- Se ISO 27002:2022 Kontroll 5.16 för mer information.
- Se ISO 27001:2013 bilaga A 9.2.1 för mer information.
Förstå ISO 27001:2022 bilaga A Kontroll 5.16 – Stärka identitetshantering
Ocuco-landskapet reviderad ISO 27001:2022 Bilaga A 5.16 Identitetshantering fastställer ett ramverk för att godkänna, registrera och administrera mänskliga och icke-mänskliga identiteter på alla nätverk – definierat som "hela livscykeln".
Datornätverk använder identiteter för att identifiera den underliggande förmågan hos en enhet (en användare, grupp av användare, enhet eller IT-tillgång) att få tillgång till en uppsättning hårdvaru- och mjukvaruresurser.
Vad gör ISO 27001:2022 Annex A 5.16?
Syftet med bilaga A 5.16 är att beskriva hur en organisation kan identifiera vem (användare, grupper av användare) eller vad (applikationer, system och enheter) åtkomst till data eller IT-tillgångar vid varje givet tillfälle, och hur dessa identiteter ges åtkomsträttigheter.
Som en förebyggande åtgärd syftar bilaga A 5.16 till att upprätthålla risken genom att fastställa huvudomkretsen för all relaterad informationssäkerhet och cybersäkerhetsverksamhet, såväl som det primära styrningssättet som bestämmer en organisations identitets- och åtkomsthanteringsprocess.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Äganderätt till bilaga A 5.16
Med tanke på att ISO 27001:2022 bilaga A 5.16 fungerar som en primär underhållsfunktion, bör ägande ges till IT-personal med globala administratörsrättigheter (eller motsvarande för icke-Windows-infrastruktur).
Förutom andra inbyggda roller som tillåter användare att hantera identiteter (som domänadministratör), bör bilaga A 5.16 ägas av den person som är ansvarig för hela organisationens nätverk, inklusive alla underdomäner och Active Directory-hyresgäster.
Allmän vägledning om ISO 27001:2022 bilaga A 5.16
Efterlevnad av bilaga A 5.16 uppnås genom att tydligt uttrycka identitetsbaserade procedurer i policydokument och övervaka personalens efterlevnad dagligen.
Sex procedurer listas i bilaga A 5.16, för att säkerställa att en organisation uppfyller de erforderliga standarderna för infosec och cybersäkerhetsstyrning:
- Närhelst en identitet tilldelas en person är den personen den enda som kan autentisera sig med den identiteten och/eller använda den när den kommer åt nätverksresurser.
- I vissa fall kan det vara nödvändigt att tilldela en enda identitet till flera personer, även känd som en "delad identitet". Använd endast detta tillvägagångssätt när en explicit uppsättning operativa krav behövs.
- "Icke-mänskliga" enheter (vilken identitet som helst som inte är knuten till en verklig person) bör behandlas annorlunda än användarbaserade identiteter vid registrering.
- I händelse av en avgång, redundanta tillgångar eller andra icke-krävda identiteter bör en nätverksadministratör inaktivera dem eller ta bort dem helt.
- Det är absolut nödvändigt att undvika dubbletter av identiteter till varje pris. En regel för "en enhet, en identitet" bör följas av alla organisationer.
- Identitetshantering och autentiseringsinformation bör dokumenteras adekvat för alla "väsentliga händelser".
Att uppnå efterlevnad innebär att IT-policyer tydligt måste ange att användare inte får dela inloggningsinformation, eller tillåta andra användare att roama nätverket med någon annan identitet än den de har fått.
För att uppnå efterlevnad bör registrering av delade identiteter hanteras separat från registrering av en användare, med en särskild godkännandeprocess.
En icke-mänsklig identitet bör också ha sin egen godkännande- och registreringsprocess, som erkänner den grundläggande skillnaden mellan att tilldela en identitet till en person och att ge en till en tillgång, applikation eller enhet.
IT-avdelningen bör genomföra regelbundna revisioner för att fastställa vilka identiteter som används och vilka enheter som kan stängas av eller raderas. Det är viktigt för HR-personalen att inkludera identitetshantering i offboard-procedurer och att informera IT-personal omedelbart när en lämnande lämnar.
För att följa detta bör IT-personal se till att enheter inte får åtkomsträttigheter baserat på mer än en identitet när de tilldelar roller över ett nätverk.
