ISO 27701 Klousule 6.8.2: Beveiligingstoerusting vir nakoming van privaatheid
Benewens 'logiese' kontroles – sagteware-gebaseerde toegangsbeperkings en bedienergebaseerde administratiewe funksies, plaas ISO ook 'n groot mate van klem op die rol wat toerusting-sekuriteit moet speel in die beskerming van PII en privaatheidverwante bates.
Organisasies moet 'n wye reeks faktore oorweeg, van BYOD-protokolle, tot die ligging van privaatheidsbates, hoe gebruikers optree wanneer hulle toegang daartoe verkry, hoe die kit verwyder word en duidelike lessenaar-/skermbeleide.
Wat word gedek in ISO 27701 Klousule 6.8.2
ISO 27701 klousule 6.8.2 is 'n verreikende klousule wat baie verskillende aspekte van toerustingbeheer en sekuriteit dek.
Daar is 9 subklousules om te oorweeg, met elkeen wat riglyne van 'n meegaande klousule in ISO 27002, toegepas binne die konteks van privaatheidsbeskerming:
- ISO 27701 6.8.2.1 – Toerustingplasing en beskerming (Verwysings ISO 27002 beheer 7.8)
- ISO 27701 6.8.2.2 – Ondersteunende nutsprogramme (Verwysings ISO 27002 beheer 7.11)
- ISO 27701 6.8.2.3 – Kabelsekuriteit (Verwysings ISO 27002 beheer 7.12)
- ISO 27701 6.8.2.4 – Instandhouding van toerusting (Verwysings ISO 27002 beheer 7.13)
- ISO 27701 6.8.2.5 – Verwydering van bates (Verwysings ISO 27002 beheer 7.10)
- ISO 27701 6.8.2.6 – Sekuriteit van toerusting en bates buite die perseel (Verwysings ISO 27002 beheer 7.9)
- ISO 27701 6.8.2.7 – Veilige wegdoening of hergebruik van toerusting (Verwysings ISO 27002 beheer 7.14)
- ISO 27701 6.8.2.8 – Gebruikerstoerusting sonder toesig (Verwysings ISO 27002 beheer 8.1)
- ISO 27701 6.8.2.9 – Duidelike lessenaar en duidelike skermbeleid (Verwysings ISO 27002 beheer 7.7)
ISO bied geen verdere leiding aangaande die implementering of instandhouding van 'n PIMS nie, en net twee subklousules (6.8.2.9 en 6.8.2.7) bevat inligting wat saam met die Britse GDPR-wetgewing oorweeg moet word.
Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
ISO 27701 Klousule 6.8.2.1 – Toerustingplasing en beskerming
Verwysings ISO 27002 Beheer 7.8
Om die risiko vir PII en privaatheidverwante bates, wat aan verlies of ongemagtigde toegang as gevolg van skade blootgestel kan word, te verminder, moet organisasies:
- Plaas toerusting toepaslik – insluitend privaatheidverwerkingsbates en -fasiliteite – om te verhoed dat ongemagtigde personeel toegang tot beperkte gebiede kry.
- Verminder die risiko van toevallige of doelbewuste kyk van beperkte materiaal (veral PII).
- Verminder die risiko van omgewings- of fisiese bedreigings (bv. diefstal, brand, vloed).
- Stel ons duidelike reëls wat handel oor eet, rook of drink naby privaatheidverwante bates en inligting.
- Verseker dat privaatheidverwante bates in omgewings met geskikte vlakke van hitte en humiditeit gehou word.
- Implementeer weerligbeskermingskontroles.
- Implementeer ad hoc-maatreëls vir privaatheidverwante bates wat in produksiegebiede gehou word (stofskerms, veilige behuising, elektromagnetiese afskerming, ens.).
- Skei organisatoriese en nie-organisatoriese privaatheidsverwerkingsfasiliteite.
ISO 27701 Klousule 6.8.2.2 – Ondersteunende nutsprogramme
Verwysings ISO 27002 Beheer 7.11
Dit is belangrik om PII-verwerkingsfasiliteite te beskerm teen enige ontwrigting of voorvalle wat voortspruit uit wat ISO beskou as "ondersteunende nutsdienste" (elektrisiteit, gas, water, riool, ens.).
Om die risiko vir PII te verminder, moet organisasies:
- Volg altyd die aanbevelings van die verskaffers van nutsdienste wanneer toerusting ter plaatse gekonfigureer word.
