ISO 27701 - Klausel 6.6.2 - Benutzerzugriffsverwaltung

ISO 27701 Abschnitt 6.6.2 – Benutzerzugriffsverwaltung beschreibt wichtige Kontrollen für die Verwaltung des Benutzerzugriffs auf personenbezogene Daten (PII), um eine sichere Registrierung, Bereitstellung, privilegierte Zugriffskontrolle, Authentifizierungsverwaltung, regelmäßige Zugriffsüberprüfungen und den rechtzeitigen Widerruf von Zugriffsrechten sicherzustellen.

Beratung buchen
Autor
Max Edwards
Aktualisiert am 25. Februar 2025
LinkedIn Twitter Twitter

ISO 27701 Abschnitt 6.6.2: Ein Leitfaden zur Benutzerzugriffsverwaltung

Die Benutzerzugriffsverwaltung regelt die Methoden, mit denen Benutzer auf PII- und datenschutzbezogene Informationen zugreifen, und wie Organisationen diesen Zugriff mithilfe einer Vielzahl physischer und logischer Maßnahmen kontrollieren können.

Was in ISO 27701 Abschnitt 6.6.2 behandelt wird

ISO 27701 6.6.2 ist (angesichts des Themas) ein relativ umfangreicher Abschnitt, der sechs Unterabschnitte enthält, die sich auf die Bereitstellung, Nutzung und Verwaltung von Benutzerzugriffsrechten beziehen.

Jeder Unterabschnitt enthält Informationen aus einem angrenzenden Unterabschnitt in ISO 27002, mit Leitlinien, die an den Schutz der Privatsphäre und personenbezogene Daten angepasst sind, und nicht an die allgemeine Informationssicherheit:

  • ISO 6.6.2.1 – Benutzerregistrierung und -abmeldung (Referenzen ISO 27002-Steuerung 5.16).
  • ISO 6.6.2.2 – Benutzerzugriffsbereitstellung (Referenzen ISO 27002-Steuerung 5.18).
  • ISO 6.6.2.3 – Verwaltung privilegierter Zugriffsrechte (Referenzen ISO 27002-Steuerung 8.2).
  • ISO 6.6.2.4 – Verwaltung geheimer Authentifizierungsinformationen von Benutzern (Referenzen ISO 27002-Steuerung 5.17).
  • ISO 6.6.2.5 – Überprüfung der Benutzerzugriffsrechte (Referenzen ISO 27002-Steuerung 5.18).
  • ISO 6.6.2.6 – Entfernung oder Anpassung von Zugriffsrechten (Referenzen ISO 27002 Kontrolle 5.18).

Zwei Klauseln enthalten Leitlinien, die möglicherweise Auswirkungen auf die Einhaltung der DSGVO im Vereinigten Königreich haben, und die entsprechenden Artikel wurden zu Ihrer Bequemlichkeit bereitgestellt.

ISO 27701 6.6.2 enthält in allen Abschnitten keine weiteren Leitlinien der ISO zur Verwendung eines PIMS.

Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.



Verschaffen Sie sich einen Vorsprung von 81 %

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Beratung buchen


ISO 27701 Abschnitt 6.6.2.1 – Benutzerregistrierung und -abmeldung

Referenzen ISO 27002-Steuerung 5.16

Die Benutzerregistrierung wird durch die Verwendung zugewiesener „Identitäten“ geregelt. Identitäten bieten Organisationen einen Rahmen, um den Benutzerzugriff auf PII und datenschutzbezogene Vermögenswerte und Materialien innerhalb der Grenzen eines Netzwerks zu steuern.

Die Organisation muss sechs Hauptrichtlinien befolgen, um sicherzustellen, dass Identitäten korrekt verwaltet werden und PII geschützt sind, wo immer sie gespeichert, verarbeitet oder abgerufen werden:

  1. Wenn einem Menschen Identitäten zugewiesen werden, darf sich nur diese Person beim Zugriff auf personenbezogene Daten mit dieser Identität authentifizieren und/oder verwenden.
  2. Gemeinsame Identitäten – mehrere Personen, die unter derselben Identität registriert sind – sollten nur eingesetzt werden, um eine Reihe eindeutiger betrieblicher Anforderungen zu erfüllen.
  3. Nichtmenschliche Einheiten sollten anders betrachtet und verwaltet werden als benutzerbasierte Identitäten, die auf PII und datenschutzbezogenes Material zugreifen.
  4. Identitäten sollten entfernt werden, sobald sie nicht mehr benötigt werden – insbesondere solche mit Zugriff auf PII oder datenschutzbasierte Rollen.
  5. Organisationen sollten sich bei der Verteilung von Identitäten im Netzwerk an die Regel „Eine Entität, eine Identität“ halten.
  6. Registrierungen sollten durch eine klare Dokumentation protokolliert und aufgezeichnet werden, einschließlich Zeitstempel, Zugriffsebenen und Identitätsinformationen.

