Vedlegg A 5.15 til ISO 27001:2022; Din trinnvise veiledning for å forstå og møte den.
Vedlegg A 5.15 omhandler tilgangskontrollprosedyrer. Målet med vedlegg A.9 er å sikre tilgang til informasjon og sikre at ansatte kun har tilgang til den informasjonen de trenger for å utføre sine oppgaver.
Det er en av de essensielle elementene i en styringssystem for informasjonssikkerhet (ISMS), spesielt hvis du planlegger å oppnå ISO 27001-sertifisering.
Å få denne delen riktig er en kritisk komponent i ISO 27001 sertifisering og en hvor mange bedrifter trenger assistanse. For bedre å forstå disse kravene, la oss se nærmere på hva de innebærer.
For å administrere tilgang til eiendeler innenfor rammen av en organisasjon, må en tilgangskontrollpolicy utvikles, dokumenteres og gjennomgås med jevne mellomrom.
Tilgangskontroll styrer hvordan menneskelige og ikke-menneskelige enheter på et nettverk får tilgang til data, IT-ressurser og applikasjoner.
Informasjonssikkerhetsrisiko knyttet til informasjonen og organisasjonens appetitt på å administrere dem bør gjenspeiles i reglene, rettighetene og restriksjonene og dybden av kontroller som brukes. Det er rett og slett et spørsmål om å bestemme hvem som har tilgang til hva, hvor mye og hvem som ikke har.
Det er mulig å sette opp digitale og fysiske tilgangskontroller, for eksempel å begrense brukerkontotillatelser eller begrense tilgang til spesifikke fysiske steder (tilpasset vedlegg A.7 Fysisk og miljømessig sikkerhet). Policyen bør ta hensyn til følgende hensyn:
Det er viktig å gjennomgå tilgangskontrollen etter hvert som rollene endres, spesielt under utganger, for å overholde vedlegg A.7 Human Resource Security.
Bestill en 30 minutters prat med oss, så viser vi deg hvordan
En generell tilnærming til beskyttelse er minst tilgang i stedet for ubegrenset tilgang og superbrukerrettigheter uten nøye vurdering.
Følgelig skal brukere bare gis tilgang til nettverk og nettverkstjenester pålagt å oppfylle sitt ansvar. Politikken må adressere; Nettene og nettverkstjenestene i omfanget av tilgang; Autorisasjonsprosedyrer for å vise hvem (rollebasert) som har tilgang til hva og når; og ledelseskontroller og prosedyrer for å forhindre tilgang og overvåke den i tilfelle en hendelse.
Ombord- og avstigning bør også ta hensyn til dette problemet, som er nært knyttet til tilgangskontrollpolitikken.
Som en forebyggende kontroll forbedrer vedlegg A 5.15 en organisasjons underliggende evne til å kontrollere tilgang til data og eiendeler.
Et konkret sett med kommersiell og informasjonssikkerhet behov må dekkes før tilgang til ressurser kan gis og endres under vedlegg A Kontroll 5.15.
ISO 27001 Annex A 5.15 gir retningslinjer for å legge til rette for sikker tilgang til data og minimere risikoen for uautorisert tilgang til fysiske og virtuelle nettverk.
Som vist i vedlegg A 5.15, leder ansatte på tvers av ulike deler av en organisasjonen må opprettholde en grundig forståelse av hvilke ressurser som må aksesseres (f.eks. I tillegg til at HR informerer ansatte om jobbrollene deres, som dikterer deres RBAC-parametere, er tilgangsrettigheter til syvende og sist en vedlikeholdsfunksjon som kontrolleres av nettverksadministratorer.
En organisasjons vedlegg A 5.15 eierskap bør ligge hos et medlem av toppledelsen som har overordnet teknisk autoritet over selskapets domener, underdomener, applikasjoner, ressurser og eiendeler. Dette kan være IT-sjefen.
En emnespesifikk tilnærming til tilgangskontroll er nødvendig for overholdelse av ISO 27001:2022 Annex A Control 5.15 (mer kjent som en problemspesifikk tilnærming).
I stedet for å følge en generell tilgangskontrollpolicy som gjelder for ressurs- og datatilgang på tvers av organisasjonen, oppmuntrer emnespesifikke tilnærminger organisasjoner til å lage tilgangskontrollpolicyer rettet mot individuelle forretningsfunksjoner.
På tvers av alle emnespesifikke områder krever vedlegg A Kontroll 5.15 at retningslinjer angående tilgangskontroll skal vurdere de 11 punktene nedenfor. Noen av disse retningslinjene overlapper med andre retningslinjer.
