ISO 27701 Abschnitt 6.6 verstehen: Best Practices für die Zugriffskontrolle
Die Zugriffskontrolle regelt die Art und Weise, wie menschlichen und nichtmenschlichen Einheiten Zugriff auf Daten, IT-Ressourcen und Anwendungen gewährt wird – und im Fall von ISO 27701 6.6 auf PII und datenschutzbezogenes Material.
Die Zugangskontrolle ist eine komplexe und vielschichtige IKT-Funktion, die zahlreiche weitere Geschäftsfunktionen einbezieht, wie z. B. Änderungsmanagement, Asset-Sicherheit, themenspezifische Autorisierung, physische Sicherheitskontrollen und technische Konzepte wie RBAC, MAC und DAC. Daher enthält ISO 27701 6.6 zahlreiche unterstützende Leitlinien ähnlicher Datenschutz- und Informationsschutzverfahren Kontrollen, die in der Norm ISO 27002 enthalten sind.
Die richtige Zugriffskontrolle ist eine der wichtigsten Funktionen einer gut funktionierenden Datenschutzmaßnahme, insbesondere im Zusammenhang mit dem Schutz personenbezogener Daten.
Was in ISO 27701 Abschnitt 6.6 behandelt wird
ISO 27701 6.6 enthält zwei Unterabschnitte, die die in bereitgestellten Informationen kontextualisieren ISO 27002 5.15 (Zugriffskontrolle) im Bereich PII und Datenschutz, wobei zahlreiche unterstützende Klauseln vorgesehen sind, die sich mit verschiedenen anderen Aspekten der Informationssicherheit befassen (siehe oben):
- ISO 27701 6.6.1.1 – Zugangskontrollrichtlinie (Referenzen ISO 27002 Control 5.15)
- ISO 27701 6.6.1.2 – Zugang zu Netzwerken und Netzwerkdiensten (Referenzen ISO 27002 Control 5.15)
Keine der Klauseln enthält PIMS-spezifische Leitlinien und hat auch keine Relevanz für die DSGVO-Gesetzgebung des Vereinigten Königreichs.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.6.1.1 – Zugriffskontrollrichtlinie
Referenzen ISO 27002-Steuerung 5.15
Eigentümer von Vermögenswerten, die personenbezogene Daten und die Daten selbst enthalten, sollten datenschutzbasierte Zugriffsanforderungen sowohl auf allgemeiner als auch themenspezifischer Basis entwickeln und allen relevanten Mitarbeitern klare Richtlinien zur Zugriffskontrolle mitteilen.
Zugriffskontrollrichtlinien
Allgemeine Anforderungen und themenspezifische Richtlinien sollten:
- Stellen Sie fest, wer Zugriff auf bestimmte Vermögenswerte und Daten benötigt, und verwalten Sie diese Rechte entsprechend (siehe ISO 27002 5.18).
- Berücksichtigen Sie die besonderen Sicherheitsanforderungen von Anwendungen, die PII verwenden (siehe ISO 27002 5.16, 5.18 und 8.26).
- Kontrollieren Sie den physischen Zugriff auf PII-Daten (siehe ISO 27002 7.2, 7.3 und 7.4).
- Verbreiten Sie personenbezogene Daten und autorisieren Sie dokumentierte Zugriffsanfragen nach dem „Need-to-know“-Prinzip (siehe ISO 27002 5.10, 5.12 und 5.13).
- Beschränkungen für den „privilegierten“ Zugriff auf PII festlegen (siehe ISO 27701 8.2).
- Aufgaben trennen, um die Möglichkeit einzuschränken, dass Einzelpersonen und Gruppen die alleinige Autorität über Elemente haben (siehe ISO 27002 5.3).
- Berücksichtigen Sie die Verpflichtungen der Organisation gegenüber Datenschutzgesetzen, behördlichen Richtlinien oder vertraglichen Anforderungen (siehe ISO 27002 5.31, 5.32, 5.33, 5.34 und 8.3).
- Stellen Sie sicher, dass genaue und aktuelle Protokolle geführt werden, die den Zugriff auf PII im gesamten Unternehmen detailliert beschreiben (siehe ISO 27002 8.15).
Definieren von Zugriffskontrolleinheiten und zugehörigen Regeln
ISO klassifiziert eine „Entität“ als physisches, menschliches und/oder logisches Objekt, das auf Daten zugreifen kann.
Entitäten sollten spezifische Rollen zugewiesen werden, die sich auf ihre Funktion und die Daten beziehen, auf die sie Zugriff benötigen.
