ISO 27001:2022 Bilaga A Kontroll 5.16

Identitetshantering

Boka en demo

grupp,av,glada,kollegor,diskutera,i,konferens,rum

Smakämnen reviderad ISO 27001:2022 Bilaga A 5.16 Identitetshantering fastställer ett ramverk för att godkänna, registrera och administrera mänskliga och icke-mänskliga identiteter på alla nätverk – definierat som "hela livscykeln".

Datornätverk använder identiteter för att identifiera den underliggande förmågan hos en enhet (en användare, grupp av användare, enhet eller IT-tillgång) att få tillgång till en uppsättning hårdvaru- och mjukvaruresurser.

Vad gör ISO 27001:2022 Annex A 5.16?

Syftet med bilaga A 5.16 är att beskriva hur en organisation kan identifiera vem (användare, grupper av användare) eller vad (applikationer, system och enheter) åtkomst till data eller IT-tillgångar vid varje givet tillfälle, och hur dessa identiteter ges åtkomsträttigheter.

Som en förebyggande åtgärd syftar bilaga A 5.16 till att upprätthålla risken genom att fastställa huvudomkretsen för all relaterad informationssäkerhet och cybersäkerhetsverksamhet, såväl som det primära styrningssättet som bestämmer en organisations identitets- och åtkomsthanteringsprocess.

Äganderätt till bilaga A 5.16

Med tanke på att ISO 27001:2022 bilaga A 5.16 fungerar som en primär underhållsfunktion, bör ägande ges till IT-personal med globala administratörsrättigheter (eller motsvarande för icke-Windows-infrastruktur).

Förutom andra inbyggda roller som tillåter användare att hantera identiteter (som domänadministratör), bör bilaga A 5.16 ägas av den person som är ansvarig för hela organisationens nätverk, inklusive alla underdomäner och Active Directory-hyresgäster.

Hoppa till ämne
Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

Allmän vägledning om ISO 27001:2022 bilaga A 5.16

Efterlevnad av bilaga A 5.16 uppnås genom att tydligt uttrycka identitetsbaserade procedurer i policydokument och övervaka personalens efterlevnad dagligen.

Sex procedurer listas i bilaga A 5.16, för att säkerställa att en organisation uppfyller de erforderliga standarderna för infosec och cybersäkerhetsstyrning:

  1. Närhelst en identitet tilldelas en person är den personen den enda som kan autentisera sig med den identiteten och/eller använda den när den kommer åt nätverksresurser.

    2. Att uppnå efterlevnad innebär att IT-policyer tydligt måste ange att användare inte får dela inloggningsinformation, eller tillåta andra användare att roama nätverket med någon annan identitet än den de har fått.

  2. I vissa fall kan det vara nödvändigt att tilldela en enda identitet till flera personer, även känd som en "delad identitet". Använd endast detta tillvägagångssätt när en explicit uppsättning operativa krav behövs.

    3. För att uppnå efterlevnad bör registrering av delade identiteter hanteras separat från registrering av en användare, med en särskild godkännandeprocess.

  3. "Icke-mänskliga" enheter (vilken identitet som helst som inte är knuten till en verklig person) bör behandlas annorlunda än användarbaserade identiteter vid registrering.

    4. En icke-mänsklig identitet bör också ha sin egen godkännande- och registreringsprocess, som erkänner den grundläggande skillnaden mellan att tilldela en identitet till en person och att ge en till en tillgång, applikation eller enhet.

  4. I händelse av en avgång, redundanta tillgångar eller andra icke-krävda identiteter bör en nätverksadministratör inaktivera dem eller ta bort dem helt.

    5. IT-avdelningen bör genomföra regelbundna revisioner för att fastställa vilka identiteter som används och vilka enheter som kan stängas av eller raderas. Det är viktigt för HR-personalen att inkludera identitetshantering i offboard-procedurer och att informera IT-personal omedelbart när en lämnande lämnar.

  5. Det är absolut nödvändigt att undvika dubbletter av identiteter till varje pris. En regel för "en enhet, en identitet" bör följas av alla organisationer.

    6. För att följa detta bör IT-personal se till att enheter inte får åtkomsträttigheter baserat på mer än en identitet när de tilldelar roller över ett nätverk.

  6. Identitetshantering och autentiseringsinformation bör dokumenteras adekvat för alla "väsentliga händelser".

    7. Det är möjligt att tolka termen "väsentlig händelse" på olika sätt, men på en grundläggande nivå måste organisationer se till att deras styrningsprocedurer inkluderar en omfattande lista över tilldelade identiteter vid varje given tidpunkt, robusta protokoll för begäran om ändringar med lämpliga godkännandeprocedurer, och ett godkänt protokoll för ändringsbegäran.

Ytterligare kompletterande vägledning för bilaga A 5.16

När du skapar en identitet och ger den åtkomst till nätverksresurser listar bilaga A 5.16 också fyra steg som företag måste följa (ändra eller ta bort åtkomsträttigheter visas i ISO 27001:2022 bilaga A 5.18):

  1. Innan du skapar en identitet, upprätta ett affärscase.

    2. Varje gång en identitet skapas blir identitetshantering exponentiellt mer utmanande. Det är tillrådligt för organisationer att skapa nya identiteter endast när det är uppenbart nödvändigt.

  2. Se till att den enhet (mänsklig eller icke-mänsklig) som tilldelats en identitet har verifierats oberoende.

    3. Identitets- och åtkomsthanteringsprocedurer bör säkerställa att, när affärsfallet har godkänts, en individ eller tillgång som tar emot nya identiteter har den behörighet som krävs innan en identitet skapas.

  3. Skapa en identitet

    4. Din IT-personal borde bygga en identitet i linje med affärsfallet krav, och det bör begränsas till vad som anges i dokumentationen för eventuell ändringsförfrågan.

  4. De sista konfigurationsstegen för en identitet

    5. Som det sista steget i processen tilldelas en identitet till var och en av dess åtkomstbaserade behörigheter och roller (RBAC) samt eventuella autentiseringstjänster som krävs.

Vilka är ändringarna från ISO 27001:2013?

ISO 27001: 2022 Bilaga A 5.16 ersätter ISO 27001:2013 A.9.2.1 (tidigare känd som "Användarregistrering och avregistrering").

Medan de två kontrollerna delar några slående likheter – främst i underhållsprotokoll och inaktivering av redundanta ID – innehåller bilaga A 5.16 en omfattande uppsättning riktlinjer som handlar om identitets- och åtkomsthantering som helhet.

Bilaga A 5.16 Mänskliga vs. icke-mänskliga identiteter förklaras

Det finns vissa skillnader mellan 2022 års bilaga och dess föregångare genom att trots skillnader i registreringsprocesser, behandlas människor och icke-människor inte längre separat när det gäller allmän nätverksadministration.

Det har blivit vanligare inom IT-styrning och riktlinjer för bästa praxis att tala om mänskliga och icke-mänskliga identiteter omväxlande sedan tillkomsten av moderna identitets- och åtkomsthantering och Windows-baserade RBAC-protokoll.

I bilaga A 9.2.1 till ISO 27001:2013 finns det ingen vägledning om hur man hanterar icke-mänskliga identiteter, och texten handlar bara om att hantera vad den kallar "Användar-ID" (dvs. inloggningsinformation tillsammans med ett lösenord som används för att komma åt ett nätverk).

ISO 27001:2022 Bilaga A 5.16 Dokumentation

Bilaga A 5.16 ger uttrycklig vägledning om både de allmänna säkerhetskonsekvenserna av identitetsstyrning och hur organisationer bör registrera och bearbeta information före tilldelningen av identiteter, såväl som under identitetens livscykel.

Jämförelsevis nämner ISO 27001:2013 A.9.2.1 endast kortfattat den IT-styrningsroll som omger administrationen av identiteter, och begränsar sig till den fysiska praktiken av identitetsadministration.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper dig att uppnå bilaga A 5.16 efterlevnad

Så länge du uppdaterar ditt säkerhetshanteringssystems processer för att återspegla de förbättrade kontrollerna kommer du att följa ISO 27001:2022. Detta kan ISMS.online hantera om du inte har de nödvändiga resurserna i huset.

Vi förenklar implementeringen av ISO 27001:2022 genom vårt intuitiva arbetsflöde och verktyg, inklusive ramverk, policyer, kontroller, handlingsbar dokumentation och vägledning. Med vår molnbaserade programvara kan du hantera alla dina ISMS-lösningar på en plats.

Vår plattform låter dig definiera omfattningen av din ISMS, identifiera risker och implementera kontroller enkelt.

För att lära dig mer om hur ISMS.online kan hjälpa dig att uppnå dina ISO 27001-mål, vänligen hör av dig idag för att boka en demo.

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Metod med säkrade resultat
100 % ISO 27001 framgång

Din enkla, praktiska, tidsbesparande väg till första gången ISO 27001 efterlevnad eller certifiering

Boka din demo

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer