Bilag A 5.15 i ISO 27001:2022; Din trin-for-trin guide til at forstå og møde det.
Bilag A 5.15 omhandler adgangskontrolprocedurer. Formålet med bilag A.9 er at sikre adgangen til information og sikre, at medarbejderne kun har adgang til de oplysninger, de har brug for for at udføre deres opgaver.
Det er et af de væsentlige elementer i en informationssikkerhedsstyringssystem (ISMS), især hvis du planlægger at opnå ISO 27001-certificering.
At få denne del rigtigt er en kritisk komponent i ISO 27001 certificering og en, hvor mange virksomheder har brug for assistance. For bedre at forstå disse krav, lad os se nærmere på, hvad de indebærer.
For at administrere adgang til aktiver inden for rammerne af en organisation skal en adgangskontrolpolitik udvikles, dokumenteres og periodisk revideres.
Adgangskontrol styrer, hvordan menneskelige og ikke-menneskelige enheder på et netværk får adgang til data, it-ressourcer og applikationer.
Informationssikkerhedsrisici forbundet med informationen og organisationens appetit på at administrere dem bør afspejles i de regler, rettigheder og begrænsninger og dybden af de anvendte kontroller. Det er simpelthen et spørgsmål om at beslutte, hvem der har adgang til hvad, hvor meget, og hvem der ikke har.
Det er muligt at opsætte digitale og fysiske adgangskontroller, såsom begrænsning af brugerkontotilladelser eller begrænsning af adgang til specifikke fysiske lokationer (tilpasset bilag A.7 Fysisk og miljømæssig sikkerhed). Politikken bør tage følgende hensyn:
Det er afgørende at gennemgå adgangskontrol efterhånden som roller ændres, især under udgange, for at overholde bilag A.7 Human Resource Security.
Book en 30 minutters chat med os, så viser vi dig hvordan
En generel tilgang til beskyttelse er mindst adgang snarere end ubegrænset adgang og superbrugerrettigheder uden nøje overvejelse.
Brugere bør derfor kun have adgang til netværk og netværkstjenester forpligtet til at opfylde deres ansvar. Politikken skal tage fat på; De netværk og netværkstjenester, der er adgang til; Autorisationsprocedurer til at vise hvem (rollebaseret) der har adgang til hvad og hvornår; og ledelseskontroller og -procedurer for at forhindre adgang og overvåge den i tilfælde af en hændelse.
On- og off-boarding bør også tage hensyn til dette spørgsmål, som er tæt forbundet med adgangskontrolpolitikken.
Som en forebyggende kontrol forbedrer bilag A 5.15 en organisations underliggende evne til at kontrollere adgangen til data og aktiver.
Et konkret sæt af kommerciel og informationssikkerhed behov skal opfyldes, før der kan gives adgang til ressourcer og ændres i henhold til bilag A Kontrol 5.15.
ISO 27001 Annex A 5.15 giver retningslinjer for at lette sikker adgang til data og minimere risikoen for uautoriseret adgang til fysiske og virtuelle netværk.
Som vist i bilag A 5.15 er ledelsespersonale på tværs af forskellige dele af en organisationen skal bevare en grundig forståelse af hvilke ressourcer der skal tilgås (f.eks. Ud over at HR informerer medarbejderne om deres jobroller, som dikterer deres RBAC-parametre, er adgangsrettigheder i sidste ende en vedligeholdelsesfunktion, der kontrolleres af netværksadministratorer.
En organisations bilag A 5.15 ejerskab bør ligge hos et medlem af den øverste ledelse, som har overordnet teknisk myndighed over virksomhedens domæner, underdomæner, applikationer, ressourcer og aktiver. Dette kunne være IT-chefen.
En emnespecifik tilgang til adgangskontrol er påkrævet for at overholde ISO 27001:2022 Bilag A Kontrol 5.15 (mere kendt som en problemspecifik tilgang).
I stedet for at overholde en overordnet adgangskontrolpolitik, der gælder for ressource- og dataadgang på tværs af organisationen, tilskynder emnespecifikke tilgange organisationer til at oprette adgangskontrolpolitikker rettet mod individuelle forretningsfunktioner.
På tværs af alle emnespecifikke områder kræver bilag A Kontrol 5.15, at politikker vedrørende adgangskontrol skal tage højde for de 11 punkter nedenfor. Nogle af disse retningslinjer overlapper med andre politikker.
