Hver medarbejder i din organisation skal have adgang til specifikke computere, databaser, informationssystemer og applikationer for at udføre deres opgaver.
For eksempel din menneskelige ressourcer afdeling kan have brug for adgang til følsomme helbredsoplysninger om medarbejdere. Derudover kan din økonomiafdeling have brug for adgang til og bruge databaser, der indeholder medarbejderlønoplysninger.
Du bør give, ændre og tilbagekalde adgangsrettigheder i henhold til virksomhedens adgangskontrolpolitik og adgangskontrolforanstaltninger. Dette vil forhindre uautoriseret adgang til, ændring af og ødelæggelse af informationsaktiver.
Hvis du ikke tilbagekalder din tidligere medarbejders adgangsrettigheder, kan den pågældende medarbejder stjæle følsomme data.
I henhold til ISO 27001:2022 omhandler bilag A Kontrol 5.18, hvordan adgangsrettigheder skal tildeles, ændres og tilbagekaldes baseret på forretningskrav.
I henhold til bilag A Kontrol 5.18 kan en organisation implementere procedurer og kontroller for at tildele, ændre og tilbagekalde adgangsrettigheder til informationssystemer i overensstemmelse med dens adgangskontrolpolitik.
Den informationssikkerhedsansvarlige bør være ansvarlig for at etablere, implementere og gennemgå de relevante regler, processer og kontroller for levering, ændring og tilbagekaldelse af adgangsrettigheder til informationssystemer.
Det er den informationssikkerhedsansvarliges ansvar nøje at overveje forretningsbehov, når der tildeles, ændres og tilbagekaldes adgangsrettigheder. Desuden informationssikkerhedsansvarlig bør arbejde tæt sammen med ejere af informationsaktiver at sikre, at politikker og procedurer følges.
For at tildele eller tilbagekalde adgangsrettigheder for alle typer brugere til alle systemer og tjenester, skal en proces implementeres (hvor enkel og dokumenteret den end måtte være). Ideelt set ville det hænge sammen med ovenstående punkter og det bredere HR Security-initiativ.
Et informationssystem eller en informationstjeneste bør stilles til rådighed eller tilbagekaldes baseret på følgende kriterier: Autorisation fra ejeren af informationssystemet eller tjenesten, verifikation af, at adgangen er passende til den rolle, der udføres, og beskyttelse mod levering, før autorisation er opnået.
Brugere bør altid have adgang i henhold til forretningskrav som en del af en forretningsstyret tilgang. Selvom dette kan lyde bureaukratisk, behøver det ikke at være det. Ved at implementere effektive procedurer med rollebaseret adgang til systemer og tjenester kan dette problem løses effektivt.
Aktivejere skal gennemgå brugernes adgangsrettigheder regelmæssigt under individuelle ændringer (ved boarding, rolleændringer og exits) og under bredere revisioner af systemadgang.
Godkendelser bør revideres hyppigere i lyset af den højere risiko forbundet med privilegerede adgangsrettigheder. Som med 9.2 bør dette ske mindst årligt, eller når der er foretaget væsentlige ændringer.
Det er nødvendigt at fjerne adgangsrettighederne for alle ansatte og eksterne parters brugere til informations- og informationsbehandlingsfaciliteter ved ophør af deres ansættelse, kontrakt eller aftale (eller at justere deres adgangsrettigheder ved ændring af rolle, hvis det er nødvendigt).
Hvis exitpolitikker og -procedurer er godt designet og tilpasset A.7, vil dette også blive opnået og demonstreret til revisionsformål når medarbejderne går.
For tildeling og tilbagekaldelse af adgangsrettigheder til godkendte personer skal organisationer inkorporere følgende regler og kontroller:
Periodiske gennemgange af fysiske og logiske adgangsrettigheder bør tage hensyn til følgende:
Risikofaktorer bør overvejes ved evaluering og ændring af en medarbejders adgangsrettigheder til informationsbehandlingssystemer. Dette er før de bliver forfremmet eller degraderet inden for samme organisation:
Det anbefales, at organisationer etablerer brugeradgangsroller i overensstemmelse med deres forretningskrav. Ud over typerne og antallet af adgangsrettigheder, der skal tildeles til hver brugergruppe, bør disse roller specificere typen af adgangsrettigheder.
At skabe sådanne roller vil gøre adgangsanmodninger og rettigheder til at blive administreret og gennemgået nemmere.
Det anbefales, at organisationer medtager bestemmelser i deres ansættelses-/servicekontrakter med deres personale, der omhandler uautoriseret adgang til deres systemer og sanktioner for sådan adgang. Bilag A kontrol 5.20, 6.2, 6.4 og 6.6 skal følges.
Organisationer skal være forsigtige, når de håndterer utilfredse medarbejdere, der er afskediget af ledelsen, da de bevidst kan beskadige informationssystemer.
Organisationer, der beslutter at bruge kloningsteknikker til at give adgangsrettigheder, bør gøre det baseret på de roller, som organisationen har defineret.
Der er en risiko forbundet med kloning, idet der kan gives for store adgangsrettigheder.
ISO 27001:2022 Bilag A 5.18 erstatter ISO 27001:2013 Bilag A kontrol 9.2.2, 9.2.5 og 9.2.6.
2013-versionen af bilag A Kontrol 9.2.2 skitserede seks krav til tildeling og tilbagekaldelse af adgangsrettigheder; dog indfører bilag A kontrol 5.18 tre yderligere krav ud over disse seks:
I henhold til ISO 27001:2013 angiver bilag A Kontrol 9.5 eksplicit, at organisationer bør gennemgå autorisation for privilegerede adgangsrettigheder hyppigere end andre adgangsrettigheder. Dette krav var ikke inkluderet i bilag A kontrol 5.18 i version 2022.
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
ISO 27001:2022, bilag A 5.18, er en af de mest diskuterede klausuler. Mange hævder, at det er den mest betydningsfulde klausul i hele dokumentet.
Dette skyldes, at det hele Information Security Management System (ISMS) er baseret på at sikre, at de relevante personer har adgang til de korrekte oplysninger på det rigtige tidspunkt. At opnå succes kræver at få det rigtigt, men det kan have en alvorlig indvirkning på din virksomhed.
Forestil dig for eksempel, hvis du ved et uheld afslørede fortrolige medarbejderoplysninger til den forkerte person, såsom hver enkelt medarbejders løn.
En fejl her kan have betydelige konsekvenser, så det er værd at tage sig tid til at tænke det grundigt igennem.
Vores platform kan være yderst hjælpsom i denne forbindelse. Som et resultat overholder den hele strukturen af ISO 27001 og giver dig mulighed for at adoptere, tilpasse og tilføje til det indhold, vi leverer. Dette giver dig en væsentlig fordel. Hvorfor ikke planlæg en demo for at lære mere?