ISO 27001:2022 Vedlegg A Kontroll 8.2

Privilegerte tilgangsrettigheter

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

Hva er formålet med ISO 27001:2022 vedlegg A 8.2?

På tvers av kommersielle nettverk over hele verden er misbruk eller misbruk av forhøyede systemadministratorrettigheter en betydelig årsak til IKT-avbrudd.

Ved å bruke privilegerte tilgangsrettigheter kan organisasjoner kontrollere tilgang til deres infrastruktur, applikasjoner, eiendeler og data.

ISO 27001: 2022 Vedlegg A 8.2 etablerer en autorisasjonsprosess for å håndtere alle forespørsler om tilgang på tvers av en organisasjons IKT-nettverk og aktiva. Det er en forebyggende kontroll laget for å opprettholde risiko.

Hvem har eierskap til vedlegg A 8.2?

En organisasjon kan kontrollere tilgang til data gjennom utvidede tilgangsrettigheter knyttet til brukerkontoer, som i vedlegg A 8.6.

Dette betyr at organisasjonens evne til å administrere og overvåke privilegerte domene- eller applikasjonsbrukerkontoer bør være ansvaret til Leder for informasjonsteknologi (eller tilsvarende).

Gå til emnet
Si hei til ISO 27001 suksess

Få 81 % av arbeidet gjort for deg og bli sertifisert raskere med ISMS.online

Bestill demoen din
img

Generell veiledning for ISO 27001:2022 vedlegg A 8.2

ISO 27001:2022 vedlegg A 8.2 skisserer 12 hovedveiledningspunkter som virksomheter bør følge basert på en "emnespesifikk" policy for tilgangskontroll (se vedlegg A 5.15) som er rettet mot spesifikke forretningsfunksjoner.

Det er avgjørende for organisasjoner å:

  1. Lag en liste over brukere som trenger noen grad av privilegert tilgang – enten til et individuelt system, en applikasjon eller det underliggende operativsystemet.

  2. Sørg for at privilegerte tilgangsrettigheter tildeles brukere på "hendelse for hendelse"-basis – brukere bør gis tilgangsrettigheter basert på det minste minimum de trenger for å utføre pliktene sine.

  3. Oppretthold en oversikt over alle tilgangsrettigheter som er gitt, og skisser en enkel autorisasjonsprosess for alle forespørsler om privilegert tilgang.

  4. Tilgangsrettigheter må være underlagt relevante utløpsdatoer.

  5. Brukere bør eksplisitt informeres når de opererer med privilegert tilgang til et system.

  6. Når det er relevant, blir brukere bedt om å autentisere seg på nytt før de bruker privilegerte tilgangsrettigheter for å øke sikkerheten til informasjon og data.

  7. Periodisk revisjon privilegerte tilgangsrettigheter, spesielt etter en periode med organisatoriske endringer. Tilgangsrettigheter bør vurderes basert på brukernes «plikter, roller, ansvar og kompetanse» (se vedlegg A 5.18).

  8. Vurder en "knekke glass"-prosedyre, dvs. å gi privilegerte tilgangsrettigheter innenfor stramt kontrollerte tidsrammer som oppfyller minimumskravene for at en operasjon skal fullføres (kritiske endringer, systemadministrasjon osv.).

  9. Sørg for at alle aktiviteter som involverer privilegert tilgang er logget.

  10. Standardiserte brukernavn og passord (se vedlegg A 5.17) skal ikke brukes for systempålogging.

  11. Oppretthold en policy for å tildele brukere separate identiteter for å kontrollere privilegerte tilgangsrettigheter bedre. Som et resultat kan disse identitetene grupperes sammen, med varierende tilgangsnivåer som gis til den tilknyttede gruppen.

  12. Sørg for at privilegerte tilgangsrettigheter er reservert for oppgaver som er kritiske for riktig funksjon av et IKT-nettverk, for eksempel nettverksadministrasjon og vedlikehold.

Medfølgende vedlegg A kontroller

  • ISO 27001:2022 vedlegg A 5.15

Hva er endringene fra ISO 27001:2013?

ISO 27001:2022 vedlegg A 8.2 erstatter ISO 27001:2013 Vedlegg A 9.2.3 ('Forvaltning av privilegerte tilgangsrettigheter').

Vedlegg A 8.2 til ISO 27001:2022 inneholder fem hovedveiledningspunkter som ikke var inkludert i 2013-motstykket:

  1. Vedlegg A 8.2 krever ikke eksplisitt en annen bruker-ID for privilegert tilgang.

  2. Vedlegg A 8.2 understreker behovet for å autentisere på nytt før du mottar privilegerte tilgangsrettigheter.

  3. En knuseglasstilnærming er foreslått når du utfører kritiske vedlikeholdsoppgaver basert på tett kontrollerte tidsvinduer i vedlegg A 8.2.

  4. Vedlegg A 8.2 krever at organisasjoner fører detaljerte privilegerte tilgangslogger for revisjonsformål.

  5. Vedlegg A 8.2 krever at organisasjoner begrenser privilegerte tilgangsrettigheter til administrative oppgaver.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

Ved hjelp av vår skybaserte plattform og verktøy kan organisasjoner sette opp en styringssystem for informasjonssikkerhet (ISMS) i samsvar med ISO 27001:2022.

Blant disse verktøyene er:

  1. Maler for vanlige bedriftsdokumenter.

  2. Retningslinjer og prosedyrer som er forhåndsdefinert.

  3. Støtte internrevisjoner med et revisjonsverktøy.

  4. En godkjenningsarbeidsflyt for alle endringer som er gjort i retningslinjer og prosedyrer.

  5. Sjekkliste for å sikre at din retningslinjer for informasjonssikkerhet og prosesser følger internasjonale standarder.

Finn ut om hele spekteret av funksjoner i verktøysettet vårt av bestille en demo.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Metode for sikrede resultater
100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer