ISO 27001:2022 Bilag A 5.18 – Adgangsrettigheder

Hvad er formålet med ISO 27001:2022 Annex A 5.18?

I henhold til bilag A Kontrol 5.18 kan en organisation implementere procedurer og kontroller for at tildele, ændre og tilbagekalde adgangsrettigheder til informationssystemer i overensstemmelse med dens adgangskontrolpolitik.

Hvem har ejerskab til bilag A 5.18?

Den informationssikkerhedsansvarlige bør være ansvarlig for at etablere, implementere og gennemgå de relevante regler, processer og kontroller for levering, ændring og tilbagekaldelse af adgangsrettigheder til informationssystemer.

Det er den informationssikkerhedsansvarliges ansvar nøje at overveje forretningsbehov, når der tildeles, ændres og tilbagekaldes adgangsrettigheder. Desuden informationssikkerhedsansvarlig bør arbejde tæt sammen med ejere af informationsaktiver at sikre, at politikker og procedurer følges.

Adgangsrettigheder – Vejledning om tildeling og tilbagekaldelse

For at tildele eller tilbagekalde adgangsrettigheder for alle typer brugere til alle systemer og tjenester, skal en proces implementeres (hvor enkel og dokumenteret den end måtte være). Ideelt set ville det hænge sammen med ovenstående punkter og det bredere HR Security-initiativ.

Et informationssystem eller en informationstjeneste bør stilles til rådighed eller tilbagekaldes baseret på følgende kriterier: Autorisation fra ejeren af ​​informationssystemet eller tjenesten, verifikation af, at adgangen er passende til den rolle, der udføres, og beskyttelse mod levering, før autorisation er opnået.

Brugere bør altid have adgang i henhold til forretningskrav som en del af en forretningsstyret tilgang. Selvom dette kan lyde bureaukratisk, behøver det ikke at være det. Ved at implementere effektive procedurer med rollebaseret adgang til systemer og tjenester kan dette problem løses effektivt.

Gennemgang af brugeradgangsrettigheder

Aktivejere skal gennemgå brugernes adgangsrettigheder regelmæssigt under individuelle ændringer (ved boarding, rolleændringer og exits) og under bredere revisioner af systemadgang.

Godkendelser bør revideres hyppigere i lyset af den højere risiko forbundet med privilegerede adgangsrettigheder. Som med 9.2 bør dette ske mindst årligt, eller når der er foretaget væsentlige ændringer.

Fjern eller juster adgangsrettigheder

Det er nødvendigt at fjerne adgangsrettighederne for alle ansatte og eksterne parters brugere til informations- og informationsbehandlingsfaciliteter ved ophør af deres ansættelse, kontrakt eller aftale (eller at justere deres adgangsrettigheder ved ændring af rolle, hvis det er nødvendigt).

Hvis exitpolitikker og -procedurer er godt designet og tilpasset A.7, vil dette også blive opnået og demonstreret til revisionsformål når medarbejderne går.

For tildeling og tilbagekaldelse af adgangsrettigheder til godkendte personer skal organisationer inkorporere følgende regler og kontroller:

• For at få adgang til og bruge relevante informationsaktiver skal ejeren af ​​informationsaktivet godkende adgang og brug. Derudover bør organisationer overveje at anmode om særskilt godkendelse fra ledelsen, før de tildeler adgangsrettigheder.
• Der skal tages hensyn til organisationens forretningsbehov og dens politik vedrørende adgangskontrol.
• Organisationer bør overveje adskillelse af opgaver. Som eksempel kan godkendelse og implementering af adgangsrettigheder håndteres af separate personer.
• En persons adgangsrettigheder bør straks tilbagekaldes, når de ikke længere har brug for adgang til informationsaktiver, især hvis de har forladt organisationen.
• En midlertidig adgangsret kan gives til medarbejdere eller andet personale, der midlertidigt arbejder for organisationen. Når de ophører med at være ansat i organisationen, bør deres rettigheder tilbagekaldes.
• Organisationens adgangskontrolpolitik bør bestemme en persons adgangsniveau og skal gennemgås og verificeres regelmæssigt. Desuden bør den overholde andre informationssikkerhedskrav, såsom ISO 27001:2022 Control 5.3, som specificerer adskillelse af opgaver.
• Organisationen bør sikre, at adgangsrettigheder aktiveres, når den relevante godkendelsesproces er gennemført.
• Adgangsrettighederne forbundet med hver identifikation, såsom et ID eller fysisk, bør opretholdes i et centralt adgangskontrolstyringssystem.
• Det er bydende nødvendigt at opdatere en persons niveau af adgangsrettigheder, hvis deres rolle eller pligter ændres.
• Følgende metoder kan bruges til at fjerne eller ændre fysiske eller logiske adgangsrettigheder: Fjernelse eller udskiftning af nøgler, ID-kort eller godkendelsesoplysninger.
• Log og vedligehold ændringer af en brugers fysiske og logiske adgangsrettigheder er obligatoriske.