Det är möjligt att tolka termen "väsentlig händelse" på olika sätt, men på en grundläggande nivå måste organisationer se till att deras styrningsprocedurer inkluderar en omfattande lista över tilldelade identiteter vid varje given tidpunkt, robusta protokoll för begäran om ändringar med lämpliga godkännandeprocedurer, och ett godkänt protokoll för ändringsbegäran.
Ytterligare kompletterande vägledning för bilaga A 5.16
När du skapar en identitet och ger den åtkomst till nätverksresurser listar bilaga A 5.16 också fyra steg som företag måste följa (ändra eller ta bort åtkomsträttigheter visas i ISO 27001:2022 bilaga A 5.18):
- Innan du skapar en identitet, upprätta ett affärscase.
- Se till att den enhet (mänsklig eller icke-mänsklig) som tilldelats en identitet har verifierats oberoende.
- Skapa en identitet
- De sista konfigurationsstegen för en identitet
Varje gång en identitet skapas blir identitetshantering exponentiellt mer utmanande. Det är tillrådligt för organisationer att skapa nya identiteter endast när det är uppenbart nödvändigt.
Identitets- och åtkomsthanteringsprocedurer bör säkerställa att, när affärsfallet har godkänts, en individ eller tillgång som tar emot nya identiteter har den behörighet som krävs innan en identitet skapas.
Din IT-personal borde bygga en identitet i linje med affärsfallet krav, och det bör begränsas till vad som anges i dokumentationen för eventuell ändringsförfrågan.
Som det sista steget i processen tilldelas en identitet till var och en av dess åtkomstbaserade behörigheter och roller (RBAC) samt eventuella autentiseringstjänster som krävs.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Vilka är ändringarna från ISO 27001:2013?
ISO 27001: 2022 Bilaga A 5.16 ersätter ISO 27001:2013 A.9.2.1 (tidigare känd som "Användarregistrering och avregistrering").
Medan de två kontrollerna delar några slående likheter – främst i underhållsprotokoll och inaktivering av redundanta ID – innehåller bilaga A 5.16 en omfattande uppsättning riktlinjer som handlar om identitets- och åtkomsthantering som helhet.
Bilaga A 5.16 Mänskliga vs. icke-mänskliga identiteter förklaras
Det finns vissa skillnader mellan 2022 års bilaga och dess föregångare genom att trots skillnader i registreringsprocesser, behandlas människor och icke-människor inte längre separat när det gäller allmän nätverksadministration.
Det har blivit vanligare inom IT-styrning och riktlinjer för bästa praxis att tala om mänskliga och icke-mänskliga identiteter omväxlande sedan tillkomsten av moderna identitets- och åtkomsthantering och Windows-baserade RBAC-protokoll.
I bilaga A 9.2.1 till ISO 27001:2013 finns det ingen vägledning om hur man hanterar icke-mänskliga identiteter, och texten handlar bara om att hantera vad den kallar "Användar-ID" (dvs. inloggningsinformation tillsammans med ett lösenord som används för att komma åt ett nätverk).
ISO 27001:2022 Bilaga A 5.16 Dokumentation
Bilaga A 5.16 ger uttrycklig vägledning om både de allmänna säkerhetskonsekvenserna av identitetsstyrning och hur organisationer bör registrera och bearbeta information före tilldelningen av identiteter, såväl som under identitetens livscykel.
Jämförelsevis nämner ISO 27001:2013 A.9.2.1 endast kortfattat den IT-styrningsroll som omger administrationen av identiteter, och begränsar sig till den fysiska praktiken av identitetsadministration.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur ISMS.online hjälper dig att uppnå bilaga A 5.16 efterlevnad
Så länge du uppdaterar ditt säkerhetshanteringssystems processer för att återspegla de förbättrade kontrollerna kommer du att följa ISO 27001:2022. Detta kan ISMS.online hantera om du inte har de nödvändiga resurserna i huset.
Vi förenklar implementeringen av ISO 27001:2022 genom vårt intuitiva arbetsflöde och verktyg, inklusive ramverk, policyer, kontroller, handlingsbar dokumentation och vägledning. Med vår molnbaserade programvara kan du hantera alla dina ISMS-lösningar på en plats.
Vår plattform låter dig definiera omfattningen av din ISMS, identifiera risker och implementera kontroller enkelt.
För att lära dig mer om hur ISMS.online kan hjälpa dig att uppnå dina ISO 27001-mål, vänligen hör av dig idag för att boka en demo.
