ISO 27001:2022 Annex A 5.16 – Identity Management

Vad gör ISO 27001:2022 Annex A 5.16?

Syftet med bilaga A 5.16 är att beskriva hur en organisation kan identifiera vem (användare, grupper av användare) eller vad (applikationer, system och enheter) åtkomst till data eller IT-tillgångar vid varje givet tillfälle, och hur dessa identiteter ges åtkomsträttigheter.

Som en förebyggande åtgärd syftar bilaga A 5.16 till att upprätthålla risken genom att fastställa huvudomkretsen för all relaterad informationssäkerhet och cybersäkerhetsverksamhet, såväl som det primära styrningssättet som bestämmer en organisations identitets- och åtkomsthanteringsprocess.

Äganderätt till bilaga A 5.16

Med tanke på att ISO 27001:2022 bilaga A 5.16 fungerar som en primär underhållsfunktion, bör ägande ges till IT-personal med globala administratörsrättigheter (eller motsvarande för icke-Windows-infrastruktur).

Förutom andra inbyggda roller som tillåter användare att hantera identiteter (som domänadministratör), bör bilaga A 5.16 ägas av den person som är ansvarig för hela organisationens nätverk, inklusive alla underdomäner och Active Directory-hyresgäster.

Allmän vägledning om ISO 27001:2022 bilaga A 5.16

Efterlevnad av bilaga A 5.16 uppnås genom att tydligt uttrycka identitetsbaserade procedurer i policydokument och övervaka personalens efterlevnad dagligen.

Sex procedurer listas i bilaga A 5.16, för att säkerställa att en organisation uppfyller de erforderliga standarderna för infosec och cybersäkerhetsstyrning:

1. Närhelst en identitet tilldelas en person är den personen den enda som kan autentisera sig med den identiteten och/eller använda den när den kommer åt nätverksresurser.

Att uppnå efterlevnad innebär att IT-policyer tydligt måste ange att användare inte får dela inloggningsinformation, eller tillåta andra användare att roama nätverket med någon annan identitet än den de har fått.

2. I vissa fall kan det vara nödvändigt att tilldela en enda identitet till flera personer, även känd som en "delad identitet". Använd endast detta tillvägagångssätt när en explicit uppsättning operativa krav behövs.

För att uppnå efterlevnad bör registrering av delade identiteter hanteras separat från registrering av en användare, med en särskild godkännandeprocess.

3. "Icke-mänskliga" enheter (vilken identitet som helst som inte är knuten till en verklig person) bör behandlas annorlunda än användarbaserade identiteter vid registrering.

En icke-mänsklig identitet bör också ha sin egen godkännande- och registreringsprocess, som erkänner den grundläggande skillnaden mellan att tilldela en identitet till en person och att ge en till en tillgång, applikation eller enhet.

4. I händelse av en avgång, redundanta tillgångar eller andra icke-krävda identiteter bör en nätverksadministratör inaktivera dem eller ta bort dem helt.

IT-avdelningen bör genomföra regelbundna revisioner för att fastställa vilka identiteter som används och vilka enheter som kan stängas av eller raderas. Det är viktigt för HR-personalen att inkludera identitetshantering i offboard-procedurer och att informera IT-personal omedelbart när en lämnande lämnar.

5. Det är absolut nödvändigt att undvika dubbletter av identiteter till varje pris. En regel för "en enhet, en identitet" bör följas av alla organisationer.

För att följa detta bör IT-personal se till att enheter inte får åtkomsträttigheter baserat på mer än en identitet när de tilldelar roller över ett nätverk.

6. Identitetshantering och autentiseringsinformation bör dokumenteras adekvat för alla "väsentliga händelser".

Det är möjligt att tolka termen "väsentlig händelse" på olika sätt, men på en grundläggande nivå måste organisationer se till att deras styrningsprocedurer inkluderar en omfattande lista över tilldelade identiteter vid varje given tidpunkt, robusta protokoll för begäran om ändringar med lämpliga godkännandeprocedurer, och ett godkänt protokoll för ändringsbegäran.

