Bilaga A 5.15 till ISO 27001:2022; Din steg-för-steg-guide för att förstå och möta det.
Bilaga A 5.15 handlar om tillträdeskontrollprocedurer. Syftet med bilaga A.9 är att säkerställa tillgången till information och säkerställa att anställda endast har tillgång till den information de behöver för att utföra sina arbetsuppgifter.
Det är en av de väsentliga delarna av en ledningssystem för informationssäkerhet (ISMS), särskilt om du planerar att uppnå ISO 27001-certifiering.
Att få den här delen rätt är en viktig komponent i ISO 27001 certifiering och en där många företag behöver hjälp. För att bättre förstå dessa krav, låt oss titta närmare på vad de innebär.
För att hantera tillgången till tillgångar inom ramen för en organisation måste en policy för åtkomstkontroll utvecklas, dokumenteras och ses över med jämna mellanrum.
Åtkomstkontroll styr hur mänskliga och icke-mänskliga enheter på ett nätverk får tillgång till data, IT-resurser och applikationer.
Informationssäkerhetsrisker förknippade med informationen och organisationens aptit att hantera dem bör återspeglas i reglerna, rättigheterna och begränsningarna och djupet i kontrollerna som används. Det handlar helt enkelt om att bestämma vem som har tillgång till vad, hur mycket och vem som inte har.
Det är möjligt att ställa in digitala och fysiska åtkomstkontroller, såsom att begränsa användarkontobehörigheter eller begränsa åtkomst till specifika fysiska platser (i linje med bilaga A.7 Fysisk säkerhet och miljösäkerhet). Policyn bör ta hänsyn till följande överväganden:
Det är viktigt att se över åtkomstkontrollen när rollerna ändras, särskilt vid utgångar, för att följa bilaga A.7 Human Resource Security.
Boka en 30 minuters chatt med oss så visar vi dig hur
Ett allmänt tillvägagångssätt för skydd är minsta åtkomst snarare än obegränsad åtkomst och superanvändarrättigheter utan noggrant övervägande.
Följaktligen bör användare endast ges tillgång till nätverk och nätverkstjänster krävs för att fullgöra sina skyldigheter. Politiken måste ta itu med; Nätverken och nätverkstjänsterna i utrymme för åtkomst; Auktoriseringsprocedurer för att visa vem (rollbaserad) som får tillgång till vad och när; och ledningskontroller och procedurer för att förhindra åtkomst och övervaka den i händelse av en incident.
Ombordstigning och avstigning bör också ta hänsyn till denna fråga, som är nära relaterad till policyn för tillträdeskontroll.
Som en förebyggande kontroll förbättrar bilaga A 5.15 en organisations underliggande förmåga att kontrollera åtkomst till data och tillgångar.
En konkret uppsättning av kommersiell och informationssäkerhet behov måste tillgodoses innan tillgång till resurser kan beviljas och ändras enligt bilaga A Kontroll 5.15.
ISO 27001 Annex A 5.15 ger riktlinjer för att underlätta säker åtkomst till data och minimera risken för obehörig åtkomst till fysiska och virtuella nätverk.
Såsom visas i bilaga A 5.15, ledningspersonal över olika delar av en organisationen måste ha en grundlig förståelse av vilka resurser som behöver nås (t.ex. Förutom att HR informerar anställda om deras jobbroller, som dikterar deras RBAC-parametrar, är åtkomsträttigheter i slutändan en underhållsfunktion som kontrolleras av nätverksadministratörer.
En organisations ägarskap i bilaga A 5.15 bör ligga hos en medlem av högsta ledningen som har övergripande teknisk auktoritet över företagets domäner, underdomäner, applikationer, resurser och tillgångar. Det här kan vara IT-chefen.
Ett ämnesspecifikt tillvägagångssätt för åtkomstkontroll krävs för att uppfylla ISO 27001:2022 Annex A Control 5.15 (mer känd som en problemspecifik metod).
Istället för att följa en generell åtkomstkontrollpolicy som gäller för resurs- och dataåtkomst i hela organisationen, uppmuntrar ämnesspecifika tillvägagångssätt organisationer att skapa åtkomstkontrollpolicyer riktade mot enskilda affärsfunktioner.
För alla ämnesspecifika områden kräver bilaga A Kontroll 5.15 att policyer för åtkomstkontroll beaktar de 11 punkterna nedan. Vissa av dessa riktlinjer överlappar andra policyer.