Som en retningslinje bør organisationer konsultere de medfølgende kontroller for yderligere oplysninger fra sag til sag:
I henhold til den supplerende vejledning nævner ISO 27001:2022 Bilag A Kontrol 5.15 (uden at begrænse sig til) fire forskellige typer adgangskontrol, som bredt kan klassificeres som følger:
Vi har diskuteret regler for adgangskontrol som værende givet til forskellige enheder (menneskelige og ikke-menneskelige), der opererer inden for et netværk, som tildeles roller, der definerer deres overordnede funktion.
Når du definerer og implementerer din organisations adgangskontrolpolitikker, anmoder bilag A 5.15 dig om at overveje følgende fire faktorer:
I henhold til ISO 27001:2022 Bilag A Kontrol 5.15 skal organisationer udvikle og vedligeholde en struktureret liste over ansvarsområder og dokumentation. Der er adskillige ligheder mellem hele ISO 27001:2022's liste over kontroller, hvor bilag A 5.15 indeholder de mest relevante krav:
Kontrol 5.15 i bilag A giver organisationer betydelig frihed til at specificere detaljeret i deres adgangskontrolpolitikker.
Generelt råder ISO virksomheder til at bruge deres dømmekraft med hensyn til, hvor detaljeret et givet regelsæt skal være på medarbejder-for-medarbejder-basis, og hvor mange variabler der skal anvendes på en given information.
Specifikt anerkender bilag A 5.15, at jo mere detaljerede en virksomheds adgangskontrolpolitikker er, jo større omkostninger og jo mere udfordrende bliver konceptet for adgangskontrol på tværs af flere lokationer, netværkstyper og applikationsvariabler.
Adgangskontrol, medmindre den styres omhyggeligt, kan komme ud af hånden meget hurtigt. Det er klogt at forenkle adgangskontrolreglerne for at sikre, at de er nemmere at administrere og mere omkostningseffektive.
Bilag A 5.15 i 27001:2022 er en sammenlægning af to lignende kontroller i 27001:2013 – Bilag A 9.1.1 (Adgangskontrolpolitik) og bilag A 9.1.2 (Adgang til netværk og netværkstjenester).
De underliggende temaer i A.9.1.1 og A.9.1.2 ligner dem i bilag A 5.15, bortset fra nogle subtile operationelle forskelle.
Som i 2022 vedrører begge kontroller administration af adgang til information, aktiver og ressourcer og fungerer efter princippet om "need to know", hvor virksomhedsdata behandles som en vare, der kræver omhyggelig styring og beskyttelse.
Der er 11 styrende retningslinjer i 27001:2013 Bilag A 9.1.1, som alle følger de samme generelle principper som 27001:2022 Bilag A Kontrol 5.15 med lidt større vægt på perimetersikring og fysisk sikring.
Der er generelt de samme implementeringsretningslinjer for adgangskontrol, men 2022-kontrollen giver meget mere kortfattet og praktisk vejledning på tværs af dens fire implementeringsvejledninger.
Som angivet i ISO 27001 Annex A 5.15 er der opstået forskellige former for adgangskontrol i løbet af de sidste ni år (MAC, DAC, ABAC), hvorimod i 27001:2013 Annex A Control 9.1.1, den primære metode til kommerciel adgangskontrol tid var RBAC.
2013-kontrollerne skal indeholde meningsfulde retningslinjer for, hvordan en organisation bør gribe detaljerede adgangskontroller an i lyset af teknologiske ændringer, der giver organisationer øget kontrol over deres data.
I modsætning hertil giver bilag A 5.15 til 27001:2022 organisationer en betydelig fleksibilitet.
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Bilag A 5.15 i ISO 27001:2022 er sandsynligvis den mest omtalte klausul i bilag A, og nogle hævder, at den er den mest betydningsfulde.
Dit Information Security Management System (ISMS) har til formål at sikre, at de relevante personer har adgang til de korrekte oplysninger på det rigtige tidspunkt. En af nøglerne til succes er at få det rigtige, men at gøre det forkert kan påvirke din virksomhed negativt.
Overvej scenariet, hvor du ved et uheld afslørede fortrolige medarbejderoplysninger til de forkerte personer, såsom hvad alle i organisationen får betalt.
Hvis du ikke er forsigtig, kan konsekvenserne af at få denne del forkert være alvorlige. Derfor er det bydende nødvendigt at tage sig tid til nøje at overveje alle aspekter, før du fortsætter.
I denne forbindelse vores platform kan være et reelt aktiv. Det er fordi det følger hele strukturen i ISO 27001 og giver dig mulighed for at adoptere, tilpasse og berige det indhold, vi leverer til dig, hvilket giver dig et betydeligt forspring.