Som en retningslinje bør organisasjoner konsultere de medfølgende kontrollene for ytterligere informasjon fra sak til sak:
I følge tilleggsveiledningen nevner ISO 27001:2022 vedlegg A Kontroll 5.15 (uten å begrense seg til) fire forskjellige typer tilgangskontroll, som grovt kan klassifiseres som følger:
Vi har diskutert regler for tilgangskontroll som gitt til ulike enheter (menneskelige og ikke-menneskelige) som opererer innenfor et nettverk, som er tildelt roller som definerer deres overordnede funksjon.
Når du definerer og implementerer organisasjonens retningslinjer for tilgangskontroll, ber vedlegg A 5.15 deg vurdere følgende fire faktorer:
I henhold til ISO 27001:2022 vedlegg A Kontroll 5.15, må organisasjoner utvikle og vedlikeholde en strukturert liste over ansvar og dokumentasjon. Det er mange likheter mellom hele ISO 27001:2022s liste over kontroller, med vedlegg A 5.15 som inneholder de mest relevante kravene:
Kontroll 5.15 i vedlegg A gir organisasjoner betydelig frihet når det gjelder å spesifisere detaljerte retningslinjer for tilgangskontroll.
Generelt råder ISO bedrifter til å bruke sin vurdering angående hvor detaljert et gitt regelsett skal være på ansatt-for-ansatt-basis og hvor mange variabler som skal brukes på en gitt informasjon.
Spesifikt erkjenner vedlegg A 5.15 at jo mer detaljerte et selskaps retningslinjer for tilgangskontroll er, desto større blir kostnadene og desto mer utfordrende blir konseptet med tilgangskontroll på tvers av flere lokasjoner, nettverkstyper og applikasjonsvariabler.
Tilgangskontroll, med mindre den administreres nøye, kan gå ut av hånden veldig raskt. Det er lurt å forenkle adgangskontrollreglene for å sikre at de er enklere å administrere og mer kostnadseffektive.
Vedlegg A 5.15 i 27001:2022 er en sammenslåing av to lignende kontroller i 27001:2013 – Vedlegg A 9.1.1 (Adgangskontrollpolicy) og vedlegg A 9.1.2 (Tilgang til nettverk og nettverkstjenester).
De underliggende temaene i A.9.1.1 og A.9.1.2 ligner de i vedlegg A 5.15, bortsett fra noen subtile operasjonelle forskjeller.
Som i 2022 er begge kontrollene knyttet til administrasjon av tilgang til informasjon, eiendeler og ressurser og opererer etter prinsippet om «need to know», der bedriftsdata behandles som en vare som krever nøye styring og beskyttelse.
Det er 11 styrende retningslinjer i 27001:2013 vedlegg A 9.1.1, som alle følger de samme generelle prinsippene som 27001:2022 vedlegg A kontroll 5.15 med litt større vekt på perimetersikring og fysisk sikkerhet.
Det er generelt de samme implementeringsretningslinjene for tilgangskontroll, men 2022-kontrollen gir mye mer kortfattet og praktisk veiledning på tvers av de fire implementeringsretningslinjene.
Som det fremgår av ISO 27001 vedlegg A 5.15, har ulike former for tilgangskontroll dukket opp i løpet av de siste ni årene (MAC, DAC, ABAC), mens i 27001:2013 Annex A Control 9.1.1, den primære metoden for kommersiell tilgangskontroll på det tidspunktet. tiden var RBAC.
2013-kontrollene må inneholde meningsfulle retningslinjer for hvordan en organisasjon bør nærme seg detaljerte tilgangskontroller i lys av teknologiske endringer som gir organisasjoner økt kontroll over dataene sine.
I motsetning til dette gir vedlegg A 5.15 til 27001:2022 organisasjoner betydelig fleksibilitet.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Vedlegg A 5.15 til ISO 27001:2022 er sannsynligvis den mest omtalte klausulen i vedlegg A, og noen hevder at den er den mest betydningsfulle.
Ditt informasjonssikkerhetsstyringssystem (ISMS) har som mål å sikre at de riktige personene har tilgang til riktig informasjon til rett tid. En av nøklene til suksess er å få det riktig, men å gjøre det feil kan påvirke virksomheten din negativt.
Tenk på scenariet der du ved et uhell avslørte konfidensiell informasjon om ansatte til feil personer, for eksempel hva alle i organisasjonen får betalt.
Hvis du ikke er forsiktig, kan konsekvensene av å ta feil av denne delen være alvorlige. Derfor er det viktig å ta deg tid til å vurdere alle aspektene nøye før du fortsetter.
I denne forbindelse, plattformen vår kan være en reell ressurs. Dette er fordi det følger hele strukturen til ISO 27001 og lar deg ta i bruk, tilpasse og berike innholdet vi gir deg, noe som gir deg et betydelig forsprang.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din