Supplerende retningslinjer for gennemgang af adgangsrettigheder

Periodiske gennemgange af fysiske og logiske adgangsrettigheder bør tage hensyn til følgende:

• Når en bruger bliver forfremmet eller degraderet inden for den samme organisation, eller når deres ansættelse ophører, kan deres adgangsrettigheder ændres.
• Procedure for autorisation af privilegeret adgang.

Vejledning om ændringer i ansættelse eller opsigelse af ansættelse

Risikofaktorer bør overvejes ved evaluering og ændring af en medarbejders adgangsrettigheder til informationsbehandlingssystemer. Dette er før de bliver forfremmet eller degraderet inden for samme organisation:

• Dette inkluderer at afgøre, om medarbejderen påbegyndte opsigelsesprocessen, eller organisationen påbegyndte den, og årsagen til opsigelsen.
• En beskrivelse af medarbejderens nuværende ansvar i organisationen.
• Medarbejdernes adgang til informationsaktiver og deres betydning og værdi.

Yderligere tillægsvejledning

Det anbefales, at organisationer etablerer brugeradgangsroller i overensstemmelse med deres forretningskrav. Ud over typerne og antallet af adgangsrettigheder, der skal tildeles til hver brugergruppe, bør disse roller specificere typen af ​​adgangsrettigheder.

At skabe sådanne roller vil gøre adgangsanmodninger og rettigheder til at blive administreret og gennemgået nemmere.

Det anbefales, at organisationer medtager bestemmelser i deres ansættelses-/servicekontrakter med deres personale, der omhandler uautoriseret adgang til deres systemer og sanktioner for sådan adgang. Bilag A kontrol 5.20, 6.2, 6.4 og 6.6 skal følges.

Organisationer skal være forsigtige, når de håndterer utilfredse medarbejdere, der er afskediget af ledelsen, da de bevidst kan beskadige informationssystemer.

Organisationer, der beslutter at bruge kloningsteknikker til at give adgangsrettigheder, bør gøre det baseret på de roller, som organisationen har defineret.

Der er en risiko forbundet med kloning, idet der kan gives for store adgangsrettigheder.

Hvad er ændringerne og forskellene fra ISO 27001:2013?

ISO 27001:2022 Bilag A 5.18 erstatter ISO 27001:2013 Bilag A kontrol 9.2.2, 9.2.5 og 9.2.6.

2022-versionen indeholder mere omfattende krav til tildeling og tilbagekaldelse af adgangsrettigheder

2013-versionen af ​​bilag A Kontrol 9.2.2 skitserede seks krav til tildeling og tilbagekaldelse af adgangsrettigheder; dog indfører bilag A kontrol 5.18 tre yderligere krav ud over disse seks:

1. Midlertidige adgangsrettigheder kan midlertidigt gives til medarbejdere eller andet personale, der arbejder for organisationen. Så snart de ophører med at arbejde for organisationen, bør disse rettigheder tilbagekaldes.
2. Fjernelse eller ændring af fysiske eller logiske adgangsrettigheder kan opnås på følgende måder: Fjernelse eller udskiftning af nøgler, id-kort eller godkendelsesoplysninger.
3. Ændring af en brugers fysiske eller logiske adgangsrettigheder skal logges og dokumenteres.

Krav til privilegerede adgangsrettigheder er mere detaljerede i 2013-versionen

I henhold til ISO 27001:2013 angiver bilag A Kontrol 9.5 eksplicit, at organisationer bør gennemgå autorisation for privilegerede adgangsrettigheder hyppigere end andre adgangsrettigheder. Dette krav var ikke inkluderet i bilag A kontrol 5.18 i version 2022.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

Hvordan ISMS.online Hjælp

ISO 27001:2022, bilag A 5.18, er en af ​​de mest diskuterede klausuler. Mange hævder, at det er den mest betydningsfulde klausul i hele dokumentet.

Dette skyldes, at det hele Information Security Management System (ISMS) er baseret på at sikre, at de relevante personer har adgang til de korrekte oplysninger på det rigtige tidspunkt. At opnå succes kræver at få det rigtigt, men det kan have en alvorlig indvirkning på din virksomhed.

Forestil dig for eksempel, hvis du ved et uheld afslørede fortrolige medarbejderoplysninger til den forkerte person, såsom hver enkelt medarbejders løn.

En fejl her kan have betydelige konsekvenser, så det er værd at tage sig tid til at tænke det grundigt igennem.

Vores platform kan være yderst hjælpsom i denne forbindelse. Som et resultat overholder den hele strukturen af ISO 27001 og giver dig mulighed for at adoptere, tilpasse og tilføje til det indhold, vi leverer. Dette giver dig en væsentlig fordel. Hvorfor ikke planlæg en demo for at lære mere?