ISO 27001:2022 Bilag A Kontrol 5.18

Adgangsrettigheder

Book en demo

tæt på,af,teenager,med,mørk,hud,hænder,på,tastatur,indtastning

Hver medarbejder i din organisation skal have adgang til specifikke computere, databaser, informationssystemer og applikationer for at udføre deres opgaver.

For eksempel din menneskelige ressourcer afdeling kan have brug for adgang til følsomme helbredsoplysninger om medarbejdere. Derudover kan din økonomiafdeling have brug for adgang til og bruge databaser, der indeholder medarbejderlønoplysninger.

Du bør give, ændre og tilbagekalde adgangsrettigheder i henhold til virksomhedens adgangskontrolpolitik og adgangskontrolforanstaltninger. Dette vil forhindre uautoriseret adgang til, ændring af og ødelæggelse af informationsaktiver.

Hvis du ikke tilbagekalder din tidligere medarbejders adgangsrettigheder, kan den pågældende medarbejder stjæle følsomme data.

I henhold til ISO 27001:2022 omhandler bilag A Kontrol 5.18, hvordan adgangsrettigheder skal tildeles, ændres og tilbagekaldes baseret på forretningskrav.

Hvad er formålet med ISO 27001:2022 Annex A 5.18?

I henhold til bilag A Kontrol 5.18 kan en organisation implementere procedurer og kontroller for at tildele, ændre og tilbagekalde adgangsrettigheder til informationssystemer i overensstemmelse med dens adgangskontrolpolitik.

Hvem har ejerskab til bilag A 5.18?

Den informationssikkerhedsansvarlige bør være ansvarlig for at etablere, implementere og gennemgå de relevante regler, processer og kontroller for levering, ændring og tilbagekaldelse af adgangsrettigheder til informationssystemer.

Det er den informationssikkerhedsansvarliges ansvar nøje at overveje forretningsbehov, når der tildeles, ændres og tilbagekaldes adgangsrettigheder. Desuden informationssikkerhedsansvarlig bør arbejde tæt sammen med ejere af informationsaktiver at sikre, at politikker og procedurer følges.

Gå til emne
Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Adgangsrettigheder – Vejledning om tildeling og tilbagekaldelse

For at tildele eller tilbagekalde adgangsrettigheder for alle typer brugere til alle systemer og tjenester, skal en proces implementeres (hvor enkel og dokumenteret den end måtte være). Ideelt set ville det hænge sammen med ovenstående punkter og det bredere HR Security-initiativ.

Et informationssystem eller en informationstjeneste bør stilles til rådighed eller tilbagekaldes baseret på følgende kriterier: Autorisation fra ejeren af ​​informationssystemet eller tjenesten, verifikation af, at adgangen er passende til den rolle, der udføres, og beskyttelse mod levering, før autorisation er opnået.

Brugere bør altid have adgang i henhold til forretningskrav som en del af en forretningsstyret tilgang. Selvom dette kan lyde bureaukratisk, behøver det ikke at være det. Ved at implementere effektive procedurer med rollebaseret adgang til systemer og tjenester kan dette problem løses effektivt.

Gennemgang af brugeradgangsrettigheder

Aktivejere skal gennemgå brugernes adgangsrettigheder regelmæssigt under individuelle ændringer (ved boarding, rolleændringer og exits) og under bredere revisioner af systemadgang.

Godkendelser bør revideres hyppigere i lyset af den højere risiko forbundet med privilegerede adgangsrettigheder. Som med 9.2 bør dette ske mindst årligt, eller når der er foretaget væsentlige ændringer.

Fjern eller juster adgangsrettigheder

Det er nødvendigt at fjerne adgangsrettighederne for alle ansatte og eksterne parters brugere til informations- og informationsbehandlingsfaciliteter ved ophør af deres ansættelse, kontrakt eller aftale (eller at justere deres adgangsrettigheder ved ændring af rolle, hvis det er nødvendigt).

Hvis exitpolitikker og -procedurer er godt designet og tilpasset A.7, vil dette også blive opnået og demonstreret til revisionsformål når medarbejderne går.

For tildeling og tilbagekaldelse af adgangsrettigheder til godkendte personer skal organisationer inkorporere følgende regler og kontroller:

  • For at få adgang til og bruge relevante informationsaktiver skal ejeren af ​​informationsaktivet godkende adgang og brug. Derudover bør organisationer overveje at anmode om særskilt godkendelse fra ledelsen, før de tildeler adgangsrettigheder.

  • Der skal tages hensyn til organisationens forretningsbehov og dens politik vedrørende adgangskontrol.

  • Organisationer bør overveje adskillelse af opgaver. Som eksempel kan godkendelse og implementering af adgangsrettigheder håndteres af separate personer.

  • En persons adgangsrettigheder bør straks tilbagekaldes, når de ikke længere har brug for adgang til informationsaktiver, især hvis de har forladt organisationen.

  • En midlertidig adgangsret kan gives til medarbejdere eller andet personale, der midlertidigt arbejder for organisationen. Når de ophører med at være ansat i organisationen, bør deres rettigheder tilbagekaldes.

  • Organisationens adgangskontrolpolitik bør bestemme en persons adgangsniveau og skal gennemgås og verificeres regelmæssigt. Desuden bør den overholde andre informationssikkerhedskrav, såsom ISO 27001:2022 Control 5.3, som specificerer adskillelse af opgaver.

  • Organisationen bør sikre, at adgangsrettigheder aktiveres, når den relevante godkendelsesproces er gennemført.

  • Adgangsrettighederne forbundet med hver identifikation, såsom et ID eller fysisk, bør opretholdes i et centralt adgangskontrolstyringssystem.

  • Det er bydende nødvendigt at opdatere en persons niveau af adgangsrettigheder, hvis deres rolle eller pligter ændres.

  • Følgende metoder kan bruges til at fjerne eller ændre fysiske eller logiske adgangsrettigheder: Fjernelse eller udskiftning af nøgler, ID-kort eller godkendelsesoplysninger.

  • Log og vedligehold ændringer af en brugers fysiske og logiske adgangsrettigheder er obligatoriske.

Supplerende retningslinjer for gennemgang af adgangsrettigheder

Periodiske gennemgange af fysiske og logiske adgangsrettigheder bør tage hensyn til følgende:

  • Når en bruger bliver forfremmet eller degraderet inden for den samme organisation, eller når deres ansættelse ophører, kan deres adgangsrettigheder ændres.

  • Procedure for autorisation af privilegeret adgang.

Vejledning om ændringer i ansættelse eller opsigelse af ansættelse

Risikofaktorer bør overvejes ved evaluering og ændring af en medarbejders adgangsrettigheder til informationsbehandlingssystemer. Dette er før de bliver forfremmet eller degraderet inden for samme organisation:

  • Dette inkluderer at afgøre, om medarbejderen påbegyndte opsigelsesprocessen, eller organisationen påbegyndte den, og årsagen til opsigelsen.

  • En beskrivelse af medarbejderens nuværende ansvar i organisationen.

  • Medarbejdernes adgang til informationsaktiver og deres betydning og værdi.

Yderligere tillægsvejledning

Det anbefales, at organisationer etablerer brugeradgangsroller i overensstemmelse med deres forretningskrav. Ud over typerne og antallet af adgangsrettigheder, der skal tildeles til hver brugergruppe, bør disse roller specificere typen af ​​adgangsrettigheder.

At skabe sådanne roller vil gøre adgangsanmodninger og rettigheder til at blive administreret og gennemgået nemmere.

Det anbefales, at organisationer medtager bestemmelser i deres ansættelses-/servicekontrakter med deres personale, der omhandler uautoriseret adgang til deres systemer og sanktioner for sådan adgang. Bilag A kontrol 5.20, 6.2, 6.4 og 6.6 skal følges.

Organisationer skal være forsigtige, når de håndterer utilfredse medarbejdere, der er afskediget af ledelsen, da de bevidst kan beskadige informationssystemer.

Organisationer, der beslutter at bruge kloningsteknikker til at give adgangsrettigheder, bør gøre det baseret på de roller, som organisationen har defineret.

Der er en risiko forbundet med kloning, idet der kan gives for store adgangsrettigheder.

Hvad er ændringerne og forskellene fra ISO 27001:2013?

ISO 27001:2022 Bilag A 5.18 erstatter ISO 27001:2013 Bilag A kontrol 9.2.2, 9.2.5 og 9.2.6.

2022-versionen indeholder mere omfattende krav til tildeling og tilbagekaldelse af adgangsrettigheder

2013-versionen af ​​bilag A Kontrol 9.2.2 skitserede seks krav til tildeling og tilbagekaldelse af adgangsrettigheder; dog indfører bilag A kontrol 5.18 tre yderligere krav ud over disse seks:

  1. Midlertidige adgangsrettigheder kan midlertidigt gives til medarbejdere eller andet personale, der arbejder for organisationen. Så snart de ophører med at arbejde for organisationen, bør disse rettigheder tilbagekaldes.

  2. Fjernelse eller ændring af fysiske eller logiske adgangsrettigheder kan opnås på følgende måder: Fjernelse eller udskiftning af nøgler, id-kort eller godkendelsesoplysninger.

  3. Ændring af en brugers fysiske eller logiske adgangsrettigheder skal logges og dokumenteres.

Krav til privilegerede adgangsrettigheder er mere detaljerede i 2013-versionen

I henhold til ISO 27001:2013 angiver bilag A Kontrol 9.5 eksplicit, at organisationer bør gennemgå autorisation for privilegerede adgangsrettigheder hyppigere end andre adgangsrettigheder. Dette krav var ikke inkluderet i bilag A kontrol 5.18 i version 2022.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISO 27001:2022, bilag A 5.18, er en af ​​de mest diskuterede klausuler. Mange hævder, at det er den mest betydningsfulde klausul i hele dokumentet.

Dette skyldes, at det hele Information Security Management System (ISMS) er baseret på at sikre, at de relevante personer har adgang til de korrekte oplysninger på det rigtige tidspunkt. At opnå succes kræver at få det rigtigt, men det kan have en alvorlig indvirkning på din virksomhed.

Forestil dig for eksempel, hvis du ved et uheld afslørede fortrolige medarbejderoplysninger til den forkerte person, såsom hver enkelt medarbejders løn.

En fejl her kan have betydelige konsekvenser, så det er værd at tage sig tid til at tænke det grundigt igennem.

Vores platform kan være yderst hjælpsom i denne forbindelse. Som et resultat overholder den hele strukturen af ISO 27001 og giver dig mulighed for at adoptere, tilpasse og tilføje til det indhold, vi leverer. Dette giver dig en væsentlig fordel. Hvorfor ikke planlæg en demo for at lære mere?

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere