ISO 27001:2022 Bilaga A Kontroll 8.2

Allmän vägledning om ISO 27001:2022 bilaga A 8.2

ISO 27001:2022 Annex A 8.2 beskriver 12 huvudriktlinjer som företag bör följa baserat på en "ämnesspecifik" policy för åtkomstkontroll (se bilaga A 5.15) som riktar sig till specifika affärsfunktioner.

Det är avgörande för organisationer att:

1. Förbered en lista över användare som behöver någon grad av privilegierad åtkomst – oavsett om det är till ett enskilt system, en applikation eller det underliggande operativsystemet.
2. Se till att privilegierade åtkomsträttigheter tilldelas användare på basis av "händelse för händelse" – användare bör ges åtkomsträttigheter baserat på det absoluta minimum de behöver för att utföra sina uppgifter.
   

3. Håll ett register över alla åtkomsträttigheter som har beviljats ​​och beskriv en enkel auktoriseringsprocess för alla förfrågningar om privilegierad åtkomst.
   

4. Åtkomsträttigheter måste vara föremål för relevanta utgångsdatum.
   

5. Användare bör uttryckligen informeras när de arbetar med privilegierad åtkomst till ett system.
   

6. När det är relevant uppmanas användare att autentisera sig på nytt innan de använder privilegierade åtkomsträttigheter för att förbättra säkerheten för information och data.
   

7. Regelbunden revision privilegierade åtkomsträttigheter, särskilt efter en period av organisatorisk förändring. Åtkomsträttigheter bör ses över baserat på användarnas "plikter, roller, ansvar och kompetens" (se bilaga A 5.18).
   

8. Överväg ett "krossglas"-förfarande, det vill säga att ge privilegierade åtkomsträttigheter inom snävt kontrollerade tidsramar som uppfyller minimikraven för att en operation ska slutföras (kritiska förändringar, systemadministration, etc.).
   

9. Se till att alla aktiviteter som involverar privilegierad åtkomst loggas.
   

10. Standardiserade användarnamn och lösenord (se bilaga A 5.17) ska inte användas för systeminloggningar.
    

11. Upprätthåll en policy att tilldela användare separata identiteter för att bättre kontrollera privilegierade åtkomsträttigheter. Som ett resultat kan dessa identiteter grupperas tillsammans, med olika nivåer av åtkomst som beviljas till den associerade gruppen.
    

12. Se till att privilegierade åtkomsträttigheter är reserverade för uppgifter som är avgörande för att ett IKT-nätverk ska fungera korrekt, såsom nätverksadministration och underhåll.

Bifogade kontroller i bilaga A

• ISO 27001:2022 bilaga A 5.15

Vilka är ändringarna från ISO 27001:2013?

ISO 27001:2022 bilaga A 8.2 ersätter ISO 27001:2013 Bilaga A 9.2.3 ('Förvaltning av privilegierade åtkomsträttigheter').

Bilaga A 8.2 till ISO 27001:2022 innehåller fem viktiga vägledningspunkter som inte ingick i dess motsvarighet från 2013:

1. Bilaga A 8.2 kräver inte uttryckligen ett annat användar-ID för privilegierad åtkomst.
2. Bilaga A 8.2 betonar behovet av att autentisera på nytt innan man får privilegierade åtkomsträttigheter.
3. Ett krossat glas föreslås när man utför kritiska underhållsuppgifter baserat på hårt kontrollerade tidsfönster i bilaga A 8.2.
4. Bilaga A 8.2 kräver att organisationer föra detaljerade loggar för privilegierad åtkomst för revisionsändamål.
5. Bilaga A 8.2 kräver att organisationer begränsar privilegierade åtkomsträttigheter till administrativa uppgifter.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

Hur ISMS.online Hjälp

Med hjälp av vår molnbaserade plattform och verktyg kan organisationer sätta upp en ledningssystem för informationssäkerhet (ISMS) i enlighet med ISO 27001:2022.

Bland dessa verktyg är:

1. Mallar för vanliga företagsdokument.
2. Policyer och procedurer som är fördefinierade.
3. Stödja internrevisioner med ett revisionsverktyg.
4. Ett godkännande arbetsflöde för alla ändringar som görs i policyer och procedurer.
5. Checklista för att säkerställa att din informationssäkerhetspolicyer och processer följer internationella standarder.

Vänligen ta reda på om hela utbudet av funktioner i vår verktygslåda av boka en demo.