ISO 27001:2022 Bilag A 8.2 – Privilegerede adgangsrettigheder

• Se ISO 27002:2022 Kontrol 8.2 for mere information.
• Se ISO 27001:2013 Bilag A 9.2.3 for mere information.

Hvad er formålet med ISO 27001:2022 Annex A 8.2?

På tværs af kommercielle netværk verden over er misbrug eller misbrug af forhøjede systemadministratorrettigheder en væsentlig årsag til IKT-forstyrrelser.

Ved at bruge privilegerede adgangsrettigheder kan organisationer kontrollere adgangen til deres infrastruktur, applikationer, aktiver og data.

ISO 27001: 2022 Bilag A 8.2 etablerer en godkendelsesproces til at håndtere alle anmodninger om adgang på tværs af en organisations IKT-netværk og -aktiver. Det er en forebyggende kontrol designet til fastholde risikoen.

Hvem har ejerskab til bilag A 8.2?

En organisation kan kontrollere adgangen til data gennem udvidede adgangsrettigheder forbundet med brugerkonti, som i bilag A 8.6.

Dette betyder, at organisationens evne til at administrere og overvåge privilegerede domæne- eller applikationsbrugerkonti bør være ansvaret for Leder af informationsteknologi (eller tilsvarende).

Generel vejledning om ISO 27001:2022 Bilag A 8.2

ISO 27001:2022 Annex A 8.2 skitserer 12 hovedvejledningspunkter, som virksomheder bør følge baseret på en "emnespecifik" politik om adgangskontrol (se bilag A 5.15), der er målrettet mod specifikke forretningsfunktioner.

Det er afgørende for organisationer at:

1. Forbered en liste over brugere, der kræver nogen grad af privilegeret adgang – uanset om det er til et individuelt system, en applikation eller det underliggende operativsystem.
2. Sørg for, at privilegerede adgangsrettigheder tildeles brugere på "begivenhed for begivenhed"-basis - brugere bør tildeles adgangsrettigheder baseret på det absolutte minimum, de har brug for for at udføre deres pligter.
3. Oprethold en fortegnelse over alle adgangsrettigheder, der er blevet tildelt, og skitser en enkel godkendelsesproces for alle anmodninger om privilegeret adgang.
4. Adgangsrettigheder skal være underlagt relevante udløbsdatoer.
5. Brugere bør udtrykkeligt informeres, når de opererer med privilegeret adgang til et system.
6. Når det er relevant, bliver brugerne bedt om at autentificere igen, før de bruger privilegerede adgangsrettigheder for at øge sikkerheden for information og data.
7. Periodisk revision privilegerede adgangsrettigheder, især efter en periode med organisatoriske ændringer. Adgangsrettigheder bør revideres baseret på brugernes "pligter, roller, ansvar og kompetence" (se bilag A 5.18).
8. Overvej en "knus glas"-procedure, dvs. at give privilegerede adgangsrettigheder inden for stramt kontrollerede tidsrammer, der opfylder minimumskravene for, at en operation kan gennemføres (kritiske ændringer, systemadministration osv.).
9. Sørg for, at alle aktiviteter, der involverer privilegeret adgang, er logget.
10. Standardiserede brugernavne og adgangskoder (se bilag A 5.17) bør ikke bruges til systemlogin.
11. Oprethold en politik med at tildele brugere separate identiteter for bedre at kontrollere privilegerede adgangsrettigheder. Som et resultat kan disse identiteter grupperes sammen, med forskellige adgangsniveauer, der gives til den tilknyttede gruppe.
12. Sørg for, at privilegerede adgangsrettigheder er forbeholdt opgaver, der er kritiske for, at et IKT-netværk fungerer korrekt, såsom netværksadministration og vedligeholdelse.

Medfølgende bilag A kontrol

• ISO 27001:2022 Bilag A 5.15

Hvad er ændringerne fra ISO 27001:2013?

ISO 27001:2022 Bilag A 8.2 erstatter ISO 27001:2013 Bilag A 9.2.3 ('Forvaltning af privilegerede adgangsrettigheder').

Bilag A 8.2 til ISO 27001:2022 indeholder fem vigtige vejledningspunkter, som ikke var inkluderet i 2013-modstykket:

1. Bilag A 8.2 kræver ikke eksplicit et andet bruger-id for privilegeret adgang.
2. Bilag A 8.2 understreger behovet for at autentificere igen, før du modtager privilegerede adgangsrettigheder.
3. En knuseglastilgang foreslås, når der udføres kritiske vedligeholdelsesopgaver baseret på stramt kontrollerede tidsvinduer i bilag A 8.2.
4. Bilag A 8.2 kræver, at organisationer opbevarer detaljerede privilegerede adgangslogfiler til revisionsformål.
5. Bilag A 8.2 kræver, at organisationer begrænser privilegerede adgangsrettigheder til administrative opgaver.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

Hvordan ISMS.online Hjælp

Ved hjælp af vores cloud-baserede platform og værktøjer kan organisationer oprette en informationssikkerhedsstyringssystem (ISMS) i overensstemmelse med ISO 27001:2022.

Blandt disse værktøjer er:

1. Skabeloner til almindelige virksomhedsdokumenter.
2. Politikker og procedurer, der er foruddefinerede.
3. Understøttelse af interne revisioner med et revisionsværktøj.
4. En godkendelsesworkflow for alle ændringer foretaget i politikker og procedurer.
5. Tjekliste for at sikre, at din informationssikkerhedspolitikker og processer følger internationale standarder.

Find ud af om hele rækken af ​​funktioner i vores værktøjskasse ved booking af en demo.