ISO 27001:2022 Vedlegg A Kontroll 5.16

Identitetshåndtering

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

De revidert ISO 27001:2022 Vedlegg A 5.16 Identitetsstyring etablerer et rammeverk for godkjenning, registrering og administrering av menneskelige og ikke-menneskelige identiteter på ethvert nettverk – definert som "full livssyklus.

Datanettverk bruker identiteter for å identifisere den underliggende evnen til en enhet (en bruker, gruppe brukere, enhet eller IT-ressurs) til å få tilgang til et sett med maskinvare- og programvareressurser.

Hva gjør ISO 27001:2022 vedlegg A 5.16?

Formålet med vedlegg A 5.16 er å beskrive hvordan en organisasjon kan identifisere hvem (brukere, brukergrupper) eller hva (applikasjoner, systemer og enheter) får tilgang til data eller IT-ressurser til enhver tid, og hvordan disse identitetene gis tilgangsrettigheter.

Som et forebyggende tiltak har vedlegg A 5.16 som mål å opprettholde risiko ved å etablere hovedomkrets for all relatert informasjonssikkerhet og cybersikkerhetsoperasjoner, så vel som den primære styringsmåten som bestemmer en organisasjons identitets- og tilgangsadministrasjonsprosess.

Eierskap til vedlegg A 5.16

Med tanke på at ISO 27001:2022 vedlegg A 5.16 tjener som en primær vedlikeholdsfunksjon, bør eierskap gis til IT-personell med globale administratorrettigheter (eller tilsvarende for ikke-Windows-infrastruktur).

I tillegg til andre innebygde roller som lar brukere administrere identiteter (som domeneadministrator), bør vedlegg A 5.16 eies av den enkelte som er ansvarlig for hele nettverket til organisasjonen, inkludert alle underdomener og Active Directory-leietakere.

Gå til emnet
Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

Generell veiledning for ISO 27001:2022 vedlegg A 5.16

Overholdelse av vedlegg A 5.16 oppnås ved å uttrykke identitetsbaserte prosedyrer tydelig i policydokumenter og overvåke personalets etterlevelse på daglig basis.

Seks prosedyrer er oppført i vedlegg A 5.16, for å sikre at en organisasjon oppfyller de nødvendige standardene for infosec og cybersikkerhetsstyring:

  1. Hver gang en identitet tildeles en person, er denne personen den eneste som kan autentisere med den identiteten og/eller bruke den når den får tilgang til nettverksressurser.

    2. Oppnåelse av samsvar betyr at IT-retningslinjer må fastsette klart at brukere ikke skal dele påloggingsinformasjon, eller tillate andre brukere å streife rundt i nettverket ved å bruke en annen identitet enn den de har fått.

  2. I noen tilfeller kan det være nødvendig å tildele én enkelt identitet til flere personer, også kjent som en «delt identitet». Bruk kun denne tilnærmingen når et eksplisitt sett med operasjonelle krav er nødvendig.

    3. For å oppnå samsvar bør registrering av delte identiteter håndteres separat fra enkeltbrukerregistrering, med en dedikert godkjenningsprosess.

  3. 'Ikke-menneskelige' enheter (enhver identitet som ikke er knyttet til en ekte person) bør behandles annerledes enn brukerbaserte identiteter ved registrering.

    4. En ikke-menneskelig identitet bør også ha sin egen godkjennings- og registreringsprosess, som erkjenner den grunnleggende forskjellen mellom å tildele en identitet til en person og å gi en til en eiendel, applikasjon eller enhet.

  4. I tilfelle avgang, overflødige eiendeler eller andre ikke-påkrevde identiteter, bør en nettverksadministrator deaktivere dem eller fjerne dem fullstendig.

    5. IT-avdelingen bør gjennomføre regelmessige revisjoner for å fastslå hvilke identiteter som brukes, og hvilke enheter som kan suspenderes eller slettes. Det er viktig for HR-ansatte å inkludere identitetshåndtering i offboardingsprosedyrer, og å informere IT-ansatte umiddelbart når en forlater forlater.

  5. Det er viktig å unngå dupliserte identiteter for enhver pris. En «én enhet, én identitet»-regel bør følges av alle organisasjoner.

    6. For å overholde dette bør IT-personalet sørge for at enheter ikke mottar tilgangsrettigheter basert på mer enn én identitet når de tildeler roller på tvers av et nettverk.

