Wat vereis beheer A.3.9?
Toegangsregte tot PII en ander geassosieerde bates wat verband hou met PII-verwerking moet voorsien, hersien, gewysig en verwyder word in ooreenstemming met die organisasie se onderwerpspesifieke beleid en reëls vir toegangsbeheer.
Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3), wat verpligtinge bevat wat van toepassing is op beide PII-beheerders en PII-verwerkers. Doeltreffende toegangsbestuur verseker dat slegs gemagtigde personeel toegang tot persoonlike data het, wat die risiko van ongemagtigde openbaarmaking of wysiging verminder.
Wat sê die implementeringsriglyne van Aanhangsel B?
Aanhangsel B (afdeling B.3.9) verskaf die volgende riglyne:
- Handhaaf akkurate rekords — Hou opgedateerde rekords van gebruikersprofiele wat dokumenteer watter individue gemagtigde toegang tot PII en PII-verwerkingstelsels het
- Individuele gebruikerstoegang-ID's — Gebruik individuele gebruikersidentifiseerders sodat organisasies presies kan identifiseer wie toegang tot PII verkry het en watter veranderinge hulle aangebring het, wat aanspreeklikheid en naspeurbaarheid ondersteun.
- Verwerker verantwoordelikhede — In verwerkerscenario's kan die kliënt (beheerder) verantwoordelik wees vir sommige aspekte van toegangsbestuur. Verwerkers moet toepaslike administratiewe regte verskaf om beheerders in staat te stel om toegang soos nodig te bestuur.
- Sien ook A.3.8: Identiteitsbestuur vir verwante vereistes
- Sien ook A.3.23: Veilige Verifikasie vir verwante vereistes
Die klem op individuele identifikasie beteken dat gedeelde rekeninge of generiese aanmeldbesonderhede nie aanvaarbaar is waar persoonlike inligting betrokke is nie. Elke toegangsgebeurtenis moet na 'n spesifieke persoon herlei kan word.
Hoe pas dit by die GDPR?
Beheer A.3.9 karteer na BBP Artikel 5(1)(f), wat vereis dat persoonlike data verwerk word op 'n wyse wat gepaste sekuriteit verseker, insluitend beskerming teen ongemagtigde toegang. Robuuste toegangsbeheer is een van die mees direkte maniere om nakoming van hierdie integriteits- en vertroulikheidsbeginsel aan te toon.
Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste gedek in Klausules 6.6.2.2, 6.6.2.5 en 6.6.2.6, wat onderskeidelik gebruikerstoegangsvoorsiening, hersiening van gebruikerstoegangsregte en verwydering of aanpassing van toegangsregte aangespreek het. Die 2025-uitgawe konsolideer hierdie in 'n enkele beheermaatreël (A.3.9), met duideliker skeiding tussen die beheermaatreëlverklaring en implementeringsriglyne in B.3.9. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin jou gratis toets
Wil jy verken?
Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.9 beoordeel word, sal ouditeure tipies kyk na:
- Toegangsbeheerbeleid — 'n Gedokumenteerde, onderwerpspesifieke beleid wat dek hoe PII-toegangsregte voorsien, hersien en herroep word
- Gebruikerstoegangsregister — ’n Opgedateerde lys van alle individue met toegang tot persoonlike inligting, insluitend hul rolle en die spesifieke datastelle waartoe hulle toegang het
- Periodieke toegangsoorsigte — Bewyse van gereelde hersienings (bv. kwartaalliks) wat bevestig dat toegangsregte steeds gepas is, met rekords van enige veranderinge wat aangebring is
- Aansluiter/verhuizer/verlater proses — Gedokumenteerde prosedures wat toon hoe toegang vir nuwe beginners verleen word, aangepas word wanneer personeel van rolle verander, en onmiddellik verwyder word wanneer iemand vertrek
- Ouditlogboeke — Stelsellogboeke wat toon dat individuele gebruikers-ID's gebruik word en dat toegangsgebeurtenisse naspeurbaar is
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.10 Verskafferooreenkomste | Verskafferkontrakte moet toegangsregte en beperkings vir persoonlike inligting definieer |
| A.3.18 Vertroulikheidsooreenkomste | Personeel met PII-toegang moet onderworpe wees aan vertroulikheidsverpligtinge |
| A.3.16 Nakoming van beleide | Verifieer dat toegangsbeheerbeleide in die praktyk gevolg word |
| A.3.15 Onafhanklike hersiening | Onafhanklike oudits moet bepaal of toegangsbeheer doeltreffend is |
| A.3.17 Bewustheid en opleiding | Personeel benodig opleiding oor toegangsbeheerverantwoordelikhede en PII-hantering |
Op wie is hierdie beheer van toepassing?
A.3.9 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Beheerders moet verseker dat toegang tot persoonlike data beperk is tot gemagtigde personeel, terwyl verwerkers beheerders moet voorsien van die administratiewe gereedskap wat nodig is om toegangsregte te bestuur. In die praktyk beteken dit dat beide partye gedokumenteerde toegangsbestuursprosedures benodig.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die bestuur van PII-toegangsregte?
ISMS.aanlyn bied praktiese gereedskap vir die bestuur van toegangsbeheer oor u privaatheidsprogram:
- Toegangsbeheerregister — Dokumenteer wie toegang het tot watter PII-bates, met rolgebaseerde kategorisering en goedkeuringswerkvloeie
- Geskeduleerde toegangsresensies — Stel hersieningsiklusse met outomatiese herinneringe sodat toegangsregte met beplande tussenposes nagegaan word
- Werkstrome vir aansluiters/verhuizers/verlaters — Voorafgeboude taaksjablone vir die voorsiening, wysiging en herroeping van toegang wanneer personeelveranderinge plaasvind
- Volledige ouditroete — Elke verandering aan toegangsregte word aangeteken met tydstempels, goedkeurders en redes, gereed vir ouditeurhersiening
- Beleidsbestuur — Handhaaf u toegangsbeheerbeleid met weergawebeheer, personeelerkenningsopsporing en hersieningsdatums
Vrae & Antwoorde
Hoe gereeld moet toegangsregte hersien word?
Die standaard skryf nie 'n spesifieke frekwensie voor nie, maar die meeste organisasies hersien kwartaalliks PII-toegangsregte. Hoërisiko-stelsels wat sensitiewe kategorieë van PII hanteer, kan maandelikse hersienings regverdig. Die sleutel is dat hersienings met beplande tussenposes plaasvind en gedokumenteer word, met enige teenstrydighede wat vinnig opgelos word.
Kan gedeelde rekeninge gebruik word om toegang tot persoonlike inligting te verkry?
Die implementeringsriglyne vereis spesifiek individuele gebruikerstoegang-ID's sodat organisasies kan identifiseer wie toegang tot persoonlike inligting verkry het en watter veranderinge hulle aangebring het. Gedeelde of generiese rekeninge ondermyn hierdie naspeurbaarheid. Indien gedeelde rekeninge om 'n spesifieke tegniese rede onvermydelik is, moet kompenserende beheermaatreëls soos addisionele logging en toesig gedokumenteer word.
Wat is 'n verwerker se verpligtinge vir kliëntetoegangsbestuur?
Waar 'n verwerker PII namens 'n beheerder hanteer, moet die beheerder moontlik sommige toegangsaspekte direk bestuur. Die verwerker moet toepaslike administratiewe regte en gereedskap verskaf sodat die beheerder toegang kan verskaf en herroep soos nodig. Die verdeling van verantwoordelikhede moet duidelik in die verwerkingsooreenkoms gedokumenteer word.
Dokumenteer hierdie beheer in jou Verklaring van toepaslikheid met jou implementeringsrasionaal.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag.
