ISO 27001:2022 Bilag A Kontrol 5.16

Identitetsstyring

Book en demo

gruppe,af,glade,kolleger,diskuterer,i,konference,værelse

revideret ISO 27001:2022 Bilag A 5.16 Identitetsstyring etablerer en ramme for godkendelse, registrering og administration af menneskelige og ikke-menneskelige identiteter på ethvert netværk - defineret som den "fulde livscyklus.

Computernetværk bruger identiteter til at identificere en enheds (en bruger, gruppe af brugere, enhed eller it-aktiv) underliggende evne til at få adgang til et sæt hardware- og softwareressourcer.

Hvad gør ISO 27001:2022 Annex A 5.16?

Formålet med bilag A 5.16 er at beskrive, hvordan en organisation kan identificere, hvem (brugere, grupper af brugere) eller hvad (applikationer, systemer og enheder) får adgang til data eller it-aktiver på ethvert givet tidspunkt, og hvordan disse identiteter tildeles adgangsrettigheder.

Som en forebyggende foranstaltning har bilag A 5.16 til formål at fastholde risikoen ved at etablere hovedomkredsen for al relateret informationssikkerhed og cybersikkerhedsoperationer, såvel som den primære styringsform, der bestemmer en organisations identitets- og adgangsstyringsproces.

Ejerskab af bilag A 5.16

I betragtning af at ISO 27001:2022 Bilag A 5.16 tjener som en primær vedligeholdelsesfunktion, bør ejerskab gives til it-personale med globale administratorrettigheder (eller tilsvarende for ikke-Windows-infrastruktur).

Ud over andre indbyggede roller, der giver brugerne mulighed for at administrere identiteter (såsom domæneadministrator), bør bilag A 5.16 ejes af den person, der er ansvarlig for hele organisationens netværk, inklusive alle underdomæner og Active Directory-lejere.

Gå til emne
Få et forspring på ISO 27001
  • Alt sammen opdateret med 2022 kontrolsættet
  • Foretag 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge
Book din demo
img

Generel vejledning om ISO 27001:2022 Bilag A 5.16

Overholdelse af bilag A 5.16 opnås ved at udtrykke identitetsbaserede procedurer klart i politikdokumenter og overvåge medarbejdernes overholdelse på daglig basis.

Seks procedurer er anført i bilag A 5.16 for at sikre, at en organisation opfylder de nødvendige standarder for infosec og cybersikkerhedsstyring:

  1. Når en person tildeles en identitet, er denne person den eneste, der kan autentificere med denne identitet og/eller bruge den, når den tilgår netværksressourcer.

    2. Opnåelse af overholdelse betyder, at it-politikker klart skal foreskrive, at brugere ikke må dele login-oplysninger eller tillade andre brugere at roame netværket ved at bruge en anden identitet end den, de har fået.

  2. I nogle tilfælde kan det være nødvendigt at tildele en enkelt identitet til flere personer, også kendt som en 'delt identitet'. Brug kun denne tilgang, når der er behov for et eksplicit sæt operationelle krav.

    3. For at opnå overholdelse bør registrering af delte identiteter håndteres adskilt fra enkeltbrugerregistrering med en dedikeret godkendelsesproces.

  3. 'Ikke-menneskelige' enheder (enhver identitet, der ikke er knyttet til en rigtig person) bør behandles anderledes end brugerbaserede identiteter ved registrering.

    4. En ikke-menneskelig identitet bør også have sin egen godkendelses- og registreringsproces, der anerkender den grundlæggende forskel mellem at tildele en identitet til en person og tildele en til et aktiv, en applikation eller en enhed.

  4. I tilfælde af en afgang, overflødige aktiver eller andre ikke-påkrævede identiteter, bør en netværksadministrator deaktivere dem eller fjerne dem fuldstændigt.

    5. IT-afdelingen bør udføre regelmæssige revisioner for at afgøre, hvilke identiteter der bruges, og hvilke enheder der kan suspenderes eller slettes. Det er vigtigt for HR-medarbejdere at inkludere identitetsstyring i offboarding-procedurer og at informere IT-medarbejdere med det samme, når en forlader forlader.

  5. Det er bydende nødvendigt at undgå duplikerede identiteter for enhver pris. En regel om "én enhed, én identitet" bør følges af alle organisationer.

    6. For at overholde dette bør it-personale sikre, at enheder ikke modtager adgangsrettigheder baseret på mere end én identitet, når de tildeler roller på tværs af et netværk.

  6. Identitetsstyring og godkendelsesoplysninger bør dokumenteres tilstrækkeligt for alle 'væsentlige begivenheder'.

    7. Det er muligt at fortolke udtrykket "betydelig begivenhed" forskelligt, men på et grundlæggende niveau skal organisationer sørge for, at deres styringsprocedurer omfatter en omfattende liste over tildelte identiteter på et givet tidspunkt, robuste ændringsanmodningsprotokoller med passende godkendelsesprocedurer og en godkendt ændringsanmodningsprotokol.

Yderligere supplerende vejledning til bilag A 5.16

Når du opretter en identitet og giver den adgang til netværksressourcer, angiver bilag A 5.16 også fire trin, som virksomheder skal følge (ændring eller fjernelse af adgangsrettigheder er vist i ISO 27001:2022 Bilag A 5.18):

  1. Inden du opretter en identitet, skal du etablere en business case.

    2. Hver gang en identitet skabes, bliver identitetsstyring eksponentielt mere udfordrende. Det er tilrådeligt for organisationer kun at skabe nye identiteter, når det er klart nødvendigt.

  2. Sørg for, at den enhed (menneskelige eller ikke-menneskelige), der er tildelt en identitet, er blevet uafhængigt verificeret.

    3. Identitets- og adgangsstyringsprocedurer bør sikre, at en person eller et aktiv, der modtager nye identiteter, har den nødvendige autoritet, før en identitet oprettes, når først business casen er blevet godkendt.

  3. Oprettelse af en identitet

    4. Dine it-medarbejdere skal opbygge en identitet i tråd med business casen krav, og det bør begrænses til det, der er skitseret i enhver ændringsanmodningsdokumentation.

  4. De endelige konfigurationstrin for en identitet

    5. Som det sidste trin i processen tildeles en identitet til hver af dens adgangsbaserede tilladelser og roller (RBAC) samt eventuelle nødvendige godkendelsestjenester.

Hvad er ændringerne fra ISO 27001:2013?

ISO 27001: 2022 Bilag A 5.16 erstatter ISO 27001:2013 A.9.2.1 (tidligere kendt som 'Brugerregistrering og afregistrering').

Mens de to kontroller deler nogle slående ligheder - primært i vedligeholdelsesprotokoller og deaktivering af redundante ID'er - indeholder bilag A 5.16 et omfattende sæt retningslinjer, der omhandler identitets- og adgangsstyring som helhed.

Bilag A 5.16 Menneskelige vs. ikke-menneskelige identiteter forklaret

Der er nogle forskelle mellem 2022-bilaget og dets forgænger, idet på trods af forskelle i registreringsprocesser, behandles mennesker og ikke-mennesker ikke længere separat, når det kommer til generel netværksadministration.

Det er blevet mere almindeligt i IT-styring og retningslinjer for bedste praksis at tale om menneskelige og ikke-menneskelige identiteter i flæng siden fremkomsten af ​​moderne identitets- og adgangsstyring og Windows-baserede RBAC-protokoller.

I bilag A 9.2.1 til ISO 27001:2013 er der ingen vejledning i, hvordan man administrerer ikke-menneskelige identiteter, og teksten handler kun om at administrere, hvad den kalder "Bruger-ID'er" (dvs. login-oplysninger sammen med en adgangskode, der bruges for at få adgang til et netværk).

ISO 27001:2022 Bilag A 5.16 Dokumentation

Bilag A 5.16 giver eksplicit vejledning om både de generelle sikkerhedsimplikationer af identitetsstyring, og hvordan organisationer bør registrere og behandle information forud for tildelingen af ​​identiteter, såvel som gennem hele identitetens livscyklus.

Til sammenligning nævner ISO 27001:2013 A.9.2.1 kun kort den IT-styringsrolle, der omgiver administrationen af ​​identiteter, og begrænser sig til den fysiske praksis med identitetsadministration.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper dig med at opnå Annex A 5.16 Overholdelse

Så længe du opdaterer dit sikkerhedsstyringssystems processer for at afspejle de forbedrede kontroller, vil du være i overensstemmelse med ISO 27001:2022. Dette kan ISMS.online håndtere, hvis du ikke har de nødvendige ressourcer i hus.

Vi forenkler implementeringen af ​​ISO 27001:2022 gennem vores intuitive arbejdsgang og værktøjer, herunder rammer, politikker, kontroller, handlingsvenlig dokumentation og vejledning. Med vores cloud-baserede software kan du administrere alle dine ISMS løsninger på ét sted.

Vores platform giver dig mulighed for at definere omfanget af din ismer, identificere risici og implementere kontroller nemt.

For at lære mere om, hvordan ISMS.online kan hjælpe dig med at nå dine ISO 27001-mål, bedes du kontakt os i dag for at bestille en demo.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Metode med sikre resultater
100 % ISO 27001 succes

Din enkle, praktiske, tidsbesparende vej til første gangs ISO 27001-overensstemmelse eller certificering

Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere