ISO 27002:2022, Kontroll 8.3 – Begrensning av informasjonstilgang

ISO 27002:2022 Reviderte kontroller

Bestill en demonstrasjon

kvinne,bruker,laptop,innendørs.nærbilde,hånd

Formål med kontroll 8.3

Tilgang til informasjon fra interne og eksterne kilder er hjørnesteinen i en organisasjonens informasjonssikkerhetspolicy.

Kontroll 8.3 er en forebyggende kontroll Det opprettholder risiko ved å etablere en rekke regler og prosedyrer som forhindrer uautorisert tilgang/misbruk av en organisasjons informasjon og IKT-ressurser.

Attributttabell

Kontrolltype InformasjonssikkerhetsegenskaperKonsepter for cybersikkerhetOperasjonelle evnerSikkerhetsdomener
#Forebyggende #Konfidensialitet
#Integritet
#Tilgjengelighet		#Beskytte#Identitets- og tilgangsadministrasjon#Beskyttelse

Eierskap til kontroll 8.3

Kontroll 8.3 omhandler en organisasjons evne til kontrollere tilgang til informasjon.

Som sådan, eierskapet bør ligge hos Chief Information Security Officer (eller tilsvarende organisatorisk), som har ansvaret for organisasjonens overordnede informasjons- og datasikkerhetspraksis.

Gå til emnet
Få et forsprang på ISO 27001
  • Alt oppdatert med 2022-kontrollsettet
  • Få 81 % fremgang fra det øyeblikket du logger på
  • Enkel og lett å bruke
Bestill demoen din
img

Generell veiledning om kontroll 8.3

For å opprettholde effektiv kontroll over informasjon og IKT-ressurser, og til støtte for tilgangsbegrensende tiltak, bør organisasjoner sørge for følgende i tråd med a emnespesifikk tilnærming til informasjonstilgang:

  1. Forhindre anonym tilgang til informasjon, inkludert vidtrekkende offentlig tilgang.

    • Der offentlig eller tredjeparts tilgang gis, bør organisasjoner sikre at tilgangen ikke omfatter sensitive eller forretningskritiske data.

  2. Operer med tilstrekkelige vedlikeholdstiltak som kontrollerer systemtilgang, og eventuelle tilknyttede forretningsapplikasjoner eller prosesser.

  3. Dikter datatilgang på bruker-for-bruker-basis.

  4. Spesifiser datatilgangsrettigheter mellom grupper som validerer spesifikke dataoperasjoner, for eksempel lese, skrive, slette og utføre.

  5. Behold muligheten til å partisjonere forretningskritiske prosesser og applikasjoner ved hjelp av en rekke fysiske og digitale tilgangskontroller.

Veiledning – Dynamic Access Management

Kontroll 8.3 tar til orde for en dynamisk tilnærming til informasjonstilgang.

Dynamisk tilgangsadministrasjon har mange gjenværende fordeler for organisasjonsprosesser som har behovet for å dele eller bruke interne data med eksterne brukere, inkludert raskere hendelsesløsningstider.

Dynamisk tilgang ledelsesteknikker beskytter et bredt spekter av informasjon typer, fra standarddokumenter til e-poster og databaseinformasjon, og har muligheten til å brukes på en detaljert fil-for-fil-basis, noe som muliggjør tett kontroll av data på organisasjonsnivå.

Organisasjoner bør vurdere en slik tilnærming når:

  1. Krever granulær kontroll over hva menneskelige og ikke-menneskelige brukere kan få tilgang til slik informasjon til enhver tid.

  2. Behovet for å dele informasjon med eksterne parter (som leverandører eller reguleringsorganer) oppstår.

  3. Vurderer en "sanntids"-tilnærming til dataadministrasjon og distribusjon som involverer overvåking og styring av databruk etter hvert som den oppstår.

  4. Sikring av informasjon mot uautoriserte endringer, deling eller utskrift (utskrift osv.).

  5. Overvåking av tilgang til og endring av informasjon, spesielt når den aktuelle informasjonen er av sensitiv karakter.

Dynamisk tilgangsadministrasjon er spesielt nyttig for organisasjoner som trenger å overvåke og beskytte data fra opprettelse til sletting, inkludert:

  1. Skissere en brukstilfelle (eller serie med brukstilfeller) som bruker datatilgangsregler basert på følgende variabler:

    • Identitet
    • Enhet
    • Sted
    • Søknad

  2. Skisserer en prosess som dekker av drift og overvåking av data, og etablere en grundig rapporteringsprosess som igjen er informert av en god teknisk infrastruktur.

Alle anstrengelser for å formulere en dynamisk tilgangsstyringsmetode bør resultere i data blir beskyttet by:

  1. Å sikre at tilgang til data er sluttresultatet av en vellykket autentiseringsprosess.

  2. En grad av begrenset tilgang, basert på datatypen og dens evnepåvirkning Forretnings kontinuitet.

  3. Kryptering.

  4. Utskriftstillatelser.

  5. Grundig revisjonslogger som registrerer hvem som har tilgang til data, og hvordan disse dataene brukes.

  6. En varslingsprosedyre som markerer upassende databruk, inkludert (men ikke begrenset til) uautorisert tilgang og distribusjon, og forsøk på sletting.

Få en Headstart
på ISO 27002

Den eneste etterlevelsen
løsning du trenger
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

Endringer og forskjeller fra ISO 27002:2013

27002:2022-8.3 replaces 27002:2013-9.4.1 (Informasjonstilgangsbegrensning), og representerer et stort skifte i hvordan ISO vurderer informasjonstilgangsstyring i samsvar med den nevnte dynamiske tilnærmingen (en teknikk som ikke er nevnt i 27002:2013-9.4.1)

27002:2022-8.3 inneholder en stor mengde veiledningsnotater knyttet til dynamisk tilgangsstyring som er fraværende fra 2013-motparten, og organisasjoner anbefales å vurdere disse på et emne-for-emne-basis når de søker sertifisering.

Hvordan ISMS.online hjelper

ISMS.Online er den ledende ISO 27002 styringssystemprogramvaren som støtter samsvar med ISO 27002, og hjelper bedrifter med å tilpasse sine sikkerhetspolicyer og prosedyrer med standarden.

Den skybaserte plattformen gir et komplett sett med verktøy for å hjelpe organisasjoner med å sette opp en styringssystem for informasjonssikkerhet (ISMS) i henhold til ISO 27002.

Vår plattform har blitt designet fra bunnen av med hjelp av informasjonssikkerhetseksperter fra hele verden, og vi har utviklet den på en måte som gjør det enkelt for personer uten teknisk kunnskap om styringssystemer for informasjonssikkerhet (ISMS) å bruke det.

Ta kontakt i dag for å bestill en demo.

Er du klar for
den nye ISO 27002

Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.7NyTrusselintelligens
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.30NyIKT-beredskap for forretningskontinuitet
7.4NyFysisk sikkerhetsovervåking
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.16NyOvervåking av aktiviteter
8.23NyWeb-filtrering
8.28NySikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.105.1.1, 05.1.2Retningslinjer for informasjonssikkerhet
5.206.1.1Informasjonssikkerhetsroller og ansvar
5.306.1.2Ansvarsfordeling
5.407.2.1Lederansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med interessegrupper
5.7NyTrusselintelligens
5.806.1.5, 14.1.1Informasjonssikkerhet i prosjektledelse
5.908.1.1, 08.1.2Inventar av informasjon og andre tilhørende eiendeler
5.1008.1.3, 08.2.3Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.1108.1.4Retur av eiendeler
5.12 08.2.1Klassifisering av informasjon
5.1308.2.2Merking av informasjon
5.1413.2.1, 13.2.2, 13.2.3Informasjonsoverføring
5.1509.1.1, 09.1.2Adgangskontroll
5.1609.2.1Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformasjon
5.1809.2.2, 09.2.5, 09.2.6Tilgangsrettigheter
5.1915.1.1Informasjonssikkerhet i leverandørforhold
5.2015.1.2Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.2115.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.2215.2.1, 15.2.2Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.2416.1.1Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.2516.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
5.2616.1.5Respons på informasjonssikkerhetshendelser
5.2716.1.6Lær av informasjonssikkerhetshendelser
5.2816.1.7Innsamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informasjonssikkerhet under avbrudd
5.30NyIKT-beredskap for forretningskontinuitet
5.3118.1.1, 18.1.5Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.3218.1.2Immaterielle rettigheter
5.3318.1.3Beskyttelse av poster
5.3418.1.4Personvern og beskyttelse av PII
5.3518.2.1Uavhengig gjennomgang av informasjonssikkerhet
5.3618.2.2, 18.2.3Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.3712.1.1Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansettelsen
6.307.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.407.2.3Disiplinær prosess
6.507.3.1Ansvar etter oppsigelse eller endring av arbeidsforhold
6.613.2.4Avtaler om konfidensialitet eller taushetsplikt
6.706.2.2Fjernarbeid
6.816.1.2, 16.1.3Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
7.111.1.1Fysiske sikkerhetsomkretser
7.211.1.2, 11.1.6Fysisk inngang
7.311.1.3Sikring av kontorer, rom og fasiliteter
7.4NyFysisk sikkerhetsovervåking
7.511.1.4Beskyttelse mot fysiske og miljømessige trusler
7.611.1.5Arbeid i sikre områder
7.711.2.9Oversiktlig skrivebord og oversiktlig skjerm
7.811.2.1Utstyrsplassering og beskyttelse
7.911.2.6Sikkerhet av eiendeler utenfor lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedier
7.1111.2.2Støtteverktøy
7.1211.2.3Kablingssikkerhet
7.1311.2.4Vedlikehold av utstyr
7.1411.2.7Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
8.106.2.1, 11.2.8Brukerendepunktsenheter
8.209.2.3Privilegerte tilgangsrettigheter
8.309.4.1Begrensning av informasjonstilgang
8.409.4.5Tilgang til kildekode
8.509.4.2Sikker autentisering
8.612.1.3Kapasitetsstyring
8.712.2.1Beskyttelse mot skadelig programvare
8.812.6.1, 18.2.3Håndtering av tekniske sårbarheter
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.1312.3.1Sikkerhetskopiering av informasjon
8.1417.2.1Redundans av informasjonsbehandlingsanlegg
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NyOvervåking av aktiviteter
8.1712.4.4Kloksynkronisering
8.1809.4.4Bruk av privilegerte hjelpeprogrammer
8.1912.5.1, 12.6.2Installasjon av programvare på operasjonssystemer
8.2013.1.1Nettverkssikkerhet
8.2113.1.2Sikkerhet for nettverkstjenester
8.2213.1.3Segregering av nettverk
8.23NyWeb-filtrering
8.2410.1.1, 10.1.2Bruk av kryptografi
8.2514.2.1Sikker utviklingslivssyklus
8.2614.1.2, 14.1.3Krav til applikasjonssikkerhet
8.2714.2.5Sikker systemarkitektur og tekniske prinsipper
8.28NySikker koding
8.2914.2.8, 14.2.9Sikkerhetstesting i utvikling og aksept
8.3014.2.7Utkontraktert utvikling
8.3112.1.4, 14.2.6Separasjon av utviklings-, test- og produksjonsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Endringsledelse
8.3314.3.1Testinformasjon
8.3412.7.1Beskyttelse av informasjonssystemer under revisjonstesting
Enkel. Sikre. Bærekraftig.

Se vår plattform i aksjon med en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer