Verstaan ISO 27701 Klousule 6.10: Kommunikasiesekuriteit
Kommunikasiesekuriteit is die brood en botter van die meeste privaatheidsbeskermingsbedrywighede, insluitend aktiwiteite wat toegang tot PII en privaatheidsverwante bates beperk en monitor.
Organisasies moet streng beheer uitoefen oor wie en wat toegang het tot sekuriteit en privaatheidverwante IKT-hulpbronne deur wydverspreide gebruik van veilige netwerkkontroles, diensbestuur en segregasie.
Wat word gedek in ISO 27701 Klousule 6.10
ISO 27701 bevat drie subklousules wat handel oor verskillende areas van kommunikasiesekuriteit:
- ISO 27701 6.10.1.1 – Netwerkkontroles (ISO 27002 Beheer 8.20)
- ISO 27701 6.10.1.2 – Sekuriteit in netwerkdienste (ISO 27002 Beheer 8.21)
- ISO 27701 6.10.1.3 – Segregasie in netwerke (ISO 27002 Beheer 8.22)
Elke klousule bevat aangrensende inligting van ISO 27002, met 'n lang stel ondersteunende klousules (veral binne subklousule 6.10.1.1), soos pas by die komplekse aard van die onderwerp.
ISO bied geen bykomende PIMS of PII-verwante leiding oor die onderwerp van kommunikasiesekuriteit nie, en daar is ook geen VK BBP artikels om in ag te neem.
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
ISO 27701 Klousule 6.10.1.1 – Netwerkkontroles
Verwysings ISO 27002 Beheer 8.20
ISO 27701 klousule 6.10.1.1 fokus op twee sleutelaspekte van netwerksekuriteit:
- Beskerming van privaatheid
- Beskerming teen ongemagtigde toegang
Organisasies moet:
- Kategoriseer data (insluitend PII) volgens tipe en klassifikasie.
- Verseker dat slegs gekwalifiseerde personeel gevra word om netwerktoerusting in stand te hou, in ooreenstemming met 'n duidelike stel rolle en verantwoordelikhede.
- Hou rekord van netwerkdiagramme, fermwareweergawes en konfigurasielêers van kritieke toestelle soos roeteerders, brandmure, WAP's en netwerkskakelaars.
- Skei netwerkverantwoordelikhede (sien ISO 27002 Beheer 5.3), insluitend die skeiding van administratiewe verkeer van standaard netwerkverkeer.
- Voldoen aan kontroles wat die veilige berging en oordrag van data fasiliteer, insluitend alle gekoppelde toepassings en stelsels (sien ISO 27002 Kontroles 5.22, 8.24, 5.14 en 6.6).
- Handhaaf sekuriteitslogboeke vir die hele stelsel, en individuele komponente, soos vereis word (sien ISO 27002 Kontroles 8.16 en 8.15).
- Voer netwerkbestuur- en administrasiepligte uit in harmonie met ander besigheidsprosesse.
- Maak seker dat behoorlike magtiging gesoek en verleen word voordat personeel toegang tot relevante dele van die netwerk verkry.
- Gebruik verkeersbeperkings, inhoudfiltrering en datareëls regdeur die netwerk, vir beide inkomende en uitgaande data.
- Maak seker dat enige toestel wat aan die netwerk gekoppel is, deur administratiewe personeel bestuur kan word.
- Het die vermoë om kritieke areas van die netwerk te skei en te verdeel, om besigheidskontinuïteit te verseker na kritieke gebeurtenisse, insluitend die opskorting van netwerkprotokolle.
Relevante ISO 27002-kontroles
- ISO 27002 5.14
- ISO 27002 5.22
- ISO 27002 5.3
- ISO 27002 6.6
- ISO 27002 8.15
- ISO 27002 8.16
- ISO 27002 8.24
ISO 27701 Klousule 6.10.1.2 – Sekuriteit in netwerkdienste
Verwysings ISO 27002 Beheer 8.21
Wanneer die breër konsep van netwerkdienssekuriteit oorweeg word, is daar drie hooffaktore om in gedagte te hou:
- Sekuriteitskenmerke.
- Diensvlakke.
- Diensvereistes.
Organisasies moet verseker dat diensverskaffers verstaan wat van hulle verwag word, en hul gestelde verpligtinge op 'n konsekwente basis nakom.
Organisasies moet in staat wees om na 'n ondubbelsinnige stel SLA's te verwys, en nakoming deur die duur van 'n diensooreenkoms te monitor.
