De revidert ISO 27001:2022 Vedlegg A 5.16 Identitetsstyring etablerer et rammeverk for godkjenning, registrering og administrering av menneskelige og ikke-menneskelige identiteter på ethvert nettverk – definert som "full livssyklus.
Datanettverk bruker identiteter for å identifisere den underliggende evnen til en enhet (en bruker, gruppe brukere, enhet eller IT-ressurs) til å få tilgang til et sett med maskinvare- og programvareressurser.
Formålet med vedlegg A 5.16 er å beskrive hvordan en organisasjon kan identifisere hvem (brukere, brukergrupper) eller hva (applikasjoner, systemer og enheter) får tilgang til data eller IT-ressurser til enhver tid, og hvordan disse identitetene gis tilgangsrettigheter.
Som et forebyggende tiltak har vedlegg A 5.16 som mål å opprettholde risiko ved å etablere hovedomkrets for all relatert informasjonssikkerhet og cybersikkerhetsoperasjoner, så vel som den primære styringsmåten som bestemmer en organisasjons identitets- og tilgangsadministrasjonsprosess.
Med tanke på at ISO 27001:2022 vedlegg A 5.16 tjener som en primær vedlikeholdsfunksjon, bør eierskap gis til IT-personell med globale administratorrettigheter (eller tilsvarende for ikke-Windows-infrastruktur).
I tillegg til andre innebygde roller som lar brukere administrere identiteter (som domeneadministrator), bør vedlegg A 5.16 eies av den enkelte som er ansvarlig for hele nettverket til organisasjonen, inkludert alle underdomener og Active Directory-leietakere.
Overholdelse av vedlegg A 5.16 oppnås ved å uttrykke identitetsbaserte prosedyrer tydelig i policydokumenter og overvåke personalets etterlevelse på daglig basis.
Seks prosedyrer er oppført i vedlegg A 5.16, for å sikre at en organisasjon oppfyller de nødvendige standardene for infosec og cybersikkerhetsstyring:
Oppnåelse av samsvar betyr at IT-retningslinjer må fastsette klart at brukere ikke skal dele påloggingsinformasjon, eller tillate andre brukere å streife rundt i nettverket ved å bruke en annen identitet enn den de har fått.
For å oppnå samsvar bør registrering av delte identiteter håndteres separat fra enkeltbrukerregistrering, med en dedikert godkjenningsprosess.
En ikke-menneskelig identitet bør også ha sin egen godkjennings- og registreringsprosess, som erkjenner den grunnleggende forskjellen mellom å tildele en identitet til en person og å gi en til en eiendel, applikasjon eller enhet.
IT-avdelingen bør gjennomføre regelmessige revisjoner for å fastslå hvilke identiteter som brukes, og hvilke enheter som kan suspenderes eller slettes. Det er viktig for HR-ansatte å inkludere identitetshåndtering i offboardingsprosedyrer, og å informere IT-ansatte umiddelbart når en forlater forlater.
For å overholde dette bør IT-personalet sørge for at enheter ikke mottar tilgangsrettigheter basert på mer enn én identitet når de tildeler roller på tvers av et nettverk.
Det er mulig å tolke begrepet "betydelig hendelse" annerledes, men på et grunnleggende nivå må organisasjoner sørge for at deres styringsprosedyrer inkluderer en omfattende liste over tildelte identiteter til enhver tid, robuste endringsforespørselsprotokoller med passende godkjenningsprosedyrer, og en godkjent endringsforespørselsprotokoll.
Når du oppretter en identitet og gir den tilgang til nettverksressurser, viser vedlegg A 5.16 også fire trinn som bedrifter må følge (endre eller fjerne tilgangsrettigheter vises i ISO 27001:2022 vedlegg A 5.18):
Hver gang en identitet skapes, blir identitetshåndtering eksponentielt mer utfordrende. Det er tilrådelig for organisasjoner å opprette nye identiteter bare når det er helt klart nødvendig.
Identitets- og tilgangsstyringsprosedyrer bør sikre at, når forretningssaken er godkjent, har en person eller eiendel som mottar nye identiteter den nødvendige autoriteten før en identitet opprettes.
IT-personalet ditt bør bygge en identitet i tråd med business casen krav, og det bør begrenses til det som er skissert i eventuell endringsforespørselsdokumentasjon.
Som det siste trinnet i prosessen tildeles en identitet til hver av dens tilgangsbaserte tillatelser og roller (RBAC) samt eventuelle nødvendige autentiseringstjenester.
ISO 27001: 2022 Vedlegg A 5.16 erstatter ISO 27001:2013 A.9.2.1 (tidligere kjent som "Brukerregistrering og avregistrering").
Mens de to kontrollene deler noen slående likheter – først og fremst i vedlikeholdsprotokoller og deaktivering av redundante IDer – inneholder vedlegg A 5.16 et omfattende sett med retningslinjer som omhandler identitets- og tilgangsadministrasjon som helhet.
Det er noen forskjeller mellom 2022-vedlegget og dets forgjenger ved at til tross for forskjeller i registreringsprosesser, blir mennesker og ikke-mennesker ikke lenger behandlet separat når det gjelder generell nettverksadministrasjon.
Det har blitt mer vanlig i IT-styring og retningslinjer for beste praksis å snakke om menneskelige og ikke-menneskelige identiteter om hverandre siden fremkomsten av moderne Identity and Access Management og Windows-baserte RBAC-protokoller.
I vedlegg A 9.2.1 til ISO 27001:2013 er det ingen veiledning om hvordan man administrerer ikke-menneskelige identiteter, og teksten handler kun om å administrere det den kaller "bruker-IDer" (dvs. påloggingsinformasjon sammen med et passord som brukes for å få tilgang til et nettverk).
Vedlegg A 5.16 gir eksplisitt veiledning om både de generelle sikkerhetsimplikasjonene av identitetsstyring, og hvordan organisasjoner bør registrere og behandle informasjon før tildeling av identiteter, så vel som gjennom hele livssyklusen til identiteten.
Til sammenligning nevner ISO 27001:2013 A.9.2.1 bare kort IT-styringsrollen som omgir administrasjonen av identiteter, og begrenser seg til den fysiske praksisen med identitetsadministrasjon.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Så lenge du oppdaterer sikkerhetsstyringssystemets prosesser for å gjenspeile de forbedrede kontrollene, vil du være i samsvar med ISO 27001:2022. Dette kan ISMS.online håndtere dersom du ikke har de nødvendige ressursene i hus.
Vi forenkler implementeringen av ISO 27001:2022 gjennom vår intuitive arbeidsflyt og verktøy, inkludert rammer, retningslinjer, kontroller, dokumentasjon og veiledning. Med vår skybaserte programvare kan du administrere alle dine ISMS-løsninger på en plass.
Vår plattform lar deg definere omfanget av din ISMS, identifisere risikoer og implementere kontroller enkelt.
For å lære mer om hvordan ISMS.online kan hjelpe deg med å nå dine ISO 27001-mål, vennligst ta kontakt i dag for å bestille en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din