- Voer periodieke oudits van nutsdienste uit om te verseker dat hulle aan die operasionele en finansiële behoeftes van die organisasie voldoen, en die voorsiening van alle ander nutsdienste akkommodeer.
- Toets nutsprogramme gereeld om besigheidskontinuïteit te verseker, en opper enige kommer direk met die nutsverskaffer.
- Maak seker dat nutsdienste voordeel trek uit veelvuldige strome en 'diverse roetes'.
- Onderhou 'n stelsel wat nutsdienste op hul eie interne netwerk skei van PII-verwerkingsfasiliteite, waar sulke fasiliteite LAN-toegang vereis, en verskaf slegs WAN-toegang aan hulle indien dit uitdruklik vereis word.
- Verskaf noodhulpdienste – soos noodbeligting, telefoontoerusting met 'n toegewyde stroombaan wat oortollig is vanaf die hoofkommunikasiestelsel, noodkontaknommers en maklik toeganklike nooduitgange.
- Verken die vooruitsig om veelvuldige routers per nutsverskaffer te ontvang.
ISO 27701 Klousule 6.8.2.3 – Kabelsekuriteit
Verwysings ISO 27002 Beheer 7.12
PII word grootliks via kabels oorgedra. As sodanig moet organisasies kabelsekuriteitskontroles instel wat privaatheidverwante inligting beskerm teen onderskepping en/of verlies.
Kabelsekuriteit is 'n hoogs gespesialiseerde veld, en organisasies moet kundige advies inwin waar van toepassing. Dit gesê, daar is 'n paar basiese beheerbeginsels om na te kom.
Algemene leiding
Organisasies moet:
- Voer krag- en kommunikasiekabels ondergronds uit.
- Verseker dat bogrondse bekabeling beskerm word deur maatreëls soos voldoende kanale, vloerbehuising en nutspale.
- Skei kragkabels van netwerk- en kommunikasiekabels om steuring te voorkom.
- Maak seker dat kabels etikette aan elke kant kry, om te help met instandhouding en verbindingsaktiwiteite.
Kritiese stelsels
Waar besigheidskritiese en kommersieel sensitiewe inligting ter sprake is, is daar 'n aantal bykomende kontroles wat organisasies moet oorweeg:
- Gepantserde toerusting, insluitend alarms en veilige kamers by kabelbeëindigingspunte, insluitend beheerde en aangetekende toegang.
- Elektromagnetiese afskerming.
- Verhoogde fisiese inspeksies.
ISO 27701 Klousule 6.8.2.4 – Toerustingonderhoud
Verwysings ISO 27002 Beheer 7.13
Om ongemagtigde toegang tot PII te voorkom – of skade aan enige privaatheidsverwante bates – moet organisasies alle toerusting in stand hou in ooreenstemming met die vervaardigersriglyne, insluitend:
- Voldoening aan 'n robuuste instandhoudingskedule, uitgevoer deur opgeleide en gemagtigde personeel.
- Teken alle foute aan – insluitend enige vermoedelike wanfunksies.
- Waar toepaslik, die onderwerping van eksterne instandhoudingspersoneel aan 'n nie-openbaarmakingsooreenkoms.
- Verseker dat derdeparty-onderhoudskontrakteurs geskik is onder toesig wanneer hulle hul pligte ter plaatse uitvoer.
- Die uitoefening van noukeurige beheer oor afgeleë instandhoudingsfunksies, veral dié wat deur derdepartypersoneel uitgevoer word.
ISO 27701 Klousule 6.8.2.5 – Verwydering van bates
Verwysings ISO 27002 Beheer 7.10
Verwyderbare bergingsmedia
Wanneer organisasies beleid ontwikkel wat die verwydering van mediabates wat PII stoor beheer, moet:
- Monitor die oordrag van PII na stoormedia, vir enige doel.
- Ontwikkel onderwerpspesifieke beleide gebaseer op spesifieke rolvereistes.
- Maak seker dat magtiging aangevra en toegestaan word, voordat personeel bergingsmedia van die netwerk kan verwyder.
- Berg media in ooreenstemming met die vervaardigerspesifikasies.
- Verseker dat media vry is van enige omgewingskade.
- Oorweeg die gebruik van enkripsiemetodes en die implementering van bykomende fisiese sekuriteitsmaatreëls.
