ISO 27001:2022 Bilag A Kontrol 8.2

Privilegerede adgangsrettigheder

Book en demo

gruppe,af,glade,kolleger,diskuterer,i,konference,værelse

Hvad er formålet med ISO 27001:2022 Annex A 8.2?

På tværs af kommercielle netværk verden over er misbrug eller misbrug af forhøjede systemadministratorrettigheder en væsentlig årsag til IKT-forstyrrelser.

Ved at bruge privilegerede adgangsrettigheder kan organisationer kontrollere adgangen til deres infrastruktur, applikationer, aktiver og data.

ISO 27001: 2022 Bilag A 8.2 etablerer en godkendelsesproces til at håndtere alle anmodninger om adgang på tværs af en organisations IKT-netværk og -aktiver. Det er en forebyggende kontrol designet til fastholde risikoen.

Hvem har ejerskab til bilag A 8.2?

En organisation kan kontrollere adgangen til data gennem udvidede adgangsrettigheder forbundet med brugerkonti, som i bilag A 8.6.

Dette betyder, at organisationens evne til at administrere og overvåge privilegerede domæne- eller applikationsbrugerkonti bør være ansvaret for Leder af informationsteknologi (eller tilsvarende).

Gå til emne
Sig hej til ISO 27001 succes

Få 81 % af arbejdet gjort for dig, og bliv certificeret hurtigere med ISMS.online

Book din demo
img

Generel vejledning om ISO 27001:2022 Bilag A 8.2

ISO 27001:2022 Annex A 8.2 skitserer 12 hovedvejledningspunkter, som virksomheder bør følge baseret på en "emnespecifik" politik om adgangskontrol (se bilag A 5.15), der er målrettet mod specifikke forretningsfunktioner.

Det er afgørende for organisationer at:

  1. Forbered en liste over brugere, der kræver nogen grad af privilegeret adgang – uanset om det er til et individuelt system, en applikation eller det underliggende operativsystem.

  2. Sørg for, at privilegerede adgangsrettigheder tildeles brugere på "begivenhed for begivenhed"-basis - brugere bør tildeles adgangsrettigheder baseret på det absolutte minimum, de har brug for for at udføre deres pligter.

  3. Oprethold en fortegnelse over alle adgangsrettigheder, der er blevet tildelt, og skitser en enkel godkendelsesproces for alle anmodninger om privilegeret adgang.

  4. Adgangsrettigheder skal være underlagt relevante udløbsdatoer.

  5. Brugere bør udtrykkeligt informeres, når de opererer med privilegeret adgang til et system.

  6. Når det er relevant, bliver brugerne bedt om at autentificere igen, før de bruger privilegerede adgangsrettigheder for at øge sikkerheden for information og data.

  7. Periodisk revision privilegerede adgangsrettigheder, især efter en periode med organisatoriske ændringer. Adgangsrettigheder bør revideres baseret på brugernes "pligter, roller, ansvar og kompetence" (se bilag A 5.18).

  8. Overvej en "knus glas"-procedure, dvs. at give privilegerede adgangsrettigheder inden for stramt kontrollerede tidsrammer, der opfylder minimumskravene for, at en operation kan gennemføres (kritiske ændringer, systemadministration osv.).

  9. Sørg for, at alle aktiviteter, der involverer privilegeret adgang, er logget.

  10. Standardiserede brugernavne og adgangskoder (se bilag A 5.17) bør ikke bruges til systemlogin.

  11. Oprethold en politik med at tildele brugere separate identiteter for bedre at kontrollere privilegerede adgangsrettigheder. Som et resultat kan disse identiteter grupperes sammen, med forskellige adgangsniveauer, der gives til den tilknyttede gruppe.

  12. Sørg for, at privilegerede adgangsrettigheder er forbeholdt opgaver, der er kritiske for, at et IKT-netværk fungerer korrekt, såsom netværksadministration og vedligeholdelse.

Medfølgende bilag A kontrol

  • ISO 27001:2022 Bilag A 5.15

Hvad er ændringerne fra ISO 27001:2013?

ISO 27001:2022 Bilag A 8.2 erstatter ISO 27001:2013 Bilag A 9.2.3 ('Forvaltning af privilegerede adgangsrettigheder').

Bilag A 8.2 til ISO 27001:2022 indeholder fem vigtige vejledningspunkter, som ikke var inkluderet i 2013-modstykket:

  1. Bilag A 8.2 kræver ikke eksplicit et andet bruger-id for privilegeret adgang.

  2. Bilag A 8.2 understreger behovet for at autentificere igen, før du modtager privilegerede adgangsrettigheder.

  3. En knuseglastilgang foreslås, når der udføres kritiske vedligeholdelsesopgaver baseret på stramt kontrollerede tidsvinduer i bilag A 8.2.

  4. Bilag A 8.2 kræver, at organisationer opbevarer detaljerede privilegerede adgangslogfiler til revisionsformål.

  5. Bilag A 8.2 kræver, at organisationer begrænser privilegerede adgangsrettigheder til administrative opgaver.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

Ved hjælp af vores cloud-baserede platform og værktøjer kan organisationer oprette en informationssikkerhedsstyringssystem (ISMS) i overensstemmelse med ISO 27001:2022.

Blandt disse værktøjer er:

  1. Skabeloner til almindelige virksomhedsdokumenter.

  2. Politikker og procedurer, der er foruddefinerede.

  3. Understøttelse af interne revisioner med et revisionsværktøj.

  4. En godkendelsesworkflow for alle ændringer foretaget i politikker og procedurer.

  5. Tjekliste for at sikre, at din informationssikkerhedspolitikker og processer følger internationale standarder.

Find ud af om hele rækken af ​​funktioner i vores værktøjskasse ved booking af en demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Metode med sikre resultater
100 % ISO 27001 succes

Din enkle, praktiske, tidsbesparende vej til første gangs ISO 27001-overensstemmelse eller certificering

Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere