ISO 27701 – Klousule 6.6.2 – Gebruikerstoegangsbestuur

ISO 27701 Klousule 6.6.2 - Gebruikerstoegangsbestuur beskryf sleutelkontroles vir die bestuur van gebruikerstoegang tot Persoonlik Identifiseerbare Inligting (PII), verseker veilige registrasie, voorsiening, bevoorregte toegangsbeheer, stawingbestuur, periodieke toegangsoorsigte en tydige herroeping van toegangsregte.

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 25 Februarie 2025
LinkedIn Twitter Twitter

ISO 27701 Klousule 6.6.2: 'n Gids vir Gebruikerstoegangsbestuur

Gebruikerstoegangsbestuur beheer die metodes met gebruikerstoegang PII en privaatheidverwante inligting, en hoe organisasies in staat is om sulke toegang te beheer deur 'n verskeidenheid fisiese en logiese maatreëls te gebruik.

Wat word gedek in ISO 27701 Klousule 6.6.2

ISO 27701 6.6.2 is 'n relatief groot klousule (gegewe die onderwerp), wat ses subklousules bevat wat verband hou met die voorsiening, gebruik en bestuur van gebruikerstoegangsregte.

Elke subklousule bevat inligting uit 'n aangrensende subklousule in ISO 27002, met leiding wat aangepas is vir privaatheidbeskerming en PII, eerder as algemene inligtingsekuriteit:

  • ISO 6.6.2.1 – Gebruikerregistrasie en deregistrasie (Verwysings ISO 27002 beheer 5.16).
  • ISO 6.6.2.2 – Gebruikertoegang voorsiening (Verwysings ISO 27002 beheer 5.18).
  • ISO 6.6.2.3 – Bestuur van bevoorregte toegangsregte (Verwysings ISO 27002 beheer 8.2).
  • ISO 6.6.2.4 – Bestuur van geheime verifikasie-inligting van gebruikers (Verwysings ISO 27002 beheer 5.17).
  • ISO 6.6.2.5 – Hersiening van gebruikerstoegangsregte (Verwysings ISO 27002 beheer 5.18).
  • ISO 6.6.2.6 – Verwydering of aanpassing van toegangsregte (Verwysings ISO 27002 beheer 5.18).

Twee klousules bevat leiding wat die potensiaal het om die VK se GDPR nakoming te beïnvloed, en die relevante artikels is vir u gerief verskaf.

Regdeur al sy klousules bevat ISO 27701 6.6.2 geen verdere leiding van ISO oor die gebruik van 'n PIMS nie.

Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.



Kry 'n voorsprong van 81%.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


ISO 27701 Klousule 6.6.2.1 – Gebruikersregistrasie en deregistrasie

Verwysings ISO 27002 Beheer 5.16

Gebruikersregistrasie word beheer deur die gebruik van toegewysde 'identiteite'. Identiteite voorsien organisasies van 'n raamwerk om gebruikerstoegang tot PII en privaatheidverwante bates en materiaal te beheer, binne die grense van 'n netwerk.

Organisasie moet ses hoof riglyne volg om te verseker dat identiteite korrek bestuur word, en PII word beskerm waar dit ook al gestoor, verwerk of toegang verkry word:

  1. Waar identiteite aan 'n mens toegeken word, word slegs daardie persoon toegelaat om te verifieer met en/of daardie identiteit te gebruik, wanneer toegang tot PII verkry word.
  2. Gedeelde identiteite – veelvuldige individue wat op dieselfde identiteit geregistreer is – moet slegs ontplooi word om aan 'n unieke stel operasionele vereistes te voldoen.
  3. Nie-menslike entiteite moet anders oorweeg en bestuur word as gebruikergebaseerde identiteite wat toegang tot PII en privaatheidverwante materiaal verkry.
  4. Identiteite moet verwyder word sodra hulle nie meer nodig is nie – veral dié met toegang tot PII of privaatheidsgebaseerde rolle.
  5. Organisasies moet by 'n 'een entiteit, een identiteit'-reël hou wanneer identiteite oor die netwerk versprei word.
  6. Registrasies moet aangeteken en aangeteken word deur duidelike dokumentasie, insluitend tydstempels, toegangsvlakke en identiteitsinligting.