- Verminder die risiko dat PII beskadig word deur inligting tussen bergingsmedia oor te dra na 'n stel beste-praktyk-riglyne.
- Stel oortolligheid bekend deur PII op verskeie bates op dieselfde tyd te stoor.
- Gebruik slegs stoormedia op goedgekeurde insette (bv. SD-kaarte en USB-poorte).
- Oorweeg inherente risiko's wanneer PII tussen bergingsmedia oorgedra word, of wanneer bates tussen personeel of persele verskuif word (sien ISO 27002 beheer 5.14).
Herbestemming en/of vervreemding van bates
Wanneer hulle bergingsmedia herdoel, hergebruik of weggooi, moet organisasies:
- Formateer stoormedia, en maak seker dat alle PII gedokumenteer en verwyder is voor hergebruik (sien ISO 27002 beheer 8.10).
- Raak veilig weg van enige media waarvoor die organisasie geen verdere gebruik het nie, en gebruik is om PII te stoor.
- (Indien wegdoening die betrokkenheid van 'n derde party vereis) neem groot sorg om te verseker dat hulle 'n geskikte en behoorlike vennoot is, in lyn met die organisasie se verantwoordelikheid teenoor PII en privaatheidbeskerming.
- Implementeer prosedures wat bergingsmedia identifiseer wat beskikbaar is vir hergebruik, of wat veilig weggedoen kan word.
Relevante ISO 27002-kontroles
- ISO 27002 5.14
- ISO 27002 8.10
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
ISO 27701 Klousule 6.8.2.6 – Sekuriteit van toerusting en bates buite die perseel
Verwysings ISO 27002 Beheer 7.9
Organisasies sal soms die gebruik van offsite-toestelle moet goedkeur, wat op hul beurt die potensiaal het om toegang tot PII en/of privaatheidverwante inligting te verkry – insluitend BYOD-toestelle.
Tydelike Offsite Toerusting
Wanneer enige toestel bestuur word wat PII op 'n ander plek as amptelik aangewese werwe stoor of aktief gebruik, moet organisasies:
- Vra alle personeel om nie sulke toestelle sonder toesig in openbare plekke te los nie.
- Maak seker dat vervaardigersriglyne nagekom word, veral enige rakende toestelsekuriteit en omgewingsbeskerming.
- Hou 'n akkurate en bygewerkte logboek van hoe offsite toestelle tussen personeel deurgegee word, sou die behoefte ontstaan.
- (Vir organisatoriese bates) vereis behoorlike magtiging voordat toerusting van die perseel verwyder word, en hou 'n logboek van al sulke aktiwiteite (sien ISO 27002 beheer 5.14).
- Vra personeel om bewus te wees van hoe hulle bates in openbare plekke gebruik, om die ongemagtigde besigtiging van PII en privaatheidverwante materiaal te voorkom.
- Gebruik GPS-tegnologie en afstandbestuur om tred te hou met toestelle van buite die perseel, terwyl u die vermoë behou om dit op afstand uit te vee.
Permanente Offsite Toerusting
Dit is soms nodig vir 'n organisasie om permanente vaste bates buite hul perseel of kantoorfasiliteite te installeer. Sulke toerusting sluit in:
- OTM's.
- Kommunikasie antennas.
- Radiotoerusting.
By die installering van so 'n kit, moet organisasies oorweeg:
- Monitering rondom die klok (hetsy persoonlik of via CCTV) (sien ISO 27002 beheer 7.4).
- Sagteware-gebaseerde toegangskontroles.
Relevante ISO 27002-kontroles
- ISO 27002 5.14
- ISO 27002 7.4
ISO 27701 Klousule 6.8.2.7 – Veilige wegdoening of hergebruik van toerusting
Verwysings ISO 27002 Beheer 7.14
PII en privaatheidverwante inligting is veral in gevaar wanneer die behoefte ontstaan om óf van die hand te sit, óf te herdoel berging en verwerking van bates – óf intern óf in vennootskap met 'n gespesialiseerde derdepartyverskaffer.
Bowenal moet organisasies verseker dat enige bergingsmedia wat vir wegdoening gemerk is, wat PII bevat het, moet word fisies vernietig, uitgewis or oorgeskryf (sien ISO 27002 kontroles 7.10 en 8.10).
Om te verhoed dat PII op enige manier gekompromitteer word, moet organisasies wanneer bates ontslae raak of hergebruik word:
- Maak seker dat alle etikette óf verwyder óf gewysig word, soos nodig – veral dié wat die teenwoordigheid van PII aandui.
- Verwyder alle fisiese en logiese sekuriteitskontroles, wanneer fasiliteite uit diens gestel word of perseel verskuif word, met die oog daarop om dit op 'n nuwe plek te hergebruik.
Relevante ISO 27002-kontroles
- ISO 27002 7.10
- ISO 27002 8.10
Toepaslike GDPR-artikels
- Artikel 5 – (1)(f)
ISO 27701 Klousule 6.8.2.8 – Gebruikertoerusting sonder toesig
Verwysings ISO 27002 Beheer 8.1
Organisasies moet onderwerpspesifieke beleide implementeer wat handel oor verskillende kategorieë eindpunttoestelle, met die fokus op die verbetering van privaatheidbeskerming en PII-sekuriteit.
Organisasies moet beleide en prosedures opstel wat in ag neem:
- Die bestaan van PII op 'n organisasie se netwerk.
- Hoe toestelle aanvanklik geregistreer en daarna geïdentifiseer word.
- Fisiese beskermingskontroles.
- Beperkings op sagteware installasie.
- Afgeleë bestuur.
- Gebruikerstoegangskontroles.
- Kriptografie.
- Anti-malware-platforms.
- Rugsteun en rampherstel.
- Blaaibeperkings en inhoudfiltrering.
- Gebruikersanalise (sien ISO 27002 beheer 8.16).
- Verwyderbare berging en verwante toestelle.
- Toestelgebaseerde datasegregasie – dit wil sê die skep van 'n versperring tussen organisatoriese en persoonlike data.
- Gebeurlikheidsplanne vir verlore of gesteelde toestelle.
Verantwoordelikhede van gebruikers
Toestelgebruikers van buite die perseel moet voortdurend bewus wees van enige beleide en prosedures wat op hulle van toepassing is, as gebruikers van buite die perseel.
As 'n algemene stel beginsels moet gebruikers:
- Maak werk-/afgeleë sessies toe wanneer dit nie meer gebruik word nie.
- Voldoen aan fisiese en logiese beskermingsmaatreëls.
- Wees bedag op hul fisiese omgewing wanneer jy toegang tot PII of privaatheidverwante inligting verkry (dws vermy 'skouer-surf' in openbare areas).
Bring jou eie toestel (BYOD)-protokolle
Organisasies wat personeel toelaat om hul eie persoonlike toestelle te gebruik, moet ook oorweeg:
- Die installering van sagteware wat help met die skeiding van besigheids- en persoonlike data.
- Afdwinging van 'n BYOD-beleid wat die volgende insluit:
- Erkenning van organisatoriese eienaarskap van PII.
- Fisiese en digitale beskermingsmaatreëls (sien hierbo).
- Afgeleë verwydering van data.
- Enige maatreëls wat ooreenstemming met PII-wetgewing en regulatoriese leiding verseker.
- IP-regte, met betrekking tot maatskappy eienaarskap van enigiets wat op 'n persoonlike toestel vervaardig is.
- Organisatoriese toegang tot die toestel – hetsy vir privaatheidsbeskermingsdoeleindes, of om aan 'n interne of eksterne ondersoek te voldoen.
- EULA's en sagtewarelisensiëring wat beïnvloed kan word deur die gebruik van kommersiële sagteware op 'n toestel in privaat besit.
WiFi-riglyne
As organisasies oorweeg hoe om WiFi-konneksie vir toestelle van buite die terrein te bestuur, moet organisasies:
- Oorweeg noukeurig hoe toestelle aan draadlose netwerke kan koppel (dws vermy enige onversekerde netwerke terwyl PII gebruik word).
- Verseker dat WiFi voldoende kapasiteit het om rugsteun te fasiliteer, voorsiening te maak vir instandhoudingsaktiwiteite en data te verwerk sonder enige groot belemmering vir toestelwerkverrigting en datasekuriteit.
Relevante ISO 27002-kontroles
- ISO 27002 8.9
- ISO 27002 8.16
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
ISO 27701 Klousule 6.8.2.9 – Duidelike lessenaar en duidelike skermbeleid
Verwysings ISO 27002 Beheer 7.7
PII en privaatheidverwante inligting is veral in gevaar wanneer sorgelose personeel en derdepartykontrakteurs versuim om werkpleksekuriteitsmaatreëls na te kom wat beskerm teen die toevallige of doelbewuste besigtiging van PII deur ongemagtigde personeel.
Organisasies moet onderwerpspesifieke duidelike lessenaar en duidelike skermbeleide opstel (op 'n werkspasie-vir-werkspasie basis indien nodig) wat insluit:
- Versteek vir toevallige aansig, toesluit of veilig berging van PII en privaatheidverwante inligting, wanneer sulke datamateriaal nie benodig word nie.
- Fisiese sluitmeganismes op IKT-bates.
- Digitale toegangskontroles – soos vertoningstydperke, wagwoordbeskermde skermbeskermers en outomatiese afmeldfasiliteite.
- Veilige drukwerk en onmiddellike dokumentversameling.
- Veilige, geslote berging van sensitiewe dokumentasie, en behoorlike wegdoening van sodanige materiaal wanneer dit nie meer nodig is nie (versnippering, derdeparty-wegdoendienste, ens.).
- Om bedag te wees op boodskapvoorskoue (e-pos, SMS, kalenderherinneringe) wat toegang tot sensitiewe data kan verskaf; wanneer 'n skerm in 'n openbare plek gedeel of bekyk word.
- Vee fisiese vertonings (bv. witborde en kennisgewingborde) van sensitiewe inligting uit, wanneer dit nie meer benodig word nie.
Wanneer organisasies gesamentlik 'n perseel verlaat - soos tydens 'n kantoorverhuising of soortgelyke verskuiwing - moet ek probeer om te verseker dat geen dokumentasie agtergelaat word nie, hetsy in lessenaars en liasseerstelsels, of enige wat in duister plekke verval het.
Toepaslike GDPR-artikels
- Artikel 5 – (1)(f)
Ondersteunende kontroles vanaf ISO 27002 en GDPR
| ISO 27701 Klousule Identifiseerder | ISO 27701 Klousule Naam | ISO 27002-vereiste | Geassosieerde GDPR-artikels |
|---|---|---|---|
| 6.8.2.1 | Toerustingopstelling en beskerming |
7.8 – Toerustingplasing en beskerming vir ISO 27002 |
Geen |
| 6.8.2.2 | Ondersteunende nutsprogramme |
7.11 – Ondersteunende nutsprogramme vir ISO 27002 |
Geen |
| 6.8.2.3 | Bekabeling sekuriteit |
7.12 – Kabelsekuriteit vir ISO 27002 |
Geen |
| 6.8.2.4 | Onderhoud van toerusting |
7.13 – Toerustingonderhoud vir ISO 27002 |
Geen |
| 6.8.2.5 | Verwydering van bates |
7.10 – Bergingsmedia vir ISO 27002 |
Geen |
| 6.8.2.6 | Sekuriteit van toerusting en bates buite die perseel |
7.9 – Sekuriteit van bates buite die perseel vir ISO 27002 |
Geen |
| 6.8.2.7 | Veilige wegdoening of hergebruik van toerusting |
7.14 – Veilige wegdoening of hergebruik van toerusting vir ISO 27002 |
Artikel (5) |
| 6.8.2.8 | Gebruikerstoerusting sonder toesig |
8.1 – Gebruikerseindpunttoestelle vir ISO 27002 |
Geen |
| 6.8.2.9 | Maak lessenaar skoon en maak skermbeleid skoon |
7.7 – Duidelike lessenaar en duidelike skerm vir ISO 27002 |
Artikel (5) |
Hoe ISMS.online help
Ons maak ROPA maklik
Ons maak datakartering 'n eenvoudige taak. Dit is maklik om dit alles op te teken en te hersien, en voeg jou organisasie se besonderhede by ons vooraf-gekonfigureerde dinamiese rekords van verwerkingsaktiwiteit-nutsding.
Assesseringsjablone vir jou
Dit is maklik om verskillende soorte privaatheidsbeoordelings op te stel en uit te voer, van databeskermingsimpakbeoordelings tot regulatoriese of voldoeningsgereedheid.
Ons het 'n ingeboude risikobank
Ons het 'n ingeboude risikobank en 'n reeks ander praktiese hulpmiddels geskep wat sal help met elke deel van die risikobepaling en bestuursproses.
Bespreek vandag 'n demo en vind uit hoe ons jou organisasie kan help om ISO 27701 te bereik.