Ytterligare kompletterande vägledning för bilaga A 5.16

När du skapar en identitet och ger den åtkomst till nätverksresurser listar bilaga A 5.16 också fyra steg som företag måste följa (ändra eller ta bort åtkomsträttigheter visas i ISO 27001:2022 bilaga A 5.18):

1. Innan du skapar en identitet, upprätta ett affärscase.

Varje gång en identitet skapas blir identitetshantering exponentiellt mer utmanande. Det är tillrådligt för organisationer att skapa nya identiteter endast när det är uppenbart nödvändigt.

2. Se till att den enhet (mänsklig eller icke-mänsklig) som tilldelats en identitet har verifierats oberoende.

Identitets- och åtkomsthanteringsprocedurer bör säkerställa att, när affärsfallet har godkänts, en individ eller tillgång som tar emot nya identiteter har den behörighet som krävs innan en identitet skapas.

3. Skapa en identitet

Din IT-personal borde bygga en identitet i linje med affärsfallet krav, och det bör begränsas till vad som anges i dokumentationen för eventuell ändringsförfrågan.

4. De sista konfigurationsstegen för en identitet

Som det sista steget i processen tilldelas en identitet till var och en av dess åtkomstbaserade behörigheter och roller (RBAC) samt eventuella autentiseringstjänster som krävs.

Vilka är ändringarna från ISO 27001:2013?

ISO 27001: 2022 Bilaga A 5.16 ersätter ISO 27001:2013 A.9.2.1 (tidigare känd som "Användarregistrering och avregistrering").

Medan de två kontrollerna delar några slående likheter – främst i underhållsprotokoll och inaktivering av redundanta ID – innehåller bilaga A 5.16 en omfattande uppsättning riktlinjer som handlar om identitets- och åtkomsthantering som helhet.

Bilaga A 5.16 Mänskliga vs. icke-mänskliga identiteter förklaras

Det finns vissa skillnader mellan 2022 års bilaga och dess föregångare genom att trots skillnader i registreringsprocesser, behandlas människor och icke-människor inte längre separat när det gäller allmän nätverksadministration.

Det har blivit vanligare inom IT-styrning och riktlinjer för bästa praxis att tala om mänskliga och icke-mänskliga identiteter omväxlande sedan tillkomsten av moderna identitets- och åtkomsthantering och Windows-baserade RBAC-protokoll.

I bilaga A 9.2.1 till ISO 27001:2013 finns det ingen vägledning om hur man hanterar icke-mänskliga identiteter, och texten handlar bara om att hantera vad den kallar "Användar-ID" (dvs. inloggningsinformation tillsammans med ett lösenord som används för att komma åt ett nätverk).

ISO 27001:2022 Bilaga A 5.16 Dokumentation

Bilaga A 5.16 ger uttrycklig vägledning om både de allmänna säkerhetskonsekvenserna av identitetsstyrning och hur organisationer bör registrera och bearbeta information före tilldelningen av identiteter, såväl som under identitetens livscykel.

Jämförelsevis nämner ISO 27001:2013 A.9.2.1 endast kortfattat den IT-styrningsroll som omger administrationen av identiteter, och begränsar sig till den fysiska praktiken av identitetsadministration.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

Hur ISMS.online hjälper dig att uppnå bilaga A 5.16 efterlevnad

Så länge du uppdaterar ditt säkerhetshanteringssystems processer för att återspegla de förbättrade kontrollerna kommer du att följa ISO 27001:2022. Detta kan ISMS.online hantera om du inte har de nödvändiga resurserna i huset.

Vi förenklar implementeringen av ISO 27001:2022 genom vårt intuitiva arbetsflöde och verktyg, inklusive ramverk, policyer, kontroller, handlingsbar dokumentation och vägledning. Med vår molnbaserade programvara kan du hantera alla dina ISMS-lösningar på en plats.

Vår plattform låter dig definiera omfattningen av din ISMS, identifiera risker och implementera kontroller enkelt.

För att lära dig mer om hur ISMS.online kan hjälpa dig att uppnå dina ISO 27001-mål, vänligen hör av dig idag för att boka en demo.