Bei der Implementierung von Zugriffskontrollregeln für die verschiedenen definierten Entitäten sollten Organisationen Folgendes tun:
- Stellen Sie sicher, dass Entitäten entsprechend ihrer spezifischen Rolle und/oder Funktion konsistent Zugriff auf personenbezogene Daten erhalten.
- Berücksichtigen Sie bei der Verwaltung des Zugriffs auf personenbezogene Daten die Anforderungen an die physische Sicherheit.
- Bei vielschichtigen Cloud-basierten und/oder verteilten Umgebungen erhalten Unternehmen nur Zugriff auf die PII-Datenkategorien, zu deren Nutzung sie berechtigt sind (anstatt einen pauschalen Zugriff zu gewähren).
Zusätzliche Anleitung
Die Zugangskontrolle kann oft ein komplexes und schwer zu verwaltendes Element des IKT-Betriebs einer Organisation sein.
Hier sind einige allgemeine Grundsätze, die Sie beachten sollten:
- Arbeiten Sie innerhalb eines „Need-to-know“- und „Need-to-use“-Rahmens – dh gewähren Sie nur dann Zugriff auf PII, wenn das Unternehmen dies zur Erfüllung seiner Aufgaben benötigt, und nicht weniger.
- Organisationen sollten sich an das Konzept der „geringsten Privilegien“ halten. ISO definiert dies als „alles ist generell verboten, es sei denn, es ist ausdrücklich erlaubt“. Mit anderen Worten: Die Zugriffskontrolle sollte streng verwaltet werden, anstatt den Mitarbeitern weitreichende Zugriffsebenen für mehrere Anwendungen, Speichergeräte und Dateiserver anzuvertrauen.
- Änderungen an Zugriffsberechtigungen sollten auf zwei Arten berücksichtigt werden – Änderungen, die von Systemadministratoren initiiert werden, und solche, die von IKT-Systemen und -Anwendungen selbst initiiert werden – einschließlich des Zeitpunkts der Überprüfung von Genehmigungen.
- Für die Zwecke der Zugriffs-PII beschreibt ISO vier Hauptzugriffskontrolltypen, die Unternehmen basierend auf ihren individuellen Anforderungen in Betracht ziehen sollten:
- Mandatory Access Control (MAC) – Der Zugriff wird zentral von einer einzigen Sicherheitsbehörde verwaltet.
- Discretionary Access Control (DAC) – Die entgegengesetzte Methode zu MAC, bei der Objektbesitzer Berechtigungen an andere Benutzer weitergeben können.
- Rollenbasierte Zugriffskontrolle (RBAC) – Die gebräuchlichste Art der kommerziellen Zugriffskontrolle, basierend auf vordefinierten Jobfunktionen und Privilegien.
- Attributbasierte Zugriffskontrolle (ABAC) – Zugriffsrechte werden Benutzern durch die Verwendung von Richtlinien gewährt, die Attribute miteinander kombinieren.
Relevante ISO 27002-Kontrollen
- ISO 27002 5.3
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
- ISO 27002 5.16
- ISO 27002 5.18
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
- ISO 27002 7.2
- ISO 27002 7.3
- ISO 27002 7.4
- ISO 27002 8.2
- ISO 27002 8.3
- ISO 27002 8.26
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.6.1.2 – Zugang zu Netzwerken und Netzwerkdiensten
Referenzen ISO 27002-Steuerung 5.15
Siehe ISO 27701 Abschnitt 6.6.1.1
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.6.1.1 | Zugriffskontrollrichtlinie |
5.15 – Zugriffskontrolle für ISO 27002 |
Keine Präsentation |
| 6.6.1.2 | Zugriff auf Netzwerke und Netzwerkdienste |
5.15 – Zugriffskontrolle für ISO 27002 |
Keine Präsentation |
Wie ISMS.online hilft
Wie helfen wir?
ISO 27701 zeigt Ihnen, wie Sie ein Datenschutzinformationsmanagementsystem aufbauen, das den meisten Datenschutzbestimmungen entspricht, einschließlich der EU-DSGVO, BS 10012 und Südafrikas POPIA.
Unsere vereinfachte, sichere und nachhaltige Software hilft Ihnen, den Ansatz des international anerkannten Standards problemlos zu befolgen.
Unsere All-in-One-Plattform stellt sicher, dass Ihre Datenschutzarbeit mit den Anforderungen jedes Abschnitts der Norm ISO 27701 übereinstimmt und diese erfüllt.
Und weil es regulierungsunabhängig ist, können Sie es auf jede Regulierung abbilden, die Sie benötigen.
Erfahren Sie mehr von Buchen Sie eine praktische Demo.
