Wat vereis beheer A.3.19?
Duidelike lessenaarreëls vir papiere en verwyderbare stoormedia en duidelike skermreëls vir inligtingverwerkingsfasiliteite moet gedefinieer en toepaslik toegepas word.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en spreek 'n misleidend eenvoudige maar hoë-impak risiko aan: PII wat sigbaar gelaat word op lessenaars of skerms kan gesien, gefotografeer of geneem word deur enigiemand met fisiese of visuele toegang tot die werkspasie. Die afdwinging van 'n skoon lessenaar en 'n skoon skerm beleid skep 'n basiese fisiese sekuriteitsdissipline wat tegniese toegangsbeheer aanvul.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.19) verskaf die volgende riglyne:
- Minimaliseer die skep van harde kopieë — Die organisasie moet die skep van harde kopiemateriaal, insluitend persoonlike inligting, beperk tot die minimum wat nodig is om die geïdentifiseerde verwerkingsdoel te bereik.
- Verwyderbare stoormedia — Reëls vir 'n duidelike lessenaar moet verwyderbare media soos USB-skywe, eksterne hardeskywe en optiese skywe wat moontlik persoonlike inligting (PII) bevat, eksplisiet dek.
- Skermsluiting — Inligtingsverwerkingsfasiliteite moet gekonfigureer word om skerms outomaties te sluit na 'n bepaalde tydperk van onaktiwiteit, en personeel moet opgelei word om skerms handmatig te sluit wanneer hulle hul werkstasie verlaat.
- Sien ook A.3.18: Vertroulikheids- of Nie-Openbaarmakingsooreenkomste vir verwante vereistes
Die riglyne versterk 'n privaatheid-by-standaard-denkwyse: as persoonlike inligting nie in harde kopie-vorm hoef te bestaan nie, moet dit in die eerste plek nie geskep word nie. Waar harde kopie onvermydelik is, verseker duidelike reëls dat dit beveilig word wanneer dit nie aktief gebruik word nie.
Hoe pas dit by die GDPR?
Beheer A.3.19 karteer na die volgende BBP Artikel:
- Artikel 5(1)(f) — Die integriteits- en vertroulikheidsbeginsel, wat vereis dat persoonlike data verwerk word op 'n wyse wat gepaste sekuriteit verseker, insluitend beskerming teen ongemagtigde of onwettige verwerking en teen toevallige verlies, vernietiging of skade
Beleide vir 'n skoon lessenaar en 'n skoon skerm is 'n praktiese implementering van Artikel 5(1)(f), wat toevallige of opportunistiese toegang tot persoonlike inligting (PII) in fisiese en digitale werkruimtes voorkom.
Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.8.2.9 (beleid vir 'n skoon lessenaar en 'n skoon skerm). Die 2025-uitgawe behou die kernvereistes as A.3.19 met die implementeringsriglyne wat in B.3.19 gekonsolideer is. Die klem op die minimalisering van die skep van harde kopieë van PII is 'n noemenswaardige privaatheidspesifieke toevoeging. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.19 beoordeel word, sal ouditeure tipies kyk na:
- Beleid oor 'n skoon lessenaar en 'n skoon skerm — ’n Gedokumenteerde beleid wat spesifieke reëls definieer vir die beveiliging van papiere, verwyderbare media en skerms wanneer werkstasies onbewaak is
- Outomatiese skermslotkonfigurasie — Bewyse dat inligtingverwerkingstelsels gekonfigureer is om te sluit na 'n gedefinieerde onaktiwiteitstydperk (gewoonlik 5 tot 15 minute)
- Fisiese sekuriteitsmaatreëls — Sluitbare laaie, kaste of veilige berging vir dokumente wat persoonlike inligting bevat
- Personeelbewustheid — Opleidingsrekords wat toon dat personeel die vereistes vir 'n skoon lessenaar en 'n skoon skerm verstaan en daarin opgelei is
- Voldoeningskontroles — Rekords van periodieke werkplekinspeksies of steekproefkontroles om nakoming van skoon lessenaarreëls te verifieer
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.5 Klassifikasie van inligting | Klassifikasie-etikette dui aan watter dokumente onder die reëls vir 'n duidelike lessenaar beveilig moet word |
| A.3.17 Bewustheid en opleiding | Personeelopleiding moet verpligtinge oor 'n skoon lessenaar en 'n skoon skerm dek |
| A.3.20 Stoormedia | Verwyderbare media wat op lessenaars gelaat word, is 'n oortreding van 'n skoon lessenaar |
| A.3.22 Gebruikerseindpunttoestelle | Eindpunttoestelbeleide moet skermslotvereistes insluit |
| A.3.16 Nakoming van beleide | Gereelde nakomingskontroles moet 'n skoon lessenaar en 'n skoon skerm oudit insluit. |
Op wie is hierdie beheer van toepassing?
A.3.19 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Enige organisasie wat PII in fisiese of digitale werkruimtes verwerk, moet reëls vir 'n skoon lessenaar en 'n skoon skerm definieer en afdwing. Dit is veral belangrik in oopplan-kantore, gedeelde werkruimtes, samewerkingsomgewings en enige plek waar ongemagtigde individue visuele toegang tot skerms of dokumente mag hê.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir 'n skoon lessenaar en 'n duidelike skerm-nakoming?
ISMS.aanlyn bied praktiese gereedskap vir die implementering en instandhouding van 'n skoon lessenaar- en skoon skermbeleid:
- Beleidsjablone — Voorafgeboude beleidsjablone vir 'n skoon lessenaar en 'n skoon skerm wat u kan aanpas volgens u organisasie se spesifieke vereistes en werkspasietipes
- Bewusmakingsveldtogte — Beplan en hou personeelbewustheidskommunikasie dop, en verseker dat alle personeel hul verantwoordelikhede vir 'n skoon lessenaar en 'n skoon skerm verstaan.
- Voldoeningskontrolelyste — Skep en bestuur werkplekinspeksie-kontrolelyste vir periodieke steekproefkontroles, met resultate aangeteken as ouditbewyse
- Opleidingsopsporing — Teken die voltooiing van opleiding vir 'n skoon lessenaar en 'n skoon skerm aan vir individuele personeellede, met outomatiese herinneringe vir agterstallige opleiding.
- Voorvalregistrasie — Teken en spoor oortredings van die leë lessenaar as sekuriteitsgebeurtenisse aan, wat tendensanalise en geteikende remediëring moontlik maak.
Vrae & Antwoorde
Wat moet 'n skoon lessenaar-polis dek?
'n Beleid vir 'n skoon lessenaar moet spesifiseer dat alle papiere en verwyderbare stoormedia wat persoonlike inligting bevat, in geslote laaie of kabinette gebêre moet word wanneer dit nie aktief gebruik word nie. Dit moet prosedures aan die einde van die dag, reëls vir die verlaat van werkstasies gedurende die dag, die wegdoening van vertroulike afval en die hantering van gedeelde drukkers en fotokopieerders dek. Die beleid moet ook besoekerstoegangsareas aanspreek waar persoonlike inligtingsdokumente sigbaar mag wees.
Wat is die aanbevole skermslot-tydsberekening?
Die meeste sekuriteitsraamwerke beveel 'n outomatiese skermslot-tydsbeperking van tussen 5 en 15 minute van onaktiwiteit aan. Organisasies wat sensitiewe kategorieë van PII verwerk (soos gesondheidsdata of finansiële rekords) kan kies vir 'n korter tydsbeperking. Die tydsbeperking moet sentraal afgedwing word via groepbeleid of mobiele toestelbestuur en moet nie deur eindgebruikers konfigureerbaar wees nie.
Hoe is die reëls vir 'n skoon lessenaar van toepassing op afstandwerkers?
Reëls vir 'n skoon lessenaar geld ewe veel vir afstandwerkers en tuiswerkers. Organisasies moet leiding gee oor die beveiliging van PII-dokumente in tuisomgewings, insluitend sluitbare berging waar moontlik. Afstandwerkers moet daaraan herinner word dat familielede en besoekers in die tuisomgewing nie gemagtig is om PII te bekyk nie. Skermprivaatheidsfilters en outomatiese skermslotinstellings moet op alle toestelle toegepas word wat vir afstandwerk gebruik word.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag.
