַזאַ, ISO 27701 6.6 כּולל אַ פּלאַץ פון שטיצן גיידאַנס פון ענלעך פּריוואַטקייט און אינפֿאָרמאַציע שוץ קאָנטראָלס קאַנטיינד אין די ISO 27002 נאָרמאַל.

באַקומען אַקסעס קאָנטראָל רעכט איז איינער פון די מערסט וויכטיק פאַנגקשאַנז פון אַ געזונט-וילד פּריוואַטקייט שוץ אָפּעראַציע, ספּעציעל אין דעם קאָנטעקסט פון באַוואָרעניש PII.

וואָס איז קאַווערד אין ISO 27701 פּונקט 6.6

ISO 27701 6.6 כּולל צוויי סאַב-קלאָזיז וואָס קאָנטעקסטואַליזירן אינפֿאָרמאַציע צוגעשטעלט אין ISO 27002 5.15 (אַקסעס קאָנטראָל) אין די קויל פון PII און פּריוואַטקייט שוץ, מיט פילע שטיצן קלאָזיז צוגעשטעלט וואָס האַנדלען מיט פאַרשידן אנדערע אַספּעקץ פון אינפֿאָרמאַציע זיכערהייט (זען אויבן):

ISO 27701 6.6.1.1 - אַקסעס קאָנטראָל פּאָליטיק (רעפערענצן ISO 27002 קאָנטראָל 5.15)
ISO 27701 6.6.1.2 - אַקסעס צו נעטוואָרקס און נעץ באַדינונגס (רעפֿערענצן ISO 27002 קאָנטראָל 5.15)

קיין פּונקט כּולל קיין PIMS-ספּעציפיש גיידאַנס, און זיי האָבן קיין שייכות צו די וק GDPR געסעצ - געבונג.

ISMS.online שטיצט איבער 100 סטאַנדאַרדס און רעגיאַליישאַנז, געבן איר אַ איין פּלאַטפאָרמע פֿאַר אַלע דיין העסקעם דאַרף.

ספר דיין דעמאָ

ISO 27701 פּונקט 6.6.1.1 - אַקסעס קאָנטראָל פּאָליטיק

רעפערענצן ISO 27002 קאָנטראָל 5.15

אָונערז פון אַסעץ מיט PII, און די דאַטן זיך, זאָל אַנטוויקלען פּריוואַטקייט-באזירט אַקסעס רעקווירעמענץ אויף ביידע אַ גענעראַל און טעמע-ספּעציפיש יקער, און קלאר יבערגעבן אַקסעס קאָנטראָל פּאַלאַסיז צו אַלע באַטייַטיק פּערסאַנעל.

אַקסעס קאָנטראָל פּאַלאַסיז

אַלגעמיינע רעקווירעמענץ און טעמע-ספּעציפיש פּאַלאַסיז זאָל:

פאַרלייגן וואס ריקווייערז אַקסעס צו ספּעציפיש אַסעץ און דאַטן, און פירן אַזאַ רעכט אַקאָרדינגלי (זען ISO 27002 5.18).
באַטראַכטן די יינציק זיכערהייט רעקווירעמענץ פון אַפּלאַקיישאַנז וואָס נוצן PII (זען ISO 27002 5.16, 5.18 און 8.26).
קאָנטראָלירן פיזיש אַקסעס צו PII דאַטן (זען ISO 27002 7.2, 7.3 און 7.4).
פאַרשפּרייטן PII און אָטערייז דאַקיומענטאַד אַקסעס ריקוועס אויף אַ 'דאַרפֿן צו וויסן' יקער (זען ISO 27002 5.10, 5.12 און 5.13).
שטעלן לימיטיישאַנז אויף 'פּריוולידזשד' אַקסעס צו PII' (זען ISO 27701 8.2).
סעגרעגירן דוטיז, צו באַגרענעצן די מעגלעכקייט פון יחידים און גרופּעס צו זיין די איינציקע אויטאָריטעט אויף עלעמענטן (זען ISO 27002 5.3).
נעמען אין חשבון די אַבלאַגיישאַנז פון דער אָרגאַניזאַציע צו קיין פּריוואַטקייט שוץ געסעצ - געבונג, רעגולאַטאָרי גיידליינז אָדער קאַנטראַקטשואַל רעקווירעמענץ (זען ISO 27002 5.31, 5.32, 5.33, 5.34 און 8.3).
פאַרזיכערן אַז פּינטלעך און דערהייַנטיקט לאָגס זענען מיינטיינד, אַז דעטאַל אַקסעס צו PII אַריבער די אָרגאַניזאַציע (זען ISO 27002 8.15).

דיפיינינג אַקסעס קאָנטראָל ענטיטיז און אַססאָסיאַטעד רולעס

ISO קלאַסאַפייז אַ 'ענטיטי' ווי אַ גשמיות, מענטש און / אָדער לאַדזשיקאַל נומער וואָס האט די פיייקייט צו אַקסעס דאַטן.

ענטיטיז זאָל זיין אַסיינד ספּעציפיש ראָלעס, רילייטינג צו זייער פאַנגקשאַנז און די דאַטן זיי דאַרפן אַקסעס צו.

ווען ימפּלאַמענינג אַקסעס קאָנטראָל כּללים פֿאַר די פאַרשידן ענטיטיז וואָס עס האט דיפיינד, אָרגאַנאַזיישאַנז זאָל:

פאַרזיכערן אַז ענטיטיז זענען דערלויבט אַקסעס צו PII קאַנסיסטאַנטלי, אין לויט מיט זייער ספּעציפיש ראָלע און / אָדער פונקציע.
האַלטן אין גייַסט גשמיות זיכערהייט באדערפענישן, ווען אַדמינאַסטערינג אַקסעס צו PII.
אין די פאַל פון מאַלטי-פאַסאַטיד וואָלקן-באזירט און / אָדער פונאנדערגעטיילט ינווייראַנמאַנץ, ענטיטיז זענען בלויז דערלויבט אַקסעס צו די PII דאַטן קאַטעגאָריעס וואָס זיי זענען אָטערייזד צו נוצן (אלא ווי צו צושטעלן פאַרדעקן אַקסעס.

נאָך גיידאַנס

אַקסעס קאָנטראָל קענען אָפט זיין אַ קאָמפּלעקס און האַרט-צו-פירן עלעמענט פון אַן אָרגאַניזאַציע ס יקט אָפּעראַציע.

דאָ זענען אַ ביסל גענעראַל פּרינסאַפּאַלז צו אַדכיר דורך:

אַרבעטן אין אַ "דאַרפֿן צו וויסן" און "דאַרפֿן צו נוצן" פריימווערק - ד"ה בלויז צושטעלן אַקסעס צו PII אויב די ענטיטי ריקווייערז עס צו דורכפירן זייער אַרבעט ראָלע, און ניט ווייניקער.
אָרגאַנאַזיישאַנז זאָל אַדכיר צו דער באַגריף פון 'קלענסטער פּריווילעגיע'. ISO דיפיינז דעם ווי 'אַלץ איז בכלל פאַרבאָטן, סייַדן אויסדריקן דערלויבט'. אין אנדערע ווערטער, אַקסעס קאָנטראָל זאָל זיין ענג אַדמינאַסטערד, אלא ווי טראַסטינג עמפּלוייז מיט ברייט לעוועלס פון אַקסעס אַריבער קייפל אַפּלאַקיישאַנז, סטאָרידזש דעוויסעס און טעקע סערווערס.
ענדערונגען צו אַקסעס פּערמישאַנז זאָל זיין קאַנסידערד אין צוויי וועגן - ענדערונגען ינישיייטיד דורך סיסטעם אַדמיניסטראַטאָרס, און יענע וואָס זענען ינישיייטיד דורך יקט סיסטעמען און אַפּלאַקיישאַנז זיך - אַרייַנגערעכנט ווען צו אָפּשאַצן אַפּרווואַלז.
פֿאַר אַקסעס PII, ISO אַוטליינז פיר הויפּט אַקסעס קאָנטראָל טייפּס וואָס אָרגאַנאַזיישאַנז זאָל באַטראַכטן, באזירט אויף זייער יינציק רעקווירעמענץ:

מאַנדאַטאָרי אַקסעס קאָנטראָל (MAC) - אַקסעס איז סענטראַלי געראטן דורך אַ איינציקע זיכערהייט אויטאָריטעט.
דיסקרעשאַנערי אַקסעס קאָנטראָל (DAC) - דער פאַרקערט אופֿן צו MAC, ווו די אָונערז פון אַבדזשעקץ זענען ביכולת צו פאָרן פּריווילאַדזשאַז צו אנדערע יוזערז.
ראָלע-באזירט אַקסעס קאָנטראָל (RBAC) - די מערסט פּראָסט טיפּ פון געשעפט אַקסעס קאָנטראָל, באזירט אויף פּרעדעפינעד אַרבעט פאַנגקשאַנז און פּריווילאַדזשאַז.
אַטריביוט-באזירט אַקסעס קאָנטראָל (ABAC) - אַקסעס רעכט זענען געגעבן צו יוזערז דורך די נוצן פון פּאַלאַסיז וואָס פאַרבינדן אַטריביוץ צוזאַמען.

באַטייַטיק ISO 27002 קאָנטראָלס

ISO 27002 5.3
ISO 27002 5.10
ISO 27002 5.12
ISO 27002 5.13
ISO 27002 5.16
ISO 27002 5.18
ISO 27002 5.31
ISO 27002 5.32
ISO 27002 5.33
ISO 27002 5.34
ISO 27002 7.2
ISO 27002 7.3
ISO 27002 7.4
ISO 27002 8.2
ISO 27002 8.3
ISO 27002 8.26

איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.

ספר דיין דעמאָ

ISO 27701 פּונקט 6.6.1.2 - אַקסעס צו נעטוואָרקס און נעטוואָרק באַדינונגס

רעפערענצן ISO 27002 קאָנטראָל 5.15

זען ISO 27701 פּונקט 6.6.1.1

שטיצן קאָנטראָלס פֿון ISO 27002 און GDPR

ISO 27701 קלאָז אידענטיפֿיער	ISO 27701 פּונקט נאָמען	ISO 27002 רעקווירעמענץ	אַססאָסיאַטעד GDPR אַרטיקלען
6.6.1.1	אַקסעס קאָנטראָל פּאָליטיק	5.15 - אַקסעס קאָנטראָל פֿאַר ISO 27002	גאָרניט
6.6.1.2	אַקסעס צו נעטוואָרקס און נעטוואָרק באַדינונגס	5.15 - אַקסעס קאָנטראָל פֿאַר ISO 27002	גאָרניט

ווי ISMS.online העלפּס

ווי טאָן מיר העלפן?

ISO 27701 ווייַזן איר ווי צו בויען אַ פּריוואַטקייט אינפֿאָרמאַציע מאַנאַגעמענט סיסטעם וואָס קאַמפּלייז מיט רובֿ פּריוואַטקייט רעגיאַליישאַנז, אַרייַנגערעכנט די GDPR, BS 10012 און דרום אפריקע POPIA.

אונדזער סימפּלאַפייד, זיכער, סאַסטיינאַבאַל ווייכווארג העלפּס איר לייכט נאָכפאָלגן די צוגאַנג אַוטליינד דורך די ינטערנאַשאַנאַלי דערקענט נאָרמאַל.

אונדזער אַלע-אין-איין-פּלאַטפאָרמע ינשורז דיין פּריוואַטקייט אַרבעט אַליינז מיט און טרעפן די באדערפענישן פון יעדער אָפּטיילונג פון די ISO 27701 נאָרמאַל.

און ווייַל עס איז רעגולירן אַגנאָסטיק, איר קענען מאַפּ עס אויף קיין רעגולירן איר דאַרפֿן.

געפֿינען זיך מער דורך בוקינג אַ הענט אויף דעמאָ.

טאָבי קיין

פּאַרטנער קונה סאַקסעס מאַנאַדזשער

טאָבי קיין איז דער סיניער פּאַרטנער סאַקסעס מאַנאַדזשער פֿאַר ISMS.online. ער האָט געאַרבעט פֿאַר דער פֿירמע פֿאַר נאָענט צו 4 יאָר און האָט אויסגעפֿירט אַ ריי ראָלעס, אַרייַנגערעכנט האָסטינג זייערע וועבינאַרן. איידער ער האָט געאַרבעט אין SaaS, איז טאָבי געווען אַ לערער אין אַ מיטלשול.

מיר זענען אַ פירער אין אונדזער פעלד