Spring til indhold
ISMS.online

ISO 27002:2022 – Kontrol 5.15 – Adgangskontrol

Adgangskontrol 5.15 regulerer de måder, hvorpå menneskelige og ikke-menneskelige enheder på et givet netværk får adgang til data, it-ressourcer og applikationer.

Forfatter
Sam Peters
Opdateret juli 25, 2025
4/5 stjerner

Hvad er formålet med kontrol 5.15

I henhold til den supplerende vejledning nævner Kontrol 5.15 (men begrænser sig ikke til) fire forskellige typer adgangskontrol, som bredt kan klassificeres som følger:

  • Obligatorisk adgangskontrol (MAC) – Adgangen administreres centralt af en eneste sikkerhedsmyndighed.
  • Diskretionær adgangskontrol (DAC) – Den modsatte metode til MAC, hvor objektejere er i stand til at videregive privilegier til andre brugere.
  • Rollebaseret adgangskontrol (RBAC) – Den mest almindelige type kommerciel adgangskontrol, baseret på foruddefinerede jobfunktioner og privilegier.
  • Attribut-baseret adgangskontrol (ABAC) – Adgangsrettigheder tildeles brugere gennem brug af politikker, der kombinerer attributter.

5.15 er en forebyggende kontrol, der fastholder risiko ved at forbedre en organisations underliggende formåen at kontrollere adgangen til data og aktiver.

5.15 er eksplicit ved at angive, at adgang til ressourcer bør gives og ændres baseret på et konkret sæt af kommercielle og informationsmæssige sikkerhedskrav.

Organisationer bør implementere 5.15 for at lette sikker adgang til data og minimere risikoen for uautoriseret adgang til deres netværk – det være sig fysisk eller virtuelt.

Kontrolattributter 5.15

Kontrol type Informationssikkerhedsegenskaber Cybersikkerhedskoncepter Operationelle evner Sikkerhedsdomæner
#Forebyggende #Fortrolighed #Beskytte #Identitets- og adgangsstyring #Beskyttelse
#Integritet
#Tilgængelighed

Ejerskab

Mens 5.15 er afhængig af, at ledelsespersonale fra forskellige dele af en organisation opretholder en grundig forståelse af, hvem der har brug for adgang til hvilke ressourcer (dvs. HR-information om en medarbejders jobrolle, som igen dikterer deres RBAC-parametre), er adgangsrettigheder i sidste ende en vedligeholdelsesfunktion, der kontrolleres af personale med administrative rettigheder over et givet netværk.

Som sådan bør ejerskabet af 5.15 ligge hos et medlem af den øverste ledelse med overordnet teknisk autoritet på tværs af en organisations domæner, underdomæner, applikationer, ressourcer og aktiver, såsom en IT-chef.



ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Et forspring på 81% fra dag ét

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang


Generel vejledning

Overholdelse af kontrol 5.15 indebærer overholdelse af det, der er kendt som en 'emnespecifik' tilgang til adgangskontrol (mere kendt som en 'problemspecifik' tilgang).

Emnespecifikke tilgange tilskynder organisationer til at skabe Access Kontrolpolitikker der er skræddersyet til individuelle forretningsfunktioner i stedet for at overholde en generel adgangskontrolpolitik, der gælder for data- og ressourceadgang over hele linjen.

Kontrol 5.15 kræver adgangskontrolpolitikker på tværs af alle emnespecifikke områder for at tage de følgende 11 vejledningspunkter i betragtning. Nogle af nedenstående vejledningspunkter skærer hinanden med forskellige andre kontroller, som er angivet til reference.

Organisationer bør konsultere disse medfølgende kontroller fra sag til sag for yderligere information.

Overholdelse – Dette opnås nemt ved at føre en nøjagtig registrering af jobroller og krav til dataadgang, som er i overensstemmelse med din organisationsstruktur.

  • Integriteten og sikkerheden af ​​alle relevante applikationer (forbundet med Control 8.2)

Overholdelse – En formel risikovurdering kunne udføres for at undersøge de enkelte applikationers sikkerhedskarakteristika.

  • Fysiske (site) adgangskontroller (sammenkædet med kontrol 7.2, 7.3 og 7.4)

Overholdelse – Din organisation skal kunne demonstrere, at du har et robust sæt af bygnings- og rumadgangskontroller, herunder administrerede adgangssystemer, sikkerhedsperimetre og besøgsprocedurer, hvor det er relevant.