Organisationen, die mit externen Organisationen (insbesondere cloudbasierten Plattformen) zusammenarbeiten, sollten die mit solchen Praktiken verbundenen Risiken verstehen und Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten durch den Prozess nicht beeinträchtigt werden (siehe ISO 27002-Kontrollen 5.19 und 5.17).

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.17
  • ISO 27002 5.19

Anwendbare DSGVO-Artikel

  • Artikel 5 – (1)(f)

ISO 27701 Abschnitt 6.6.2.2 – Benutzerzugriffsbereitstellung

Referenzen ISO 27002-Steuerung 5.18

„Zugriffsrechte“ regeln, wie der Zugriff auf personenbezogene Daten und datenschutzbezogene Informationen sowohl gewährt als auch widerrufen wird, wobei dieselben Leitprinzipien gelten.

Gewährung und Widerruf von Zugriffsrechten

Zugangsverfahren sollten Folgendes umfassen:

  • Erlaubnis und Genehmigung des Eigentümers (oder der Verwaltung) der Informationen oder des Vermögenswerts (siehe ISO 27002-Steuerung 5.9).
  • Alle vorherrschenden kommerziellen, rechtlichen oder betrieblichen Anforderungen.
  • Eine Anerkennung der Notwendigkeit, Aufgaben zu trennen, um die PII-Sicherheit zu verbessern und einen widerstandsfähigeren Datenschutzbetrieb aufzubauen.
  • Steuerelemente zum Widerrufen von Zugriffsrechten, wenn der Zugriff nicht mehr erforderlich ist (Abgänger usw.).
  • Mal Zugangsmaßnahmen für Zeitarbeitskräfte oder Auftragnehmer.
  • Eine zentralisierte Aufzeichnung der Zugriffsrechte, die sowohl menschlichen als auch nichtmenschlichen Einheiten gewährt werden.
  • Maßnahmen zur Änderung der Zugriffsrechte von Mitarbeitern oder Drittanbietern, die ihre Jobrollen geändert haben.

Überprüfung der Zugriffsrechte

Organisationen sollten regelmäßige Überprüfungen der Zugriffsrechte im gesamten Netzwerk durchführen, einschließlich:

  • Einbeziehung des Widerrufs des Zugriffsrechts in HR-Offboarding-Verfahren (siehe ISO 27002-Kontrollen 6.1 und 6.5) und Rollenwechsel-Workflows.
  • Anfragen nach „privilegierten“ Zugriffsrechten.

Change Management und Abgänger

Bei Mitarbeitern, die das Unternehmen entweder vorsätzlich oder als gekündigter Mitarbeiter verlassen, und bei denen eine Änderungsanforderung vorliegt, sollten die Zugriffsrechte auf der Grundlage robuster Risikomanagementverfahren geändert werden, darunter:

  • Die Quelle der Änderung/Kündigung, einschließlich des zugrunde liegenden Grundes.
  • Die aktuelle Jobrolle des Benutzers und die damit verbundenen Verantwortlichkeiten.
  • Die Informationen und Vermögenswerte, die derzeit zugänglich sind – einschließlich ihres Risikoniveaus und ihres Werts für die Organisation.

Ergänzende Anleitung

Arbeitsverträge und Auftragnehmer-/Dienstleistungsverträge sollten eine Erläuterung darüber enthalten, was nach etwaigen unbefugten Zugriffsversuchen geschieht (siehe ISO 27002-Kontrollen 5.20, 6.2, 6.4, 6.6).

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.9
  • ISO 27002 5.20
  • ISO 27002 6.2
  • ISO 27002 6.4
  • ISO 27002 6.6

Anwendbare DSGVO-Artikel

  • Artikel 5 – (1)(f)


Compliance muss nicht kompliziert sein.

Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.

Beratung buchen


ISO 27701 Abschnitt 6.6.2.3 – Verwaltung privilegierter Zugriffsrechte

Referenzen ISO 27002-Steuerung 8.2

Privilegierte Zugriffsrechte geben Unternehmen die Möglichkeit, gleichzeitig den Zugriff auf PII und datenschutzrelevante Anwendungen und Assets zu kontrollieren und die Integrität von PII in ihrem gesamten Netzwerk aufrechtzuerhalten.

Die unbefugte Nutzung von Systemadministratorrechten (oder erhöhten RBAC-Berechtigungen) ist weltweit eine der Hauptursachen für IKT-Störungen.