Som en riktlinje bör organisationer konsultera de medföljande kontrollerna för ytterligare information från fall till fall:
Enligt den kompletterande vägledningen nämner ISO 27001:2022 bilaga A Kontroll 5.15 (utan att begränsa sig till) fyra olika typer av åtkomstkontroll, som i stora drag kan klassificeras enligt följande:
Vi har diskuterat regler för åtkomstkontroll som beviljade till olika enheter (mänskliga och icke-mänskliga) som verkar inom ett nätverk, som tilldelas roller som definierar deras övergripande funktion.
När du definierar och genomför din organisations policyer för åtkomstkontroll, uppmanar bilaga A 5.15 dig att överväga följande fyra faktorer:
Enligt ISO 27001:2022 bilaga A Kontroll 5.15 måste organisationer utveckla och underhålla en strukturerad lista över ansvarsområden och dokumentation. Det finns många likheter mellan ISO 27001:2022:s hela lista över kontroller, med bilaga A 5.15 som innehåller de mest relevanta kraven:
Kontroll 5.15 i bilaga A ger organisationer betydande frihet att specificera detaljerna i deras åtkomstkontrollpolicyer.
I allmänhet rekommenderar ISO företag att använda sin bedömning av hur detaljerad en given uppsättning regler bör vara på anställd-för-anställd-basis och hur många variabler som ska tillämpas på en viss information.
Specifikt bekräftar bilaga A 5.15 att ju mer detaljerade ett företags åtkomstkontrollpolicyer är, desto högre kostnad och desto mer utmanande blir konceptet för åtkomstkontroll över flera platser, nätverkstyper och applikationsvariabler.
Åtkomstkontroll, om den inte hanteras noggrant, kan gå ur hand mycket snabbt. Det är klokt att förenkla reglerna för åtkomstkontroll för att säkerställa att de är lättare att hantera och mer kostnadseffektiva.
Bilaga A 5.15 i 27001:2022 är en sammanslagning av två liknande kontroller i 27001:2013 – Bilaga A 9.1.1 (Åtkomstkontrollpolicy) och bilaga A 9.1.2 (Tillgång till nätverk och nätverkstjänster).
De underliggande teman i A.9.1.1 och A.9.1.2 liknar dem i bilaga A 5.15, förutom några subtila operationella skillnader.
Liksom 2022 hänför sig båda kontrollerna till att administrera åtkomst till information, tillgångar och resurser och fungerar enligt principen om "need to know", där företagsdata behandlas som en vara som kräver noggrann hantering och skydd.
Det finns 11 styrande riktlinjer i 27001:2013 Bilaga A 9.1.1, som alla följer samma allmänna principer som 27001:2022 Bilaga A Kontroll 5.15 med något större tonvikt på perimetersäkerhet och fysisk säkerhet.
Det finns i allmänhet samma implementeringsriktlinjer för åtkomstkontroll, men 2022-kontrollen ger mycket mer kortfattad och praktisk vägledning över dess fyra implementeringsriktlinjer.
Som framgår av ISO 27001 Annex A 5.15 har olika former av åtkomstkontroll uppstått under de senaste nio åren (MAC, DAC, ABAC), medan i 27001:2013 Annex A Control 9.1.1, den primära metoden för kommersiell åtkomstkontroll då. tiden var RBAC.
2013 års kontroller måste innehålla meningsfulla riktlinjer för hur en organisation bör närma sig detaljerade åtkomstkontroller i ljuset av tekniska förändringar som ger organisationer ökad kontroll över sina data.
Däremot ger bilaga A 5.15 till 27001:2022 organisationer stor flexibilitet.
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Bilaga A 5.15 i ISO 27001:2022 är förmodligen den mest omtalade klausulen i bilaga A, och vissa hävdar att den är den mest betydelsefulla.
Ditt Information Security Management System (ISMS) syftar till att säkerställa att lämpliga personer har tillgång till rätt information vid rätt tidpunkt. En av nycklarna till framgång är att få det rätt, men att göra det fel kan påverka ditt företag negativt.
Tänk på scenariot där du av misstag avslöjade konfidentiell personalinformation för fel personer, till exempel vad alla i organisationen får betalt.
Om du inte är försiktig kan konsekvenserna av att få den här delen fel bli allvarliga. Därför är det absolut nödvändigt att ta dig tid att noggrant överväga alla aspekter innan du fortsätter.
I detta avseende, vår plattform kan vara en verklig tillgång. Detta beror på att det följer hela strukturen i ISO 27001 och låter dig adoptera, anpassa och berika innehållet vi tillhandahåller för dig, vilket ger dig ett stort försprång.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo