Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.3.8: Identiteitsbestuur

Beheer A.3.8 vereis dat organisasies die volle lewensiklus van identiteite wat verband hou met PII-verwerking bestuur. Van voorsiening tot deaktivering moet elke gebruikersidentiteit met toegang tot persoonlike data behoorlik beheer word.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.3.8?

Die volle lewensiklus van identiteite wat verband hou met PII-verwerking moet bestuur word.

Hierdie beheer sit binne die gedeelde sekuriteitskontroles (Tabel A.3) en is van toepassing op beide PII-beheerders en PII-verwerkers. Dit brei die standaard ISO 27001-identiteitsbestuurvereistes uit om spesifiek stelsels aan te spreek wat persoonlike data verwerk, en erken dat gekompromitteerde identiteite een van die mees algemene paaie na privaatheidskendings is.

Wat sê die implementeringsriglyne?

Aanhangsel B (afdeling B.3.8) verskaf gedetailleerde leiding oor identiteitslewensiklusbestuur vir PII-verwerkingstelsels:

  • Gekompromitteerde geloofsbriewe — Spreek situasies aan waar gebruikerstoegangsbeheer in die gedrang kom, soos korrupsie of die kompromie van wagwoorde. Hê prosedures in plek om geloofsbriewe-kompromieë vinnig op te spoor en daarop te reageer.
  • Gedeaktiveerde/vervalde ID's — Moenie gedeaktiveerde of vervalde gebruikers-ID's vir PII-verwerkingstelsels heruitreik nie. Dit bewaar die integriteit van ouditspore en voorkom identiteitsverwarring.
  • Gedeelde verantwoordelikheid — Waar kliënte (bv. in 'n SaaS-konteks) verantwoordelik is vir sommige aspekte van gebruikers-ID-bestuur, moet dit duidelik in diensooreenkomste gedokumenteer word.
  • Jurisdiksie-spesifieke kontroles — Sommige jurisdiksies vereis kontroles vir ongebruikte geloofsbriewe met 'n spesifieke frekwensie. Identifiseer en voldoen aan enige sulke vereistes wat op u organisasie van toepassing is.
  • Sien ook A.3.9: Toegangsregte vir verwante vereistes
  • Sien ook A.3.23: Veilige Verifikasie vir verwante vereistes

Die riglyne dek die volle lewensiklus: skepping, voorsiening, wysiging, opskorting, deaktivering en verwydering van identiteite. Elke stadium moet gedokumenteer en beheer word.

Hoe pas dit by die GDPR?

Beheer A.3.8 karteer na BBP Artikel 5(1)(f) (integriteits- en vertroulikheidsbeginsel). Robuuste identiteitsbestuur is 'n kern tegniese en organisatoriese maatreël kragtens Artikel 32 (sekuriteit van verwerking). Gekompromitteerde of swak bestuurde identiteite kan lei tot ongemagtigde toegang tot persoonlike data, wat beide 'n sekuriteitsvoorval en 'n potensiële databreuk is wat kennisgewing vereis kragtens Artikels 33 en 34.

Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?

As 'n gedeelde sekuriteitsbeheer ondersteun A.3.8 die breër ISO 29100 raamwerk. Identiteitsbestuur is 'n direkte implementering van die inligtingsekuriteitsbeginsel, wat verseker dat slegs gemagtigde individue toegang tot PII het en dat hul toegang dwarsdeur die identiteitslewensiklus opgespoor, hersien en herroep kan word.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.3.8 beoordeel word, sal ouditeure tipies kyk na:

  • Identiteitslewensiklusprosedures — Gedokumenteerde prosedures wat die skep, wysiging, opskorting en deaktivering van gebruikersidentiteite vir PII-verwerkingstelsels dek
  • Aansluiter/verhuizer/verlater proses — Bewyse dat identiteitsveranderinge deur HR-gebeure (nuwe beginners, rolveranderinge, vertrek) veroorsaak word en dadelik opgetree word
  • Geen hergebruik van gedeaktiveerde ID's nie — Bewyse dat gedeaktiveerde of vervalde gebruikers-ID's nie aan nuwe gebruikers in PII-verwerkingstelsels heruitgereik is nie
  • Ongebruikte geloofsbriewe-oorsigte — Bewyse van periodieke hersienings om dormante rekeninge te identifiseer en te deaktiveer, met gedokumenteerde frekwensie en resultate
  • Kompromie-reaksie — Prosedures en bewyse van reaksie op gebeurtenisse waar geloofsbriewe gekompromitteer is (wagwoordherstellings, rekeninguitsluitings, ondersoekrekords)
  • Diensooreenkomste — Waar kliënte hul eie gebruikers-ID's bestuur, ooreenkomste wat verantwoordelikhede duidelik definieer

Wat is die verwante kontroles?

Beheer Verhoudings
A.3.4 Rolle en verantwoordelikhede Gedefinieerde rolle bepaal watter toegang elke identiteit moet hê
A.3.5 Klassifikasie van inligting Toegang tot hoër geklassifiseerde persoonlike inligting (PII) moet beperk word tot toepaslik gemagtigde identiteite
A.3.3 Beleide vir inligtingsekuriteit Identiteitsbestuurprosedures moet die toegangsbeheervereistes wat in sekuriteitsbeleide uiteengesit word, implementeer
A.3.7 Inligtingsoordrag Identiteite wat gebruik word om toegang tot oordragstelsels te verkry, moet deur dieselfde lewensikluskontroles bestuur word.
A.3.12 Reaksie op Sekuriteitsvoorvalle Identiteitskompromittering wat lei tot ongemagtigde toegang kan verpligtinge tot kennisgewing van oortredings veroorsaak

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste gedek onder Klousule 6.6.2.1 (gebruikersregistrasie en deregistrasie). Die 2025-weergawe verbreed die omvang om eksplisiet die volle identiteitslewensiklus te dek, nie net registrasie en deregistrasie nie. Die riglyne sluit nou spesifieke bepalings in vir gekompromitteerde geloofsbriewe, nie-hergebruik van gedeaktiveerde ID's en jurisdiksiespesifieke geloofsbriewekontrolevereistes. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir identiteitsbestuur?

ISMS.aanlyn help jou om die identiteitslewensiklus vir PII-verwerkingstelsels te beheer:

  • Toegangsbeheerregister — Dokumenteer wie toegang het tot watter PII-verwerkingstelsels, met rolgebaseerde toegangsvlakke gekoppel aan gedefinieerde verantwoordelikhede
  • Werkstrome vir aansluiters/verhuizers/verlaters — Aktiveer identiteitsvoorsiening, wysiging en deaktiveringstake vanaf HR-gebeurtenisse, met nagespoorde voltooiing en goedkeuring
  • Periodieke toegangsoorsigte — Beplan en volg toegangsoorsigte vir PII-verwerkingstelsels, met ingeboude herinneringe en ouditspoor van oorsiguitkomste
  • Insident reaksie — Teken gebeurtenisse van geloofsbriewe-kompromie aan en volg die reaksie tot en met die oplossing, insluitend bewyse van remediërende stappe wat geneem is
  • Bestuur van verskaffertoegang — Waar derde partye of kliënte hul eie identiteite bestuur, dokumenteer die gedeelde verantwoordelikheidsmodel en monitor nakoming
  • Voldoeningsverslagdoening — Genereer verslae oor identiteitsbestuurstatus, insluitend dormante rekeninge, agterstallige hersienings en versoeke vir ooptoegangverandering

Vrae & Antwoorde

Waarom moet gedeaktiveerde gebruikers-ID's nie heruitgereik word nie?

Die heruitreiking van 'n gedeaktiveerde gebruikers-ID aan 'n nuwe persoon skep dubbelsinnigheid in ouditspore. As 'n stelsel aksies volgens gebruikers-ID aanteken, word dit onmoontlik om te onderskei tussen aksies wat deur die oorspronklike en daaropvolgende houers van daardie ID geneem is. Vir PII-verwerkingstelsels, waar ouditspore krities is om voldoening te demonstreer en voorvalle te ondersoek, is hierdie dubbelsinnigheid onaanvaarbaar. Skep altyd nuwe, unieke gebruikers-ID's vir nuwe gebruikers.

Hoe gereeld moet ons kyk vir ongebruikte geloofsbriewe?

Hersien ten minste ongebruikte geloofsbriewe kwartaalliks. Sommige jurisdiksies of bedryfsregulasies mag meer gereelde kontroles vereis. Outomatiese gereedskap kan rekeninge merk wat nie binne 'n bepaalde tydperk (bv. 90 dae) gebruik is nie, wat jou span in staat stel om dormante rekeninge vinnig te ondersoek en te deaktiveer. Kombineer outomatiese opsporing met 'n handmatige hersieningsproses om rekeninge op te spoor wat moontlik gemis is.

Wat moet ons doen wanneer geloofsbriewe in gevaar gestel word?

Herstel of skort die gekompromitteerde geloofsbriewe onmiddellik op en ondersoek die omvang van die kompromie. Bepaal of enige persoonlike inligting verkry of gesteel is. Indien 'n persoonlike data-oortreding plaasgevind het, bepaal die behoefte aan kennisgewing kragtens toepaslike wetgewing (bv. BBP Artikels 33 en 34). Dokumenteer die voorval, die reaksieaksies wat geneem is en die uitkoms. Hersien die oorsaak en implementeer maatreëls om herhaling te voorkom, soos die afdwinging van multifaktor-verifikasie of die versterking van wagwoordbeleide.

Dokumenteer hierdie beheer in jou Verklaring van toepaslikheid met jou implementeringsrasionaal.

sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.