- Se ISO 27002:2022 Kontrol 5.16 for mere information.
- Se ISO 27001:2013 Bilag A 9.2.1 for mere information.
Forståelse af ISO 27001:2022 Bilag A Kontrol 5.16 – Styrkelse af identitetsstyring
revideret ISO 27001:2022 Bilag A 5.16 Identitetsstyring etablerer en ramme for godkendelse, registrering og administration af menneskelige og ikke-menneskelige identiteter på ethvert netværk - defineret som den "fulde livscyklus.
Computernetværk bruger identiteter til at identificere en enheds (en bruger, gruppe af brugere, enhed eller it-aktiv) underliggende evne til at få adgang til et sæt hardware- og softwareressourcer.
Hvad gør ISO 27001:2022 Annex A 5.16?
Formålet med bilag A 5.16 er at beskrive, hvordan en organisation kan identificere, hvem (brugere, grupper af brugere) eller hvad (applikationer, systemer og enheder) får adgang til data eller it-aktiver på ethvert givet tidspunkt, og hvordan disse identiteter tildeles adgangsrettigheder.
Som en forebyggende foranstaltning har bilag A 5.16 til formål at fastholde risikoen ved at etablere hovedomkredsen for al relateret informationssikkerhed og cybersikkerhedsoperationer, såvel som den primære styringsform, der bestemmer en organisations identitets- og adgangsstyringsproces.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af bilag A 5.16
I betragtning af at ISO 27001:2022 Bilag A 5.16 tjener som en primær vedligeholdelsesfunktion, bør ejerskab gives til it-personale med globale administratorrettigheder (eller tilsvarende for ikke-Windows-infrastruktur).
Ud over andre indbyggede roller, der giver brugerne mulighed for at administrere identiteter (såsom domæneadministrator), bør bilag A 5.16 ejes af den person, der er ansvarlig for hele organisationens netværk, inklusive alle underdomæner og Active Directory-lejere.
Generel vejledning om ISO 27001:2022 Bilag A 5.16
Overholdelse af bilag A 5.16 opnås ved at udtrykke identitetsbaserede procedurer klart i politikdokumenter og overvåge medarbejdernes overholdelse på daglig basis.
Seks procedurer er anført i bilag A 5.16 for at sikre, at en organisation opfylder de nødvendige standarder for infosec og cybersikkerhedsstyring:
- Når en person tildeles en identitet, er denne person den eneste, der kan autentificere med denne identitet og/eller bruge den, når den tilgår netværksressourcer.
- I nogle tilfælde kan det være nødvendigt at tildele en enkelt identitet til flere personer, også kendt som en 'delt identitet'. Brug kun denne tilgang, når der er behov for et eksplicit sæt operationelle krav.
- 'Ikke-menneskelige' enheder (enhver identitet, der ikke er knyttet til en rigtig person) bør behandles anderledes end brugerbaserede identiteter ved registrering.
- I tilfælde af en afgang, overflødige aktiver eller andre ikke-påkrævede identiteter, bør en netværksadministrator deaktivere dem eller fjerne dem fuldstændigt.
- Det er bydende nødvendigt at undgå duplikerede identiteter for enhver pris. En regel om "én enhed, én identitet" bør følges af alle organisationer.
- Identitetsstyring og godkendelsesoplysninger bør dokumenteres tilstrækkeligt for alle 'væsentlige begivenheder'.
Opnåelse af overholdelse betyder, at it-politikker klart skal foreskrive, at brugere ikke må dele login-oplysninger eller tillade andre brugere at roame netværket ved at bruge en anden identitet end den, de har fået.
For at opnå overholdelse bør registrering af delte identiteter håndteres adskilt fra enkeltbrugerregistrering med en dedikeret godkendelsesproces.
En ikke-menneskelig identitet bør også have sin egen godkendelses- og registreringsproces, der anerkender den grundlæggende forskel mellem at tildele en identitet til en person og tildele en til et aktiv, en applikation eller en enhed.
IT-afdelingen bør udføre regelmæssige revisioner for at afgøre, hvilke identiteter der bruges, og hvilke enheder der kan suspenderes eller slettes. Det er vigtigt for HR-medarbejdere at inkludere identitetsstyring i offboarding-procedurer og at informere IT-medarbejdere med det samme, når en forlader forlader.
For at overholde dette bør it-personale sikre, at enheder ikke modtager adgangsrettigheder baseret på mere end én identitet, når de tildeler roller på tværs af et netværk.
Det er muligt at fortolke udtrykket "betydelig begivenhed" forskelligt, men på et grundlæggende niveau skal organisationer sørge for, at deres styringsprocedurer omfatter en omfattende liste over tildelte identiteter på et givet tidspunkt, robuste ændringsanmodningsprotokoller med passende godkendelsesprocedurer og en godkendt ændringsanmodningsprotokol.
Yderligere supplerende vejledning til bilag A 5.16
Når du opretter en identitet og giver den adgang til netværksressourcer, angiver bilag A 5.16 også fire trin, som virksomheder skal følge (ændring eller fjernelse af adgangsrettigheder er vist i ISO 27001:2022 Bilag A 5.18):
- Inden du opretter en identitet, skal du etablere en business case.
- Sørg for, at den enhed (menneskelige eller ikke-menneskelige), der er tildelt en identitet, er blevet uafhængigt verificeret.
- Oprettelse af en identitet
- De endelige konfigurationstrin for en identitet
Hver gang en identitet skabes, bliver identitetsstyring eksponentielt mere udfordrende. Det er tilrådeligt for organisationer kun at skabe nye identiteter, når det er klart nødvendigt.
Identitets- og adgangsstyringsprocedurer bør sikre, at en person eller et aktiv, der modtager nye identiteter, har den nødvendige autoritet, før en identitet oprettes, når først business casen er blevet godkendt.
Dine it-medarbejdere skal opbygge en identitet i tråd med business casen krav, og det bør begrænses til det, der er skitseret i enhver ændringsanmodningsdokumentation.
Som det sidste trin i processen tildeles en identitet til hver af dens adgangsbaserede tilladelser og roller (RBAC) samt eventuelle nødvendige godkendelsestjenester.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvad er ændringerne fra ISO 27001:2013?
ISO 27001: 2022 Bilag A 5.16 erstatter ISO 27001:2013 A.9.2.1 (tidligere kendt som 'Brugerregistrering og afregistrering').
Mens de to kontroller deler nogle slående ligheder - primært i vedligeholdelsesprotokoller og deaktivering af redundante ID'er - indeholder bilag A 5.16 et omfattende sæt retningslinjer, der omhandler identitets- og adgangsstyring som helhed.
Bilag A 5.16 Menneskelige vs. ikke-menneskelige identiteter forklaret
Der er nogle forskelle mellem 2022-bilaget og dets forgænger, idet på trods af forskelle i registreringsprocesser, behandles mennesker og ikke-mennesker ikke længere separat, når det kommer til generel netværksadministration.
Det er blevet mere almindeligt i IT-styring og retningslinjer for bedste praksis at tale om menneskelige og ikke-menneskelige identiteter i flæng siden fremkomsten af moderne identitets- og adgangsstyring og Windows-baserede RBAC-protokoller.
I bilag A 9.2.1 til ISO 27001:2013 er der ingen vejledning i, hvordan man administrerer ikke-menneskelige identiteter, og teksten handler kun om at administrere, hvad den kalder "Bruger-ID'er" (dvs. login-oplysninger sammen med en adgangskode, der bruges for at få adgang til et netværk).
ISO 27001:2022 Bilag A 5.16 Dokumentation
Bilag A 5.16 giver eksplicit vejledning om både de generelle sikkerhedsimplikationer af identitetsstyring, og hvordan organisationer bør registrere og behandle information forud for tildelingen af identiteter, såvel som gennem hele identitetens livscyklus.
Til sammenligning nævner ISO 27001:2013 A.9.2.1 kun kort den IT-styringsrolle, der omgiver administrationen af identiteter, og begrænser sig til den fysiske praksis med identitetsadministration.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvordan ISMS.online hjælper dig med at opnå Annex A 5.16 Overholdelse
Så længe du opdaterer dit sikkerhedsstyringssystems processer for at afspejle de forbedrede kontroller, vil du være i overensstemmelse med ISO 27001:2022. Dette kan ISMS.online håndtere, hvis du ikke har de nødvendige ressourcer i hus.
Vi forenkler implementeringen af ISO 27001:2022 gennem vores intuitive arbejdsgang og værktøjer, herunder rammer, politikker, kontroller, handlingsvenlig dokumentation og vejledning. Med vores cloud-baserede software kan du administrere alle dine ISMS løsninger på ét sted.
Vores platform giver dig mulighed for at definere omfanget af din ismer, identificere risici og implementere kontroller nemt.
For at lære mere om, hvordan ISMS.online kan hjælpe dig med at nå dine ISO 27001-mål, bedes du kontakt os i dag for at bestille en demo.
