Comprensión de la cláusula 27701 de la norma ISO 6.6: Mejores prácticas de control de acceso
El control de acceso rige las formas en que las entidades humanas y no humanas obtienen acceso a los datos, los recursos de TI y las aplicaciones y, en el caso de ISO 27701 6.6, la PII y el material relacionado con la privacidad.
El control de acceso es una función de TIC compleja y multifacética que se basa en muchas otras funciones comerciales, como gestión de cambios, seguridad de activos, autorización de temas específicos, controles de seguridad física y conceptos técnicos como RBAC, MAC y DAC. Como tal, ISO 27701 6.6 contiene una gran cantidad de orientación de apoyo de privacidad y protección de la información similares. controles contenidos en la norma ISO 27002.
Obtener el control de acceso correcto es una de las funciones más importantes de una operación de protección de la privacidad bien engrasada, particularmente en el contexto de la salvaguardia de la PII.
Qué se cubre en la cláusula 27701 de la norma ISO 6.6
ISO 27701 6.6 contiene dos subcláusulas que contextualizan la información proporcionada en ISO 27002 5.15 (Control de acceso) dentro del ámbito de la PII y la protección de la privacidad, con numerosas cláusulas de apoyo que abordan otros aspectos de la seguridad de la información (ver arriba):
- ISO 27701 6.6.1.1 – Política de control de acceso (Referencias ISO 27002 Control 5.15)
- ISO 27701 6.6.1.2 – Acceso a redes y servicios de red (Referencias ISO 27002 Control 5.15)
Ninguna de las cláusulas contiene orientación específica de PIMS ni tiene relevancia alguna para la legislación GDPR del Reino Unido.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.6.1.1 – Política de control de acceso
Referencias ISO 27002 Control 5.15
Los propietarios de activos que contienen PII, y los datos en sí, deben desarrollar requisitos de acceso basados en la privacidad, tanto de forma general como por temas específicos, y comunicar claramente las políticas de control de acceso a todo el personal relevante.
Políticas de control de acceso
Los requisitos generales y las políticas temáticas específicas deben:
- Establecer quién requiere acceso a activos y datos específicos y gestionar dichos derechos en consecuencia (ver ISO 27002 5.18).
- Considere los requisitos de seguridad únicos de las aplicaciones que utilizan PII (ver ISO 27002 5.16, 5.18 y 8.26).
- Controlar el acceso físico a los datos PII (ver ISO 27002 7.2, 7.3 y 7.4).
- Difundir PII y autorizar solicitudes de acceso documentadas según sea necesario (ver ISO 27002 5.10, 5.12 y 5.13).
- Imponer limitaciones al acceso 'privilegiado' a la PII' (ver ISO 27701 8.2).
- Segregar deberes, para limitar la posibilidad de que individuos y grupos sean la única autoridad sobre los elementos (ver ISO 27002 5.3).
- Tener en cuenta las obligaciones de la organización respecto de cualquier legislación de protección de la privacidad, directrices reglamentarias o requisitos contractuales (ver ISO 27002 5.31, 5.32, 5.33, 5.34 y 8.3).
- Asegúrese de que se mantengan registros precisos y actualizados, que detallen el acceso a la PII en toda la organización (ver ISO 27002 8.15).
Definición de entidades de control de acceso y reglas asociadas
ISO clasifica una 'entidad' como un elemento físico, humano y/o lógico que tiene la capacidad de acceder a datos.
A las entidades se les deben asignar roles específicos, relacionados con su función y los datos a los que requieren acceso.
Al implementar reglas de control de acceso para las diversas entidades que ha definido, las organizaciones deben:
- Garantizar que las entidades tengan acceso a la PII de manera consistente, de acuerdo con su rol y/o función específica.
- Tenga en cuenta las necesidades de seguridad física al administrar el acceso a la PII.
- En el caso de entornos multifacéticos basados en la nube y/o distribuidos, a las entidades solo se les concede acceso a las categorías de datos de PII que están autorizadas a utilizar (en lugar de proporcionar acceso general).
Orientación adicional
El control de acceso puede ser a menudo un elemento complejo y difícil de gestionar del funcionamiento de las TIC de una organización.
Aquí hay algunos principios generales a seguir:
- Operar dentro de un marco de "necesidad de saber" y "necesidad de utilizar", es decir, proporcionar acceso a la PII sólo si la entidad lo requiere para llevar a cabo su función laboral, y nada menos.
- Las organizaciones deben adherirse al concepto de "privilegio mínimo". ISO define esto como "todo está generalmente prohibido, a menos que esté expresamente permitido". En otras palabras, el control de acceso debe administrarse estrechamente, en lugar de confiar a los empleados amplios niveles de acceso a múltiples aplicaciones, dispositivos de almacenamiento y servidores de archivos.
- Los cambios en los permisos de acceso deben considerarse de dos maneras: los cambios iniciados por los administradores del sistema y los iniciados por los propios sistemas y aplicaciones de TIC, incluido cuándo revisar las aprobaciones.
- A los efectos del acceso a la PII, ISO describe cuatro tipos principales de control de acceso que las organizaciones deben considerar, en función de sus requisitos únicos:
- Control de acceso obligatorio (MAC): el acceso lo gestiona centralmente una única autoridad de seguridad.
- Control de acceso discrecional (DAC): el método opuesto a MAC, donde los propietarios de objetos pueden transferir privilegios a otros usuarios.
- Control de acceso basado en roles (RBAC): el tipo más común de control de acceso comercial, basado en privilegios y funciones laborales predefinidas.
- Control de acceso basado en atributos (ABAC): los derechos de acceso se otorgan a los usuarios mediante el uso de políticas que combinan atributos.
Controles ISO 27002 relevantes
- ISO 27002 5.3
- ISO 27002 5.10
- ISO 27002 5.12
- ISO 27002 5.13
- ISO 27002 5.16
- ISO 27002 5.18
- ISO 27002 5.31
- ISO 27002 5.32
- ISO 27002 5.33
- ISO 27002 5.34
- ISO 27002 7.2
- ISO 27002 7.3
- ISO 27002 7.4
- ISO 27002 8.2
- ISO 27002 8.3
- ISO 27002 8.26
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 6.6.1.2 – Acceso a redes y servicios de red
Referencias ISO 27002 Control 5.15
Ver ISO 27701 Cláusula 6.6.1.1
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.6.1.1 | Política de control de acceso |
5.15 – Control de Acceso para ISO 27002 | Nona |
| 6.6.1.2 | Acceso a Redes y Servicios de Red |
5.15 – Control de Acceso para ISO 27002 | Nona |
Cómo ayuda ISMS.online
¿Cómo te ayudamos?
ISO 27701 le muestra cómo crear un sistema de gestión de información de privacidad que cumpla con la mayoría de las regulaciones de privacidad, incluido el GDPR de la UE, BS 10012 y POPIA de Sudáfrica.
Nuestro software simplificado, seguro y sostenible le ayuda a seguir fácilmente el enfoque descrito por el estándar reconocido internacionalmente.
Nuestra plataforma todo en uno garantiza que su trabajo de privacidad se alinee y satisfaga las necesidades de cada sección del estándar ISO 27701.
Y como es independiente de las regulaciones, puede asignarlo a cualquier regulación que necesite.
Descubre más por reservar una demostración práctica.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