  • Et virksomhedsdækkende "need to know"-princip, når det kommer til informationsdistribution, sikkerhed og kategorisering (forbundet med 5.10, 5.12 og 5.13)

Overholdelse – Virksomheder bør overholde strenge politikker for bedste praksis, der ikke giver generel adgang til data på tværs af et organisationsdiagram.

  • Sikre begrænsninger af privilegerede adgangsrettigheder (forbundet med 8.2)

Overholdelse – Dataadgangsrettigheder ud over en standardbrugers rettigheder skal være tætte overvåget og revideret.

  • Overholdelse af enhver gældende lovgivning, sektorspecifikke regulatoriske retningslinjer eller kontraktlige forpligtelser i forbindelse med dataadgang (linket til 5.31, 5.32, 5.33, 5.34 og 8.3)

Overholdelse – Organisationer skræddersyer deres egne adgangskontrolpolitikker i overensstemmelse med eventuelle eksterne forpligtelser, de har med hensyn til data-, aktiv- og ressourceadgang.

  • Overvågning af potentielle pligtkonflikter

Overholdelse – Politikker bør omfatte kontroller, der eliminerer en persons mulighed for at kompromittere en bredere adgangskontrolfunktion baseret på deres egne adgangsniveauer (dvs. en medarbejder, der har evnen til at anmode om, godkende og implementere ændringer i et netværk).

  • De tre hovedfunktioner i en adgangskontrolpolitik – anmodninger, tilladelser og administration – bør behandles isoleret

Overholdelse – Adgangskontrolpolitikker skal anerkende, at selv om adgangskontrol er en selvstændig funktion, består den af ​​en række individuelle trin, der bærer deres eget sæt krav på emne-for-emne-basis.

  • Anmodninger om adgang skal udføres på en struktureret, formel måde (linket til 5.16 og 5.18)

Overholdelse – Organisationer bør implementere en godkendelsesproces, der kræver en formel, dokumenteret godkendelse fra et passende medlem af personalet.

  • Løbende styring af adgangsrettigheder (linket til 5.18)

Overholdelse – Dataintegritet og sikkerhedsperimetre skal opretholdes gennem en kontinuerlig cyklus af periodiske revisioner, HR-tilsyn (fralader osv.) og jobspecifikke ændringer (f.eks. afdelingsflytninger og rolleændringer).

  • Vedligeholdelse af passende logfiler og kontrol af adgang til dem

Overholdelse – Organisationen bør indsamle og opbevare data om adgangsbegivenheder (f.eks. filaktivitet) sideløbende med sikring mod uautoriseret adgang til sikkerhedshændelseslogfiler og operere med et omfattende sæt af incident management procedurer.



klatring

Frigør dig selv fra et bjerg af regneark

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo


Vejledning om implementering af adgangskontrolregler

Som vi har diskuteret, gives adgangskontrolregler til forskellige enheder (menneskelige og ikke-menneskelige), der eksisterer på et givet netværk, som igen får "roller", der dikterer deres overordnede krav.

Når din organisation definerer og vedtager sit eget sæt af adgangskontrolpolitikker, beder 5.15 dig om at tage følgende 4 punkter i betragtning:

  1. Sikre overensstemmelse mellem adgangsretten og den type data, den gælder for.
  2. Sikre overensstemmelse mellem adgangsretten og fysiske sikkerhedskrav af din organisation (perimeter osv.).
  3. Hvor din organisation opererer under et distribueret computermiljø, der omfatter flere forskellige netværk eller sæt af ressourcer (såsom et cloud-baseret miljø), tager adgangsrettigheder hensyn til implikationerne af data indeholdt på tværs af en bred vifte af netværkstjenester.
  4. Vær opmærksom på implikationerne omkring dynamisk adgangskontrol (en detaljeret metode til adgang implementeret af systemadministratorer til et detaljeret sæt variabler).

Dokumentation og definerede ansvarsområder

Kontrol 5.15 er eksplicit i at kræve, at organisationer beskæftiger sig med dokumentation og en struktureret liste over ansvarsområder. ISO 27002 indeholder adskillige lignende krav på tværs af hele listen over kontroller - her er de individuelle kontroller, der er mest relevante for 5.15:

Dokumentation

  • 5.16
  • 5.17
  • 5.18
  • 8.2
  • 8.3
  • 8.4
  • 8.5
  • 8.18

ansvar

  • 5.2
  • 5.17

granularitet

Kontrol 5.15 giver organisationer et betydeligt spillerum, når det kommer til at vælge det granularitetsniveau, der er indeholdt i deres adgangskontrolregler.

ISO råder virksomheder til at udøve deres egen vurdering af, hvor detaljeret et givet regelsæt skal være på medarbejder-for-medarbejder-basis, og hvor mange adgangsvariabler, der anvendes på ethvert stykke data.

5.15 anerkender udtrykkeligt, at jo mere detaljerede en virksomheds adgangskontrolpolitikker er, desto større omkostninger og jo sværere bliver hele konceptet med adgangskontrol på tværs af flere lokationer, netværkstyper og applikationsvariabler.

Adgangskontrol som koncept, medmindre det styres nøje, kan hurtigt komme ud af kontrol. Det er næsten altid en god idé at forenkle reglerne for adgangskontrol for at gøre dem nemmere og mere omkostningseffektive at administrere.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Ændringer fra ISO 27002:2013

27002:2013/5.15 er en sammenlægning af to lignende kontroller i 27002:2013 – 9.1.1 (Adgangskontrolpolitik) og 9.1.2 (Adgang til netværk og netværkstjenester).

Generelt behandler både 9.1.1 og 9.1.2 de samme underliggende temaer som 5.15 og følger i store træk det samme sæt retningslinjer for styring med nogle subtile operationelle forskelle.

Både 2022- og 2013-kontrollen beskæftiger sig med administration af adgang til information, aktiver og ressourcer og drift efter et "need to know"-princip, der behandler virksomhedsdata som en vare, der skal styres og beskyttes nøje.

Alle 27002:2013/9.1.1's 11 styrende retningslinjer løber efter de samme generelle linjer, som ses i 27002:2013/5.15, hvor sidstnævnte har en marginalt større vægt på fysisk sikkerhed og perimetersikkerhed.

Understøttende vejledning om implementering af adgangskontrol er stort set den samme, men 2022-kontrollen gør et meget bedre stykke arbejde med at tilbyde kortfattet, praktisk vejledning på tværs af sine 4 implementeringsretningslinjer.

Ændringer i typer af adgangskontrol fra 9.1.1

5.15 anerkender de forskellige former for adgangskontrolmetoder, der er opstået i løbet af de sidste 9 år (MAC, DAC, ABAC), hvorimod 27002:2013/9.1.1 begrænser sin vejledning til RBAC – den mest almindelige metode til kommerciel adgangskontrol på det tidspunkt .

granularitet

I forbindelse med teknologiske ændringer, der giver organisationer større kontrol over deres data, indeholder ingen af ​​kontrollerne fra 2013 nogen meningsfuld vejledning om, hvordan en organisation skal gribe granuleret adgangskontrol til, hvorimod 27002:2013/5.15 giver organisationer et betydeligt spillerum.

