ISO 27701, Abschnitt 6.10 – Kommunikationssicherheit

ISO 27701-Kontrollen und -Klauseln erklärt

Live-Demo buchen

Team, bei der Arbeit., Gruppe, von, jungen, Unternehmen, Menschen, in, intelligent

Kommunikationssicherheit ist das A und O der meisten Datenschutzmaßnahmen, einschließlich Aktivitäten, die den Zugriff auf PII und datenschutzbezogene Vermögenswerte sowohl einschränken als auch überwachen.

Unternehmen müssen eine strenge Kontrolle darüber ausüben, wer und was auf sicherheits- und datenschutzrelevante IKT-Ressourcen zugreifen kann, indem sie sichere Netzwerkkontrollen, Service-Management und Segregation weit verbreitet einsetzen.

Was in ISO 27701 Abschnitt 6.10 behandelt wird

ISO 27701 enthält drei Unterabschnitte, die sich mit unterschiedlichen Bereichen der Kommunikationssicherheit befassen:

  • ISO 27701 6.10.1.1 – Netzwerkkontrollen (ISO 27002 Steuerung 8.20)
  • ISO 27701 6.10.1.2 – Sicherheit in Netzwerkdiensten (ISO 27002 Control 8.21)
  • ISO 27701 6.10.1.3 – Segregation in Netzwerken (ISO 27002 Control 8.22)

Jeder Abschnitt enthält ergänzende Informationen aus ISO 27002 mit einer langen Reihe unterstützender Abschnitte (insbesondere in Unterabschnitt 6.10.1.1), je nach Komplexität des Themas.

ISO bietet keine zusätzlichen PIMS- oder PII-bezogenen Leitlinien zum Thema Kommunikationssicherheit an, noch gibt es UK DSGVO zu berücksichtigende Artikel.

Einfach. Sicher. Nachhaltig.

Erleben Sie unsere Plattform in Aktion mit einer maßgeschneiderten praktischen Sitzung, die auf Ihre Bedürfnisse und Ziele zugeschnitten ist.

Buchen Sie Ihre Demo
img

ISO 27701 Abschnitt 6.10.1.1 – Netzwerkkontrollen

Referenzen ISO 27002-Steuerung 8.20

ISO 27701 Abschnitt 6.10.1.1 konzentriert sich auf zwei Schlüsselaspekte der Netzwerksicherheit:

  • Schutz der Privatsphäre
  • Schutz vor unbefugtem Zugriff

Organisationen sollten:

  1. Kategorisieren Sie Daten (einschließlich personenbezogener Daten) nach tippe und Einstufung.
  2. Stellen Sie sicher, dass nur qualifiziertes Personal gemäß klaren Rollen und Verantwortlichkeiten mit der Wartung von Netzwerkgeräten beauftragt wird.
  3. Notieren Sie Netzwerkdiagramme, Firmware-Versionen und Konfigurationsdateien wichtiger Geräte wie Router, Firewalls, WAPs und Netzwerk-Switches.
  4. Trennen Sie die Netzwerkverantwortung (siehe ISO 27002 Control 5.3), einschließlich der Trennung von Verwaltungsverkehr und Standardnetzwerkverkehr.
  5. Halten Sie sich an Kontrollen, die die sichere Speicherung und Übertragung von Daten ermöglichen, einschließlich aller verbundenen Anwendungen und Systeme (siehe ISO 27002-Kontrollen 5.22, 8.24, 5.14 und 6.6).
  6. Führen Sie nach Bedarf Sicherheitsprotokolle für das gesamte System und einzelne Komponenten (siehe ISO 27002-Kontrollen 8.16 und 8.15).
  7. Führen Sie Netzwerkmanagement- und Verwaltungsaufgaben im Einklang mit anderen Geschäftsprozessen aus.
  8. Stellen Sie sicher, dass die entsprechende Genehmigung eingeholt und erteilt wird, bevor Mitarbeiter auf relevante Teile des Netzwerks zugreifen.
  9. Nutzen Sie Verkehrsbeschränkungen, Inhaltsfilterung und Datenregeln im gesamten Netzwerk, sowohl für eingehende als auch für ausgehende Daten.
  10. Stellen Sie sicher, dass jedes mit dem Netzwerk verbundene Gerät vom Verwaltungspersonal verwaltet werden kann.
  11. Sie haben die Möglichkeit, kritische Bereiche des Netzwerks zu trennen und zu unterteilen, um die Geschäftskontinuität nach kritischen Ereignissen, einschließlich der Aussetzung von Netzwerkprotokollen, sicherzustellen.

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.14
  • ISO 27002 5.22
  • ISO 27002 5.3
  • ISO 27002 6.6
  • ISO 27002 8.15
  • ISO 27002 8.16
  • ISO 27002 8.24

ISO 27701 Abschnitt 6.10.1.2 – Sicherheit in Netzwerkdiensten

Referenzen ISO 27002-Steuerung 8.21

Bei der Betrachtung des umfassenderen Konzepts der Sicherheit von Netzwerkdiensten sind drei Hauptfaktoren zu berücksichtigen:

  • Sicherheitsfunktionen.
  • Servicelevel.
  • Serviceanforderungen.

Organisationen sollten sicherstellen, dass Dienstleister verstehen, was von ihnen erwartet wird, und ihre erklärten Verpflichtungen konsequent erfüllen.

Organisationen sollten in der Lage sein, sich auf eindeutige SLAs zu beziehen und deren Einhaltung während der gesamten Laufzeit einer Servicevereinbarung zu überwachen.

Referenzen sollten von vertrauenswürdigen Quellen eingeholt und eingeholt werden, mit dem Endziel, die Fähigkeit eines Dienstleisters nachzuweisen, die kommerziellen und betrieblichen Anforderungen der Organisation zu erfüllen.

Zu den Sicherheitsregeln sollten gehören:

  • Alle Netzwerkdienste, auf die zugegriffen werden darf – einschließlich einer ausführlichen Liste der Authentifizierungsvoraussetzungen.
  • Netzwerkverwaltungskontrollen, die PII und datenschutzbezogene Vermögenswerte vor Missbrauch und unbefugtem Zugriff schützen.
  • Fern- und Vor-Ort-Zugriff.
  • Die Protokollierung wichtiger Informationen zum Zugriff auf Netzwerkdienste, einschließlich Zugriffszeit, Zugriffsort und Gerätedaten.
  • Überwachungsaktivitäten.

Netzwerkdienstsicherheit

Den Organisationen stehen verschiedene zusätzliche Sicherheitsmaßnahmen zur Verfügung, die die Integrität und Verfügbarkeit personenbezogener Daten weiter schützen.

Organisationen sollten:

  1. Berücksichtigen Sie Sicherheitsfunktionen wie z Beglaubigung, Verschlüsselung und Verbindungssteuerung.
  2. Legen Sie klare Richtlinien fest, die Verbindungen zu Netzwerkdiensten regeln.
  3. Ermöglichen Sie Benutzern die Auswahl der zwischengespeicherten Datenmenge, um die Leistung zu steigern und die mit übermäßigem Speicher verbundenen Datenschutzrisiken zu minimieren.
  4. Beschränken Sie den Zugriff auf Netzwerkdienste.

Entdecken Sie unsere Plattform

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Wir sind kostengünstig und schnell

Entdecken Sie, wie das Ihren ROI steigert
Holen Sie sich Ihr Angebot

ISO 27701 Abschnitt 6.10.1.3 – Segregation in Netzwerken

Referenzen ISO 27002-Steuerung 8.22

Um die Integrität und Verfügbarkeit personenbezogener Daten und datenschutzbezogener Vermögenswerte zu verbessern, sollten Unternehmen Dienste, Benutzer und Systeme in ihrem gesamten Netzwerk auf der Grundlage ihrer individuellen Sicherheitsanforderungen und in Übereinstimmung mit a trennen themenspezifisch Ansatz (siehe ISO 27002 Control 5.15).

Um dies zu erreichen, sollten Organisationen:

  • Trennen Sie Domänen von allen öffentlichen Netzwerken, einschließlich dem Internet.
  • Trennen Sie Bereiche des Netzwerks nach Vertrauen, Kritikalität und Sensibilität.
  • Berücksichtigen Sie bei der Trennung des Netzwerks unterschiedliche operative Funktionen, wie z. B. Personalwesen, Finanzen und Marketing.
  • Trennen Sie mithilfe einer Kombination aus physischen und logischen Kontrollen.
  • Arbeiten Sie mit klar definierten Netzwerkperimetern und streng kontrollierten Gateways.
  • Berücksichtigen Sie den WLAN-Zugriff in Übereinstimmung mit einem oft lose definierten Netzwerkumfang mit unterschiedlichen Zugriffsanforderungen und stellen Sie sicher, dass externer Datenverkehr durch ein Gateway geleitet wird, bevor interner Zugriff gewährt wird (siehe ISO 27002 Control 8.20).
  • Trennen Sie den WLAN-Zugang von Gästen und Mitarbeitern und schränken Sie den Gastzugang stark ein, um die Nutzung durch das Personal zu verhindern.

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.15
  • ISO 27002 8.20

Unterstützende Kontrollen von ISO 27002 und DSGVO

ISO 27701-KlauselkennungName der ISO 27701-KlauselISO 27002-SteuerungZugehörige DSGVO-Artikel
6.10.1.1Netzwerksteuerung8.20 – Netzwerksicherheit für ISO 27002Keine
6.10.1.2Sicherheit in Netzwerkdiensten8.21 – Sicherheit von Netzwerkdiensten für ISO 27002Keine
6.10.1.3Segregation in Netzwerken8.22 – Trennung von Netzwerken für ISO 27002Keine

Wie ISMS.online hilft

ISO 27701 zeigt Ihnen, wie Sie ein Datenschutzinformationsmanagementsystem aufbauen, das den meisten Datenschutzbestimmungen entspricht, einschließlich der DSGVO der EU. BS 10012 und Südafrikas POPIA. Unsere vereinfachte, sichere und nachhaltige Software hilft Ihnen, den Ansatz des international anerkannten Standards problemlos zu befolgen.

Unsere All-in-One-Plattform stellt sicher, dass Ihre Datenschutzarbeit mit den Anforderungen jedes Abschnitts der Norm ISO 27701 übereinstimmt und diese erfüllt. Und weil es regulierungsunabhängig ist, können Sie es auf jede Regulierung abbilden, die Sie benötigen.

Erfahren Sie mehr von eine Demo buchen.

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.