Organisasies wat in vennootskap met eksterne organisasies (veral wolkgebaseerde platforms) werk, moet die inherente risiko's wat met sulke praktyke geassosieer word verstaan, en stappe neem om te verseker dat PII nie nadelig in die proses beïnvloed word nie (sien ISO 27002 kontroles 5.19 en 5.17).

Relevante ISO 27002-kontroles

  • ISO 27002 5.17
  • ISO 27002 5.19

Toepaslike GDPR-artikels

  • Artikel 5 – (1)(f)

ISO 27701 Klousule 6.6.2.2 – Gebruikerstoegangvoorsiening

Verwysings ISO 27002 Beheer 5.18

'Toegangsregte' beheer hoe toegang tot PII en privaatheidverwante inligting beide verleen en herroep word, met dieselfde stel riglyne.

Toekenning en herroeping van toegangsregte

Toegangsprosedures moet die volgende insluit:

  • Toestemming en magtiging van die eienaar (of bestuur) van die inligting of bate (sien ISO 27002 beheer 5.9).
  • Enige heersende kommersiële, wetlike of operasionele vereistes.
  • 'n Erkenning van die behoefte om pligte te skei om PII-sekuriteit te verbeter en 'n meer veerkragtige privaatheidsbeskermingsoperasie te bou.
  • Kontroles om toegangsregte te herroep, wanneer toegang nie meer nodig is nie (verlaters ens.).
  • Tyetoegangsmaatreëls vir tydelike personeel of kontrakteurs.
  • 'n Gesentraliseerde rekord van toegangsregte wat aan beide menslike en nie-menslike entiteite toegeken word.
  • Maatreëls om die toegangsregte van enige personeel of derdepartykontrakteurs wat van werksrolle verander het, te wysig.

Hersiening van toegangsregte

Organisasies moet periodieke hersiening van toegangsregte oor die netwerk doen, insluitend:

  • Bou toegangsreg herroeping in HR af instap prosedures (sien ISO 27002 kontroles 6.1 en 6.5) en rolveranderingswerkstrome.
  • Versoeke vir 'bevoorregte' toegangsregte.

Veranderbestuur en Verlaters

Personeel wat óf die organisasie verlaat (óf opsetlik óf as 'n beëindigde werknemer), en diegene wat die onderwerp van 'n veranderingsversoek is, se toegangsregte moet gewysig word op grond van robuuste risikobestuursprosedures, insluitend:

  • Die bron van die verandering/beëindiging, insluitend die onderliggende rede.
  • Die gebruiker se huidige posrol en gepaardgaande verantwoordelikhede.
  • Die inligting en bates wat tans toeganklik is – insluitend hul risikovlakke en waarde vir die organisasie.

Aanvullende leiding

Dienskontrakte en kontrakteur/dienskontrakte moet 'n verduideliking insluit van wat gebeur na enige pogings tot ongemagtigde toegang (sien ISO 27002 kontroles 5.20, 6.2, 6.4, 6.6).

Relevante ISO 27002-kontroles

  • ISO 27002 5.9
  • ISO 27002 5.20
  • ISO 27002 6.2
  • ISO 27002 6.4
  • ISO 27002 6.6

Toepaslike GDPR-artikels

  • Artikel 5 – (1)(f)


Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


ISO 27701 Klousule 6.6.2.3 – Bestuur van Bevoorregte Toegangsregte

Verwysings ISO 27002 Beheer 8.2

Bevoorregte toegangsregte bied organisasies die vermoë om gelyktydig toegang tot PII en privaatheidverwante toepassings en bates te beheer, en die integriteit van PII oor hul netwerk te handhaaf.

Ongemagtigde gebruik van stelseladministrateurvoorregte (of verhoogde RBAC-toestemmings) is een van die hoofoorsake van IKT-ontwrigting regoor die wêreld.

Wanneer organisasies bevoorregte toegangsregte bestuur met privaatheidsbeskerming in gedagte, moet organisasies:

  • Stel 'n lys van gebruikers op wat bevoorregte toegang benodig.
  • Implementeer prosedures wat bevoorregte toegangsregte aan gebruikers toeken op 'n "gebeurtenis-vir-gebeurtenis-basis" – dit wil sê 'n gebruiker word 'n vlak van toegang gegee wat in ooreenstemming met hul werkrol is.
  • Werk met 'n duidelike magtigingsproses wat handel oor versoeke vir bevoorregte toegang.
  • Hou 'n gesentraliseerde rekord van bevoorregte toegang versoeke.
  • Let op toegangsvervaldatums, waar vermeld.
  • Maak seker dat gebruikers bewus is van enige bevoorregte toegangsregte wat aan hulle toegestaan ​​is.
  • Dwing herbekragtiging af voordat gebruikers bevoorregte toegangsregte gebruik.
  • Hersien periodiek organisasiewye bevoorregte toegangsregte (sien ISO 27002 beheer 5.18).
  • Oorweeg dit om 'n "breekglas"-prosedure te implementeer deur te verseker dat bevoorregte toegangsregte binne streng vensters toegestaan ​​word, soos bepaal deur die aard van die versoek.
  • Verbied die gebruik van generiese aanmeldinligting en raaibare wagwoorde (sien ISO 27002 beheer 5.17).
  • Ken een identiteit per gebruiker toe, saamgevoeg in toegangsgroepe indien nodig.
  • Verseker dat bevoorregte toegang slegs vir kritieke take gereserveer word – soos noodsaaklike instandhouding of insidentverwante aktiwiteit.

Relevante ISO 27002-kontroles

  • ISO 27002 5.17
  • ISO 27002 5.18

ISO 27701 Klousule 6.6.2.4 – Bestuur van geheime stawinginligting van gebruikers

Verwysings ISO 27002 Beheer 5.17

Stawingbesonderhede moet versprei en bestuur word sodat:

  • Outomaties-gegenereerde stawinginligting (wagwoorde ens.) word geheim gehou vir enigiemand wat nie gemagtig is om dit te gebruik nie, is nie raaibaar nie en word bestuur op 'n manier wat 'n gebruiker dwing om dit te verander na aanvanklike aanmelding.
  • Voordat verifikasiebesonderhede uitgereik of vervang word, word prosedures ingestel om die identiteit van die individu wat dit benodig, te verifieer.
  • Die korrekte veilige kanale word gebruik om verifikasiebesonderhede oor te dra (dus nie per e-pos nie).
  • Nadat die besonderhede suksesvol gekommunikeer is aan wie dit ook al nodig het, erken die gebruiker(s) betyds ontvangs.
  • Enige verskaffer verskaf stawing inligting (soos die verstek gebruikersnaam en wagwoord routers en firewalls) word verander by ontvangs.
  • Rekords word gehou van relevante stawinggebeure – veral met betrekking tot die aanvanklike toekenning en daaropvolgende administrasie van stawingbesonderhede.

Enige personeel wat organisatoriese verifikasie-inligting gebruik, moet verseker dat:

  • Almal stawing besonderhede word streng vertroulik gehou.
  • As stawingbesonderhede óf gekompromitteer, bekyk of gedeel word deur enigiemand anders as die oorspronklike eienaar, word sulke besonderhede verander Onmiddellik.
  • Enige wagwoorde word geskep en/of gegenereer in ooreenstemming met die organisasie se wagwoordbeleid, en wagwoorde is uniek oor verskeie verskillende platforms (dws domeinwagwoorde is nie dieselfde as wolkdienswagwoorde nie).
  • Dienskontrakte bevat 'n uitdruklike vereiste om maatskappywagwoordbeleid te volg (sien ISO 27002 beheer 6.2).

Wagwoordbestuurstelsels

Organisasies moet dit oorweeg om 'n wagwoordbestuurstelsel (gespesialiseerde wagwoordbeheertoepassings) te implementeer wat:

  • Maak voorsiening vir gebruikers wat enige wagwoord wat hulle gebruik moet verander.
  • Is geprogrammeer om wagwoorde te verwerp wat buite die beste praktykriglyne val.
  • Dwing gebruikers om hul stelselgegenereerde wagwoord te verander nadat hulle dit vir die eerste keer gebruik het.
  • Laat nie die voortgesette gebruik van ou wagwoorde, of soortgelyke frases en alfanumeriese kombinasies toe nie.
  • Versteek wagwoorde terwyl hulle ingevoer word.
  • Stoor en stuur wagwoordinligting op 'n veilige manier.
  • Maak voorsiening vir wagwoordenkripsie en soortgelyke enkripsietegnieke (sien ISO 27002 beheer 8.24).

Om PII te beskerm en organisatoriese privaatheidbeskermingspogings te verbeter, moet wagwoorde vier riglyne volg:

  1. Wagwoorde moet nie rondom raaibare of biografiese inligting saamgestel word nie.
  2. Wagwoorde moet geen herkenbare woorde bevat nie, in plaas van ewekansige alfanumeriese karakters.
  3. Spesiale karakters moet gebruik word om wagwoordkompleksiteit te verhoog.
  4. Alle wagwoorde moet 'n minimum lengte hê (verkieslik 12 karakters).

Organisasies moet ook die gebruik van stawingsprotokolle soos Single Sign-On (SSO) oorweeg om wagwoordsekuriteit te verbeter, maar sulke maatreëls moet slegs oorweeg word saam met die organisasie se unieke tegniese en operasionele vereistes.

Relevante ISO 27002-kontroles

  • ISO 27002 6.2
  • ISO 27002 8.24


Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


ISO 27701 Klousule 6.6.2.5 – Hersiening van Gebruikerstoegangsregte

Verwysings ISO 27002 Beheer 5.18

Sien hierbo (ISO 27701 Klousule 6.6.2.2).

ISO 27701 Klousule 6.6.2.6 – Verwydering of aanpassing van toegangsregte

Verwysings ISO 27002 Beheer 5.18

Sien hierbo (ISO 27701 Klousule 6.6.2.2).

Ondersteunende kontroles vanaf ISO 27002 en GDPR

ISO 27701 Klousule IdentifiseerderISO 27701 Klousule NaamISO 27002-vereisteGeassosieerde GDPR-artikels
6.6.2.1Gebruikersregistrasie en de-registrasie
5.16 – Identiteitsbestuur vir ISO 27002
 Artikel (5)
6.6.2.2Gebruikerstoegangvoorsiening
5.18 – Toegangsregte vir ISO 27002
 Artikel (5)
6.6.2.3Bestuur van Bevoorregte Toegangsregte
8.2 – Bevoorregte toegangsregte vir ISO 27002
Geen
6.6.2.4Bestuur van geheime verifikasie-inligting van gebruikers
5.17 – Verifikasieinligting vir ISO 27002
Geen
6.6.2.5Hersiening van Gebruikerstoegangsregte
5.18 – Toegangsregte vir ISO 27002
Geen
6.6.2.6Verwydering of aanpassing van toegangsregte
5.18 – Toegangsregte vir ISO 27002
Geen

Hoe ISMS.online help

Deur 'n PIMS by jou ISMS op die ISMS.online platform te voeg, bly jou sekuriteitsposisie alles-in-een-plek en jy sal duplisering vermy waar die standaarde oorvleuel.

Met jou PIMS wat onmiddellik toeganklik is vir belangstellendes, was dit nog nooit so maklik om met die klik van 'n knoppie teen ISO 27002 en ISO 27701 te monitor, verslag te doen en te oudit nie.

Vind meer uit deur bespreek 'n praktiese demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!