Nye ISO 27002 kontroller

Ny kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.7 NY Trusselsintelligens
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.30 NY IKT-parathed til forretningskontinuitet
7.4 NY Fysisk sikkerhedsovervågning
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.16 NY Overvågning af aktiviteter
8.23 NY Webfiltrering
8.28 NY Sikker kodning
Organisatoriske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.1 05.1.1, 05.1.2 Politikker for informationssikkerhed
5.2 06.1.1 Informationssikkerhedsroller og -ansvar
5.3 06.1.2 Opdeling af pligter
5.4 07.2.1 Ledelsesansvar
5.5 06.1.3 Kontakt med myndigheder
5.6 06.1.4 Kontakt til særlige interessegrupper
5.7 NY Trusselsintelligens
5.8 06.1.5, 14.1.1 Informationssikkerhed i projektledelse
5.9 08.1.1, 08.1.2 Opgørelse af information og andre tilhørende aktiver
5.10 08.1.3, 08.2.3 Acceptabel brug af information og andre tilknyttede aktiver
5.11 08.1.4 Tilbagelevering af aktiver
5.12 08.2.1 Klassificering af oplysninger
5.13 08.2.2 Mærkning af information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsoverførsel
5.15 09.1.1, 09.1.2 Adgangskontrol
5.16 09.2.1 Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3 Godkendelsesoplysninger
5.18 09.2.2, 09.2.5, 09.2.6 Adgangsrettigheder
5.19 15.1.1 Informationssikkerhed i leverandørforhold
5.20 15.1.2 Håndtering af informationssikkerhed inden for leverandøraftaler
5.21 15.1.3 Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22 15.2.1, 15.2.2 Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.24 16.1.1 Planlægning og forberedelse af informationssikkerhedshændelser
5.25 16.1.4 Vurdering og beslutning om informationssikkerhedshændelser
5.26 16.1.5 Reaktion på informationssikkerhedshændelser
5.27 16.1.6 Lær af informationssikkerhedshændelser
5.28 16.1.7 Indsamling af beviser
5.29 17.1.1, 17.1.2, 17.1.3 Informationssikkerhed under afbrydelse
5.30 5.30 IKT-parathed til forretningskontinuitet
5.31 18.1.1, 18.1.5 Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32 18.1.2 Intellektuelle ejendomsrettigheder
5.33 18.1.3 Beskyttelse af optegnelser
5.34 18.1.4 Privatliv og beskyttelse af PII
5.35 18.2.1 Uafhængig gennemgang af informationssikkerhed
5.36 18.2.2, 18.2.3 Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37 12.1.1 Dokumenterede driftsprocedurer
People Controls
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansættelse
6.3 07.2.2 Informationssikkerhedsbevidsthed, uddannelse og træning
6.4 07.2.3 Disciplinær proces
6.5 07.3.1 Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6 13.2.4 Aftaler om fortrolighed eller tavshedspligt
6.7 06.2.2 Fjernbetjening
6.8 16.1.2, 16.1.3 Informationssikkerhedshændelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
7.1 11.1.1 Fysiske sikkerhedsomkredse
7.2 11.1.2, 11.1.6 Fysisk adgang
7.3 11.1.3 Sikring af kontorer, lokaler og faciliteter
7.4 NY Fysisk sikkerhedsovervågning
7.5 11.1.4 Beskyttelse mod fysiske og miljømæssige trusler
7.6 11.1.5 Arbejde i sikre områder
7.7 11.2.9 Overskueligt skrivebord og klar skærm
7.8 11.2.1 Udstyrsplacering og beskyttelse
7.9 11.2.6 Sikkerhed af aktiver uden for lokalerne
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagermedier
7.11 11.2.2 Understøttende hjælpeprogrammer
7.12 11.2.3 Kabler sikkerhed
7.13 11.2.4 Vedligeholdelse af udstyr
7.14 11.2.7 Sikker bortskaffelse eller genbrug af udstyr
Teknologisk kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
8.1 06.2.1, 11.2.8 Bruger slutpunktsenheder
8.2 09.2.3 Privilegerede adgangsrettigheder
8.3 09.4.1 Begrænsning af informationsadgang
8.4 09.4.5 Adgang til kildekode
8.5 09.4.2 Sikker autentificering
8.6 12.1.3 Kapacitetsstyring
8.7 12.2.1 Beskyttelse mod malware
8.8 12.6.1, 18.2.3 Håndtering af tekniske sårbarheder
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.13 12.3.1 Sikkerhedskopiering af information
8.14 17.2.1 Redundans af informationsbehandlingsfaciliteter
8.15 12.4.1, 12.4.2, 12.4.3 Logning
8.16 NY Overvågning af aktiviteter
8.17 12.4.4 Ur synkronisering
8.18 09.4.4 Brug af privilegerede hjælpeprogrammer
8.19 12.5.1, 12.6.2 Installation af software på operativsystemer
8.20 13.1.1 Netværkssikkerhed
8.21 13.1.2 Sikkerhed af netværkstjenester
8.22 13.1.3 Adskillelse af netværk
8.23 NY Webfiltrering
8.24 10.1.1, 10.1.2 Brug af kryptografi
8.25 14.2.1 Sikker udviklingslivscyklus
8.26 14.1.2, 14.1.3 Krav til applikationssikkerhed
8.27 14.2.5 Sikker systemarkitektur og tekniske principper
8.28 NY Sikker kodning
8.29 14.2.8, 14.2.9 Sikkerhedstest i udvikling og accept
8.30 14.2.7 Udliciteret udvikling
8.31 12.1.4, 14.2.6 Adskillelse af udviklings-, test- og produktionsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Forandringsledelse
8.33 14.3.1 Testinformation
8.34 12.7.1 Beskyttelse af informationssystemer under revisionstest

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder udviklingen af ​​alle produktfunktioner og funktionalitet. Sam er ekspert inden for mange områder af overholdelse og arbejder med kunder på alle skræddersyede eller storskala projekter.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt ud i perfekt stand

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Vinter 2026
Regional leder - Vinter 2026 Storbritannien
Regional leder - Vinter 2026 EU
Regional leder - Vinter 2026 Mellemmarked EU
Regional leder - Vinter 2026 EMEA
Regional leder - Vinter 2026 Mellemstor EMEA-marked

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.