  6. Identitetshåndtering og autentiseringsinformasjon bør dokumenteres tilstrekkelig for alle 'betydelige hendelser.

    7. Det er mulig å tolke begrepet "betydelig hendelse" annerledes, men på et grunnleggende nivå må organisasjoner sørge for at deres styringsprosedyrer inkluderer en omfattende liste over tildelte identiteter til enhver tid, robuste endringsforespørselsprotokoller med passende godkjenningsprosedyrer, og en godkjent endringsforespørselsprotokoll.

Ytterligere tilleggsveiledning for vedlegg A 5.16

Når du oppretter en identitet og gir den tilgang til nettverksressurser, viser vedlegg A 5.16 også fire trinn som bedrifter må følge (endre eller fjerne tilgangsrettigheter vises i ISO 27001:2022 vedlegg A 5.18):

  1. Før du oppretter en identitet, etablere en business case.

    2. Hver gang en identitet skapes, blir identitetshåndtering eksponentielt mer utfordrende. Det er tilrådelig for organisasjoner å opprette nye identiteter bare når det er helt klart nødvendig.

  2. Sørg for at enheten (menneskelig eller ikke-menneske) som er tildelt en identitet, har blitt bekreftet uavhengig.

    3. Identitets- og tilgangsstyringsprosedyrer bør sikre at, når forretningssaken er godkjent, har en person eller eiendel som mottar nye identiteter den nødvendige autoriteten før en identitet opprettes.

  3. Å skape en identitet

    4. IT-personalet ditt bør bygge en identitet i tråd med business casen krav, og det bør begrenses til det som er skissert i eventuell endringsforespørselsdokumentasjon.

  4. De endelige konfigurasjonstrinnene for en identitet

    5. Som det siste trinnet i prosessen tildeles en identitet til hver av dens tilgangsbaserte tillatelser og roller (RBAC) samt eventuelle nødvendige autentiseringstjenester.

Hva er endringene fra ISO 27001:2013?

ISO 27001: 2022 Vedlegg A 5.16 erstatter ISO 27001:2013 A.9.2.1 (tidligere kjent som "Brukerregistrering og avregistrering").

Mens de to kontrollene deler noen slående likheter – først og fremst i vedlikeholdsprotokoller og deaktivering av redundante IDer – inneholder vedlegg A 5.16 et omfattende sett med retningslinjer som omhandler identitets- og tilgangsadministrasjon som helhet.

Vedlegg A 5.16 Menneskelige vs. ikke-menneskelige identiteter forklart

Det er noen forskjeller mellom 2022-vedlegget og dets forgjenger ved at til tross for forskjeller i registreringsprosesser, blir mennesker og ikke-mennesker ikke lenger behandlet separat når det gjelder generell nettverksadministrasjon.

Det har blitt mer vanlig i IT-styring og retningslinjer for beste praksis å snakke om menneskelige og ikke-menneskelige identiteter om hverandre siden fremkomsten av moderne Identity and Access Management og Windows-baserte RBAC-protokoller.

I vedlegg A 9.2.1 til ISO 27001:2013 er det ingen veiledning om hvordan man administrerer ikke-menneskelige identiteter, og teksten handler kun om å administrere det den kaller "bruker-IDer" (dvs. påloggingsinformasjon sammen med et passord som brukes for å få tilgang til et nettverk).

ISO 27001:2022 Vedlegg A 5.16 Dokumentasjon

Vedlegg A 5.16 gir eksplisitt veiledning om både de generelle sikkerhetsimplikasjonene av identitetsstyring, og hvordan organisasjoner bør registrere og behandle informasjon før tildeling av identiteter, så vel som gjennom hele livssyklusen til identiteten.

Til sammenligning nevner ISO 27001:2013 A.9.2.1 bare kort IT-styringsrollen som omgir administrasjonen av identiteter, og begrenser seg til den fysiske praksisen med identitetsadministrasjon.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper deg med å oppnå samsvar A 5.16

Så lenge du oppdaterer sikkerhetsstyringssystemets prosesser for å gjenspeile de forbedrede kontrollene, vil du være i samsvar med ISO 27001:2022. Dette kan ISMS.online håndtere dersom du ikke har de nødvendige ressursene i hus.

Vi forenkler implementeringen av ISO 27001:2022 gjennom vår intuitive arbeidsflyt og verktøy, inkludert rammer, retningslinjer, kontroller, dokumentasjon og veiledning. Med vår skybaserte programvare kan du administrere alle dine ISMS-løsninger på en plass.

Vår plattform lar deg definere omfanget av din ISMS, identifisere risikoer og implementere kontroller enkelt.

For å lære mer om hvordan ISMS.online kan hjelpe deg med å nå dine ISO 27001-mål, vennligst ta kontakt i dag for å bestille en demo.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Metode for sikrede resultater
100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer