Varje anställd inom din organisation måste ha tillgång till specifika datorer, databaser, informationssystem och applikationer för att kunna utföra sina uppgifter.
Till exempel din mänskliga resurser avdelningen kan behöva tillgång till känslig hälsoinformation om anställda. Dessutom kan din ekonomiavdelning behöva tillgång till och använda databaser som innehåller information om anställdas löner.
Du bör tillhandahålla, ändra och återkalla åtkomsträttigheter enligt företagets åtkomstkontrollpolicy och åtkomstkontrollåtgärder. Detta kommer att förhindra obehörig åtkomst till, modifiering av och förstörelse av informationstillgångar.
Om du inte återkallar din tidigare medarbetares åtkomsträttigheter kan den anställde stjäla känslig information.
Enligt ISO 27001:2022 behandlar bilaga A Kontroll 5.18 hur åtkomsträttigheter ska tilldelas, ändras och återkallas baserat på affärskrav.
Enligt bilaga A Kontroll 5.18 kan en organisation implementera procedurer och kontroller för att tilldela, modifiera och återkalla åtkomsträttigheter till informationssystem i enlighet med dess policy för åtkomstkontroll.
Informationssäkerhetsansvarig bör ansvara för att upprätta, implementera och granska lämpliga regler, processer och kontroller för tillhandahållande, ändring och återkallande av åtkomsträttigheter till informationssystem.
Det är informationssäkerhetsansvarigs ansvar att noggrant överväga affärsbehov vid tilldelning, ändring och återkallande av åtkomsträttigheter. Dessutom informationssäkerhetsansvarig bör ha ett nära samarbete med ägare av informationstillgångar för att säkerställa att policyer och procedurer följs.
För att tilldela eller återkalla åtkomsträttigheter för alla typer av användare till alla system och tjänster måste en process implementeras (hur enkel och dokumenterad den än är). Helst skulle det knyta an till punkterna ovan och det bredare initiativet HR Security.
Ett informationssystem eller en informationstjänst bör tillhandahållas eller återkallas baserat på följande kriterier: Auktorisation från ägaren av informationssystemet eller tjänsten, verifiering av att åtkomsten är lämplig för den roll som utförs och skydd mot att provisionering sker innan auktorisation har erhållits.
Användare bör alltid ges åtkomst enligt affärskrav som en del av ett affärsstyrt tillvägagångssätt. Även om detta kan låta byråkratiskt, så behöver det inte vara det. Genom att implementera effektiva rutiner med rollbaserad åtkomst till system och tjänster kan detta problem åtgärdas effektivt.
Tillgångsägare måste granska användarnas åtkomsträttigheter regelbundet under individuella ändringar (vid ombordstigning, rolländringar och utträden) och under bredare granskningar av systemåtkomst.
Tillstånd bör ses över oftare mot bakgrund av den högre risk som är förknippad med privilegierade åtkomsträttigheter. Precis som med 9.2 bör detta göras minst årligen eller närhelst betydande förändringar har gjorts.
Det är nödvändigt att ta bort åtkomsträttigheterna för alla anställda och externa parter till informations- och informationsbehandlingsanläggningar vid uppsägning av deras anställning, kontrakt eller avtal (eller att justera deras åtkomsträttigheter vid byte av roll om det behövs).
Om exitpolicyer och -procedurer är väl utformade och anpassade till A.7, kommer detta också att uppnås och visat för revisionsändamål när anställda slutar.
För tilldelning och återkallande av åtkomsträttigheter till autentiserade individer måste organisationer införliva följande regler och kontroller:
Regelbundna granskningar av fysiska och logiska åtkomsträttigheter bör ta hänsyn till följande:
Riskfaktorer bör beaktas vid utvärdering och ändring av en anställds åtkomsträttigheter till informationsbehandlingssystem. Detta är innan de befordras eller degraderas inom samma organisation:
Det rekommenderas att organisationer upprättar användaråtkomstroller i enlighet med deras affärskrav. Utöver typerna och antalet åtkomsträttigheter som ska ges till varje användargrupp, bör dessa roller specificera typen av åtkomsträttigheter.
Att skapa sådana roller kommer att göra åtkomstförfrågningar och rättigheter att hanteras och granskas lättare.
Det rekommenderas att organisationer inkluderar bestämmelser i sina anställnings-/tjänsteavtal med sin personal som tar itu med obehörig åtkomst till deras system och sanktioner för sådan åtkomst. Bilaga A kontroller 5.20, 6.2, 6.4 och 6.6 bör följas.
Organisationer måste vara försiktiga när de hanterar missnöjda anställda som sagts upp av ledningen eftersom de avsiktligt kan skada informationssystem.
Organisationer som bestämmer sig för att använda kloningstekniker för att bevilja åtkomsträttigheter bör göra det baserat på de roller som organisationen har definierat.
Det finns en risk förknippad med kloning genom att alltför stora åtkomsträttigheter kan beviljas.
ISO 27001:2022 bilaga A 5.18 ersätter ISO 27001:2013 Bilaga A kontroller 9.2.2, 9.2.5 och 9.2.6.
2013 års version av bilaga A Kontroll 9.2.2 beskrev sex krav för att tilldela och återkalla åtkomsträttigheter; Bilaga A Kontroll 5.18 inför dock ytterligare tre krav utöver dessa sex:
Enligt ISO 27001:2013 anger bilaga A Kontroll 9.5 uttryckligen att organisationer bör granska auktorisationen för privilegierade åtkomsträttigheter oftare än andra åtkomsträttigheter. Detta krav inkluderades inte i bilaga A Kontroll 5.18 i version 2022.
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
ISO 27001:2022, bilaga A 5.18, är en av de mest diskuterade klausulerna. Många hävdar att det är den viktigaste klausulen i hela dokumentet.
Detta beror på att hela Information Security Management System (ISMS) bygger på att säkerställa att lämpliga personer har tillgång till rätt information vid rätt tidpunkt. För att nå framgång krävs att det blir rätt, men det kan allvarligt påverka ditt företag.
Tänk dig till exempel om du av misstag avslöjat konfidentiell personalinformation för fel person, till exempel varje anställds lön.
Ett misstag här kan få betydande konsekvenser, så det är värt att ta dig tid att tänka igenom det ordentligt.
Vår plattformen kan vara till stor hjälp i detta avseende. Som ett resultat följer den hela strukturen av ISO 27001 och låter dig adoptera, anpassa och lägga till innehållet vi tillhandahåller. Detta ger dig en betydande fördel. Varför inte schemalägg en demo för att lära dig mer?
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo