ISO27701隐私信息管理(PIMS)标准解读-访问控制
ISO27701隐私信息管理(PIMS)标准解读-访问控制
6.6.1访问控制的业务要求
6.6.1.1访问控制策略
适用ISO/IEC 27002:2013第9.1.1节中规定的控制,实施指南和其他信息。
6.6.1.2网络和网络服务的访问
适用ISO/IEC 27002:2013 9.1.2中规定的控制,实施指南和其他信息。
6.6.2用户访问管理
6.6.2.1用户注册和注销
ISO/IEC 27002:2013第9.2.1节中规定的控制,实施指南和其他信息以及以下附加指南适用:
ISO/IEC 27002:2013的9.2.1(用户注册和注销)的其他实施指南是:
管理或操作系统处理个人身份信息的系统和服务的用户的注册和注销程序应解决那些用户的用户访问控制受到破坏的情况,例如密码或其他用户注册数据(例如,密码的破坏或破坏) 由于无意中披露)。
对于处理个人身份信息的系统和服务,组织不应向用户重新发布任何已停用或过期的用户ID。在组织将个人身份信息处理作为服务提供的情况下,客户可以负责用户ID管理的某些或所有方面。 此类情况应包括在书面信息中。
一些管辖区对与处理个人身份信息的系统有关的未使用身份验证凭据的检查频率提出了特定要求。 在这些司法管辖区开展业务的组织应考虑遵守这些要求
6.6.2.2用户访问权限设置
ISO/IEC 27002:2013、9.2.2和以下附加指南中所述的控制,实施指南和其他信息适用:
ISO/IEC 27002:2013的9.2.2(用户访问权限设置)的其他实施指南是:
组织应维护为授权访问信息系统及其中包含的个人身份信息的用户创建的用户配置文件的准确,最新记录。此配置文件包含有关该用户的数据集,包括用户ID,这对于实现所标识的提供授权访问的技术控件是必需的。
实现单个用户访问ID可使经过适当配置的系统识别谁访问了个人身份信息以及他们进行了哪些添加,删除或更改。在保护组织的同时,用户也受到保护,因为他们可以识别自己已处理的内容和未处理的内容。
在组织将个人身份信息处理作为服务提供的情况下,客户可以负责访问管理的某些或所有方面。在适当的情况下,组织应向客户提供执行访问管理的方法,例如通过提供管理权限或终止访问的管理权限。此类情况应包括在书面信息中。
6.6.2.3特权访问权限的管理
ISO/IEC 27002:2013第9.2.3节中规定的控制,实施指南和其他信息适用:
6.6.2.4用户秘密认证信息的管理
适用ISO/IEC 27002:2013 9.2.4中规定的控制,实施指南和其他信息。
6.6.2.5用户访问权限的评审
适用ISO/IEC 27002:2013 9.2.5中规定的控制,实施指南和其他信息。
6,6.2.6访问权的移除或调整
适用ISO/IEC 27002:2013 9.2.6中规定的控制实施指南和其他信息。
6.6.3用户责任
6.6.3.1秘密认证信息的使用
适用ISO/IEC 27002:2013第9.3.1节中规定的控制,实施指南和其他信息。
6.6.4系统和应用程序访问控制
6.6.4.1信息访问限制
适用ISO/IEC 27002:2013第9.4.1节中规定的控制,实施指南和其他信息。
6.6.4.2安全登录规程
适用于ISO/IEC 27002:2013、9.4.2和以下附加指南的控制,实施指南和其他信息:
ISO/IEC 27002:2013的9.4.2(安全登录过程)的其他实施指南是:
在客户要求的地方,组织应提供在客户控制下的任何用户帐户的安全登录过程的功能。
6.6.4.3密码管理系统
适用ISO/IEC 27002:2013第9.4.3节中规定的控制,实施指南和其他信息。
6.6.4.4使用特权实用程序
适用ISO/IEC 27002:2013,9.4.4中规定的控制,实施指南和其他信息。
6.6.4.5对程序源代码的访问控制
适用ISO/IEC 27002:2013 9,4.5中规定的控制,实施指南和其他信息。
