Hver medarbejder i din organisation skal have adgang til bestemte computere, databaser, informationssystemer og applikationer for at udføre deres opgaver.
Mens personalepersonale for eksempel kan have brug for adgang til følsomme sundhedsdata for medarbejdere, kan din økonomiafdeling stole på at få adgang til og bruge databaser, der indeholder medarbejderlønoplysninger.
Disse adgangsrettigheder bør dog gives, ændres og tilbagekaldes i overensstemmelse med din organisations adgangskontrolpolitik og dens adgangskontrol, så du kan forhindre uautoriseret adgang til, ændring af og ødelæggelse af informationsaktiver.
For eksempel, hvis du undlader at tilbagekalde adgangsrettighederne for en tidligere medarbejder, kan denne medarbejder stjæle følsomme oplysninger.
Kontrol 5.18 omhandler, hvordan organisationer skal tildele, ændre og tilbagekalde adgangsrettigheder under hensyntagen til forretningskrav.
Kontrol 5.18 gør det muligt for en organisation at etablere og implementere passende procedurer og kontroller for at tildele, ændre og tilbagekalde adgangsrettigheder til informationssystemer i overensstemmelse med organisationens adgangskontrolpolitik og dens adgangskontrol.
Kontrol 5.18 er en forebyggende kontrol, der kræver, at organisationer eliminerer risikoen for uautoriseret adgang til informationssystemer ved at indføre robuste regler, procedurer og kontroller.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Identitets- og adgangsstyring | #Beskyttelse |
En informationssikkerhedsmedarbejder bør være ansvarlig for at etablere, implementere og gennemgå passende regler, processer og kontroller for tilvejebringelse, ændring og tilbagekaldelse af adgangsrettigheder til informationssystemer.
Ved tildeling, ændring og tilbagekaldelse af adgangsrettigheder bør den informationssikkerhedsansvarlige overveje forretningsbehov og bør arbejde tæt sammen med ejere af informationsaktiver for at sikre, at regler og processer overholdes.
Organisationer bør inkorporere følgende regler og kontroller i processen for tildeling og tilbagekaldelse af adgangsrettigheder til en autentificeret person:
Fysiske og logiske adgangsrettigheder bør gennemgå periodiske gennemgange under hensyntagen til:
Inden en medarbejder forfremmes eller degraderes inden for samme organisation, eller når hans/hendes ansættelse opsiges, bør hans/hendes adgangsrettigheder til informationsbehandlingssystemer evalueres og modificeres under hensyntagen til følgende risikofaktorer:
Organisationer bør overveje at etablere brugeradgangsroller baseret på deres forretningskrav. Disse roller bør omfatte typer og antal af adgangsrettigheder, der skal tildeles til hver brugergruppe.
Oprettelse af sådanne roller vil gøre det lettere at administrere og gennemgå adgangsanmodninger og rettigheder.
Organisationer bør inkludere kontraktmæssige bestemmelser for uautoriseret adgang og sanktioner for sådan adgang i deres ansættelses-/tjenestekontrakter med deres personale. Dette skal være i overensstemmelse med kontrollerne 5.20, 6.2, 6.4 og 6.6.
Organisationer bør være forsigtige over for utilfredse medarbejdere, der afskediges af ledelsen, fordi de med vilje kan beskadige informationssystemer.
Hvis organisationer beslutter at bruge kloningsteknikkerne til at give adgangsrettigheder, bør de udføre det på grundlag af forskellige roller, som organisationen har fastlagt.
Det skal bemærkes, at kloning medfører den iboende risiko for at give for store adgangsrettigheder.
27002:2022/5.18 erstatter 27002:2013/(9.2.2, 9.2.5, 9.2.6).
Selvom Control 9.2.2 i 2013-versionen anførte seks krav for tildeling og tilbagekaldelse af adgangsrettigheder, introducerer Control 5.18 i 2022-versionen tre nye krav ud over disse seks krav:
Kontrol 9.5 i version 2013 sagde eksplicit, at organisationer skulle gennemgå autorisation for privilegerede adgangsrettigheder med hyppigere intervaller end andre adgangsrettigheder. Kontrol 5.18 i version 2022 indeholdt tværtimod ikke dette krav.
ISMS.online er en cloud-baseret platform, der tilbyder assistance til at implementere ISO 2702-standarden effektivt og omkostningseffektivt.
Det giver organisationer let adgang til ajourførte oplysninger om deres overholdelsesstatus til enhver tid gennem dens brugervenlige dashboard-grænseflade, som giver ledere mulighed for at overvåge deres fremskridt i retning af at opnå overholdelse hurtigt og nemt.
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |