Hver ansatt i organisasjonen din må ha tilgang til spesifikke datamaskiner, databaser, informasjonssystemer og applikasjoner for å utføre sine oppgaver.
For eksempel din menneskelige ressurser avdeling kan trenge tilgang til sensitiv helseinformasjon om ansatte. I tillegg kan økonomiavdelingen din trenge tilgang til og bruke databaser som inneholder informasjon om ansattes lønn.
Du bør gi, endre og tilbakekalle tilgangsrettigheter i henhold til selskapets retningslinjer for tilgangskontroll og tilgangskontrolltiltak. Dette vil forhindre uautorisert tilgang til, modifikasjon av og ødeleggelse av informasjonsressurser.
Hvis du ikke tilbakekaller din tidligere ansattes tilgangsrettigheter, kan den ansatte stjele sensitive data.
I henhold til ISO 27001:2022 tar vedlegg A Kontroll 5.18 for seg hvordan tilgangsrettigheter skal tildeles, endres og tilbakekalles basert på forretningskrav.
I henhold til vedlegg A Kontroll 5.18, kan en organisasjon implementere prosedyrer og kontroller for å tildele, modifisere og tilbakekalle tilgangsrettigheter til informasjonssystemer i samsvar med dens tilgangskontrollpolicy.
Informasjonssikkerhetsansvarlig bør være ansvarlig for å etablere, implementere og gjennomgå passende regler, prosesser og kontroller for tilveiebringelse, endring og tilbakekall av tilgangsrettigheter til informasjonssystemer.
Det er informasjonssikkerhetsansvarligs ansvar å nøye vurdere forretningsbehov når du tildeler, endrer og tilbakekaller tilgangsrettigheter. I tillegg kommer informasjonssikkerhetsansvarlig bør samarbeide tett med eiere av informasjonsmidler for å sikre at retningslinjer og prosedyrer følges.
For å tildele eller tilbakekalle tilgangsrettigheter for alle typer brukere til alle systemer og tjenester, må en prosess implementeres (hvor enkel og dokumentert den måtte være). Ideelt sett vil det være i tråd med punktene ovenfor og det bredere HR-sikkerhetsinitiativet.
Et informasjonssystem eller en informasjonstjeneste bør tilrettelegges eller tilbakekalles basert på følgende kriterier: Autorisasjon fra eieren av informasjonssystemet eller tjenesten, verifisering av at tilgangen er passende for rollen som utføres, og beskyttelse mot at levering skjer før autorisasjon er innhentet.
Brukere bør alltid gis tilgang i henhold til forretningskrav som en del av en forretningsledet tilnærming. Selv om dette kan høres byråkratisk ut, trenger det ikke være det. Ved å implementere effektive prosedyrer med rollebasert tilgang til systemer og tjenester kan dette problemet løses effektivt.
Eiere av eiendeler må gjennomgå brukernes tilgangsrettigheter regelmessig under individuelle endringer (ved ombordstigning, rolleendringer og utganger) og under bredere revisjoner av systemtilgang.
Autorisasjoner bør gjennomgås oftere i lys av den høyere risikoen forbundet med privilegerte tilgangsrettigheter. Som med 9.2, bør dette gjøres minst årlig eller når det er gjort vesentlige endringer.
Det er nødvendig å fjerne tilgangsrettighetene til alle ansatte og eksterne brukere til informasjons- og informasjonsbehandlingsfasiliteter ved oppsigelse av deres arbeidsforhold, kontrakt eller avtale (eller å justere tilgangsrettighetene deres ved bytte av rolle om nødvendig).
Hvis utgangspolicyer og prosedyrer er godt utformet og tilpasset A.7, vil dette også oppnås og demonstrert for revisjonsformål når ansatte slutter.
For tildeling og tilbakekalling av tilgangsrettigheter til autentiserte personer, må organisasjoner innlemme følgende regler og kontroller:
Periodiske gjennomganger av fysiske og logiske tilgangsrettigheter bør ta hensyn til følgende:
Risikofaktorer bør vurderes ved evaluering og endring av en ansatts tilgangsrettigheter til informasjonsbehandlingssystemer. Dette er før de blir forfremmet eller degradert i samme organisasjon:
Det anbefales at organisasjoner etablerer brukertilgangsroller i samsvar med deres forretningskrav. I tillegg til typene og antallet tilgangsrettigheter som skal gis til hver brukergruppe, bør disse rollene spesifisere typen tilgangsrettigheter.
Å skape slike roller vil gjøre tilgangsforespørsler og rettigheter til å bli administrert og gjennomgått enklere.
Det anbefales at organisasjoner inkluderer bestemmelser i sine arbeids-/tjenestekontrakter med sine ansatte som omhandler uautorisert tilgang til deres systemer og sanksjoner for slik tilgang. Vedlegg A kontroller 5.20, 6.2, 6.4 og 6.6 bør følges.
Organisasjoner må være forsiktige når de håndterer misfornøyde ansatte som er permittert av ledelsen siden de med vilje kan skade informasjonssystemer.
Organisasjoner som bestemmer seg for å bruke kloningsteknikker for å gi tilgangsrettigheter, bør gjøre det basert på rollene som organisasjonen har definert.
Det er en risiko forbundet med kloning ved at det kan gis for høye tilgangsrettigheter.
ISO 27001:2022 vedlegg A 5.18 erstatter ISO 27001:2013 Vedlegg A kontroller 9.2.2, 9.2.5 og 9.2.6.
2013-versjonen av vedlegg A Kontroll 9.2.2 skisserte seks krav for å tildele og tilbakekalle tilgangsrettigheter; Vedlegg A Kontroll 5.18 introduserer imidlertid tre tilleggskrav i tillegg til disse seks:
I henhold til ISO 27001:2013, vedlegg A Kontroll 9.5 sier eksplisitt at organisasjoner bør gjennomgå autorisasjonen for privilegerte tilgangsrettigheter oftere enn andre tilgangsrettigheter. Dette kravet var ikke inkludert i vedlegg A kontroll 5.18 i versjon 2022.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
ISO 27001:2022, vedlegg A 5.18, er en av de mest diskuterte klausulene. Mange hevder at det er den viktigste klausulen i hele dokumentet.
Dette er fordi hele Informasjonssikkerhetsstyringssystem (ISMS) er basert på å sikre at de riktige personene har tilgang til riktig informasjon til rett tid. Å oppnå suksess krever å få det riktig, men det kan ha stor innvirkning på virksomheten din.
Tenk deg for eksempel om du ved et uhell avslørte konfidensiell ansattinformasjon til feil person, for eksempel hver enkelt ansatts lønn.
En feil her kan få betydelige konsekvenser, så det er verdt å ta seg tid til å tenke grundig gjennom det.
Vår plattformen kan være svært nyttig i denne forbindelse. Som et resultat holder den seg til hele strukturen til ISO 27001 og lar deg adoptere, tilpasse og legge til innholdet vi tilbyr. Dette gir deg en betydelig fordel. Hvorfor ikke planlegg en demo for å lære mer?
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din