Bei der Verwaltung privilegierter Zugriffsrechte unter Berücksichtigung des Datenschutzes sollten Unternehmen Folgendes tun:

  • Erstellen Sie eine Liste der Benutzer, die privilegierten Zugriff benötigen.
  • Implementieren Sie Verfahren, die Benutzern „Ereignis für Ereignis“ privilegierte Zugriffsrechte zuweisen, d. h. einem Benutzer wird eine Zugriffsebene gewährt, die seiner beruflichen Rolle entspricht.
  • Arbeiten Sie mit einem klaren Autorisierungsprozess, der Anfragen nach privilegiertem Zugriff bearbeitet.
  • Führen Sie eine zentrale Aufzeichnung aller privilegierten Zugriffsanfragen.
  • Beachten Sie die Ablaufdaten des Zugriffs, sofern angegeben.
  • Stellen Sie sicher, dass Benutzer über alle ihnen gewährten privilegierten Zugriffsrechte informiert sind.
  • Erzwingen Sie eine erneute Authentifizierung, bevor Benutzer privilegierte Zugriffsrechte verwenden.
  • Überprüfen Sie regelmäßig die unternehmensweiten privilegierten Zugriffsrechte (siehe ISO 27002-Steuerung 5.18).
  • Erwägen Sie die Implementierung eines „Break-Glass“-Verfahrens, indem Sie sicherstellen, dass privilegierte Zugriffsrechte innerhalb strenger Zeitfenster gewährt werden, die von der Art der Anfrage vorgegeben werden.
  • Verbieten Sie die Verwendung allgemeiner Anmeldeinformationen und erratener Passwörter (siehe ISO 27002-Steuerung 5.17).
  • Weisen Sie jedem Benutzer eine Identität zu, die bei Bedarf in Zugriffsgruppen zusammengefasst wird.
  • Stellen Sie sicher, dass privilegierter Zugriff nur für kritische Aufgaben gewährt wird – wie etwa wesentliche Wartungsarbeiten oder ereignisbezogene Aktivitäten.

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.17
  • ISO 27002 5.18

ISO 27701 Abschnitt 6.6.2.4 – Verwaltung geheimer Authentifizierungsinformationen von Benutzern

Referenzen ISO 27002-Steuerung 5.17

Authentifizierungsdetails sollten so verteilt und verwaltet werden, dass:

  • Automatisch generierte Authentifizierungsinformationen (Passwörter usw.) werden vor Personen geheim gehalten, die nicht zur Verwendung dieser Informationen berechtigt sind, sind nicht erraten und werden so verwaltet, dass ein Benutzer gezwungen ist, sie nach der ersten Anmeldung zu ändern.
  • Vor der Ausstellung oder Ersetzung von Authentifizierungsdaten werden Verfahren zur Überprüfung der Identität der Person eingerichtet, die diese benötigt.
  • Für die Übermittlung der Authentifizierungsdaten werden die richtigen sicheren Kanäle verwendet (also nicht per E-Mail).
  • Nach erfolgreicher Übermittlung der Daten an den jeweiligen Empfänger bestätigen die Nutzer zeitnah den Empfang.
  • Alle vom Anbieter bereitgestellten Authentifizierungsinformationen (z. B. Standard-Benutzername und -Passwort für Router und Firewalls) werden nach Erhalt geändert.
  • Über relevante Authentifizierungsereignisse werden Aufzeichnungen geführt – insbesondere über die Erstvergabe und die anschließende Verwaltung von Authentifizierungsdaten.

Alle Mitarbeiter, die organisatorische Authentifizierungsinformationen verwenden, sollten Folgendes sicherstellen:

  • Alle Authentifizierungsdaten werden streng vertraulich behandelt.
  • Wenn Authentifizierungsdaten entweder kompromittiert, von jemand anderem als dem ursprünglichen Eigentümer eingesehen oder weitergegeben werden, werden diese Daten geändert sofort.
  • Alle Passwörter werden gemäß der Passwortrichtlinie der Organisation erstellt und/oder generiert und Passwörter sind auf verschiedenen Plattformen eindeutig (dh Domänenpasswörter sind nicht dasselbe wie Cloud-Service-Passwörter).
  • Arbeitsverträge enthalten eine ausdrückliche Verpflichtung, die Passwortrichtlinie des Unternehmens einzuhalten (siehe ISO 27002-Steuerung 6.2).

Passwortverwaltungssysteme

Organisationen sollten die Implementierung eines Passwortverwaltungssystems (spezielle Passwortkontrollanwendungen) in Betracht ziehen, das:

  • Geeignet für Benutzer, die ein von ihnen verwendetes Passwort ändern müssen.
  • Ist so programmiert, dass Passwörter abgelehnt werden, die nicht den Best-Practice-Richtlinien entsprechen.
  • Zwingt Benutzer dazu, ihr vom System generiertes Passwort zu ändern, nachdem sie es zum ersten Mal verwenden.
  • Die weitere Verwendung alter Passwörter oder ähnlicher Phrasen und alphanumerischer Kombinationen ist nicht gestattet.
  • Versteckt Passwörter während der Eingabe.
  • Speichert und sendet Passwortinformationen auf sichere Weise.
  • Bietet Passwortverschlüsselung und ähnliche Verschlüsselungstechniken (siehe ISO 27002-Steuerung 8.24).

Um personenbezogene Daten zu schützen und die Bemühungen des Unternehmens zum Schutz der Privatsphäre zu verbessern, sollten Passwörter vier Leitprinzipien folgen:

  1. Passwörter sollten nicht auf erratenen oder biografischen Informationen basieren.
  2. Passwörter sollten keine erkennbaren Wörter anstelle zufälliger alphanumerischer Zeichen enthalten.
  3. Um die Passwortkomplexität zu erhöhen, sollten Sonderzeichen verwendet werden.
  4. Alle Passwörter sollten eine Mindestlänge haben (idealerweise 12 Zeichen).

Unternehmen sollten auch den Einsatz von Authentifizierungsprotokollen wie Single Sign-On (SSO) in Betracht ziehen, um die Passwortsicherheit zu verbessern. Solche Maßnahmen sollten jedoch nur zusammen mit den individuellen technischen und betrieblichen Anforderungen des Unternehmens in Betracht gezogen werden.

Relevante ISO 27002-Kontrollen

  • ISO 27002 6.2
  • ISO 27002 8.24


Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.

Beratung buchen


ISO 27701 Abschnitt 6.6.2.5 – Überprüfung der Benutzerzugriffsrechte

Referenzen ISO 27002-Steuerung 5.18

Siehe oben (ISO 27701 Abschnitt 6.6.2.2).

ISO 27701 Abschnitt 6.6.2.6 – Entfernung oder Anpassung von Zugriffsrechten

Referenzen ISO 27002-Steuerung 5.18

Siehe oben (ISO 27701 Abschnitt 6.6.2.2).

Unterstützende Kontrollen von ISO 27002 und DSGVO

ISO 27701-KlauselkennungName der ISO 27701-KlauselISO 27002-AnforderungZugehörige DSGVO-Artikel
6.6.2.1Benutzerregistrierung und -abmeldung
5.16 – Identitätsmanagement für ISO 27002
 Artikel (5)
6.6.2.2Benutzerzugriffsbereitstellung
5.18 – Zugriffsrechte für ISO 27002
 Artikel (5)
6.6.2.3Verwaltung privilegierter Zugriffsrechte
8.2 – Privilegierte Zugriffsrechte für ISO 27002
Non
6.6.2.4Verwaltung geheimer Authentifizierungsinformationen von Benutzern
5.17 – Authentifizierungsinformationen für ISO 27002
Non
6.6.2.5Überprüfung der Benutzerzugriffsrechte
5.18 – Zugriffsrechte für ISO 27002
Non
6.6.2.6Entfernung oder Anpassung von Zugriffsrechten
5.18 – Zugriffsrechte für ISO 27002
Non

Wie ISMS.online hilft

Durch das Hinzufügen eines PIMS zu Ihrem ISMS auf der ISMS.online-Plattform bleibt Ihr Sicherheitsstatus an einem Ort und Sie vermeiden Doppelarbeit, wenn sich die Standards überschneiden.

Da Ihr PIMS für interessierte Parteien sofort zugänglich ist, war es noch nie so einfach, mit einem Klick sowohl die ISO 27002 als auch die ISO 27701 zu überwachen, zu berichten und zu prüfen.

Erfahren Sie mehr von Buchen Sie eine praktische Demo.

Zum Thema springen

Max Edwards

Max arbeitet als Teil des ISMS.online-Marketingteams und sorgt dafür, dass unsere Website mit nützlichen Inhalten und Informationen rund um ISO 27001, 27002 und Compliance aktualisiert wird.

ISMS-Plattform-Tour

Interessiert an einem ISMS.online-Plattformrundgang?

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und erleben Sie die Magie von ISMS.online in Aktion!

Probieren Sie es kostenlos aus

Wir sind führend auf unserem Gebiet

Benutzer lieben uns
Grid Leader – Frühjahr 2025
Momentum Leader – Frühjahr 2025
Regionalleiter – Frühjahr 2025, Großbritannien
Regionalleiter – Frühjahr 2025 EU
Beste Schätzung. ROI Enterprise – Frühjahr 2025
Empfiehlt Enterprise am ehesten weiter – Frühjahr 2025

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

-Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

-Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

-Ben H.

SOC 2 ist da! Stärken Sie Ihre Sicherheit und gewinnen Sie Kundenvertrauen mit unserer leistungsstarken Compliance-Lösung!