Verwysings moet van betroubare bronne gesoek en verkry word, met die einddoel om 'n diensverskaffer se vermoë te vestig om aan die kommersiële en operasionele vereistes van die organisasie te voldoen.
Sekuriteitsreëls moet die volgende insluit:
- Enige netwerkdienste wat toegelaat word om toegang te verkry – insluitend 'n deeglike lys van stawingsvereistes.
- Netwerkbestuurkontroles wat PII en privaatheidverwante bates teen misbruik en ongemagtigde toegang beskerm.
- Toegang op afstand en ter plaatse.
- Die aanteken van sleutelinligting oor netwerkdienstoegang, insluitend toegangstyd, toegangsligging en toesteldata.
- Moniteringsaktiwiteite.
Netwerkdienssekuriteit
Organisasies kry verskeie bykomende sekuriteitsmaatreëls wat die integriteit en beskikbaarheid van PII verder beskerm.
Organisasies moet:
- Oorweeg sekuriteitskenmerke soos verifikasie, enkripsie en verbinding kontroles.
- Vestig duidelike riglyne wat verbindings met netwerkdienste beheer.
- Laat gebruikers toe om die hoeveelheid data wat gekas is te kies om werkverrigting te verhoog en die privaatheidsrisiko's wat met oormatige berging geassosieer word, te verminder.
- Beperk toegang tot netwerkdienste.
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
ISO 27701 Klousule 6.10.1.3 – Segregasie in netwerke
Verwysings ISO 27002 Beheer 8.22
Om die integriteit en beskikbaarheid van PII en privaatheidverwante bates te verbeter, moet organisasies dienste, gebruikers en stelsels oor hul hele netwerk skei, gebaseer op hul unieke sekuriteitsvereistes en in ooreenstemming met 'n onderwerp-spesifiek benadering (sien ISO 27002 Beheer 5.15).
Om dit te bereik, moet organisasies:
- Skei domeine van enige publieke netwerke, insluitend die internet.
- Skei areas van die netwerk op grond van vertroue, kritiek en sensitiwiteit.
- Oorweeg afsonderlike operasionele funksies wanneer die netwerk geskei word, soos HR, finansies en bemarking.
- Skei deur 'n kombinasie van fisiese en logiese kontroles te gebruik.
- Werk met duidelik gedefinieerde netwerkomtrek en streng beheerde poorte.
- Oorweeg WiFi-toegang in ooreenstemming met wat dikwels 'n los-gedefinieerde netwerkomtrek is, met wisselende toegangsvereistes, en om te verseker dat eksterne verkeer deur 'n poort gaan voordat interne toegang verleen word (sien ISO 27002 Beheer 8.20).
- Skei gaste- en werknemer-WiFi-toegang, en plaas swaar beperkings op gaste se toegang om gebruik deur personeel te ontmoedig.
Relevante ISO 27002-kontroles
- ISO 27002 5.15
- ISO 27002 8.20
Ondersteunende kontroles vanaf ISO 27002 en GDPR
| ISO 27701 Klousule Identifiseerder | ISO 27701 Klousule Naam | ISO 27002-vereiste | Geassosieerde GDPR-artikels |
|---|---|---|---|
| 6.10.1.1 | Netwerkkontroles |
8.20 – Netwerksekuriteit vir ISO 27002 | Geen |
| 6.10.1.2 | Sekuriteit in netwerkdienste |
8.21 – Sekuriteit van netwerkdienste vir ISO 27002 | Geen |
| 6.10.1.3 | Segregasie in netwerke |
8.22 – Segregasie van netwerke vir ISO 27002 | Geen |
Hoe ISMS.online Help
ISO 27701 wys jou hoe om 'n privaatheidsinligtingbestuurstelsel te bou wat aan die meeste privaatheidsregulasies voldoen, insluitend die EU se GDPR, BS 10012 en Suid-Afrika se POPIA. Ons vereenvoudigde, veilige, volhoubare sagteware help jou om maklik die benadering te volg wat deur die internasionaal erkende standaard uiteengesit word.
Ons alles-in-een-platform verseker dat jou privaatheidswerk ooreenstem met en aan die behoeftes van elke afdeling van die ISO 27701-standaard voldoen. En omdat dit regulering agnosties is, kan jy dit karteer op enige regulasie wat jy nodig het.
Vind meer uit deur bespreek 'n demo.
Spring na onderwerp
