Varje anställd inom din organisation kommer att behöva ha tillgång till vissa datorer, databaser, informationssystem och applikationer för att utföra sina uppgifter.
Till exempel, medan personal kan behöva tillgång till känsliga hälsodata om anställda, kan din ekonomiavdelning förlita sig på att få tillgång till och använda databaser som innehåller information om anställdas löner.
Dessa åtkomsträttigheter bör dock tillhandahållas, ändras och återkallas i enlighet med din organisations åtkomstkontrollpolicy och dess åtkomstkontroller så att du kan förhindra obehörig åtkomst till, modifiering av och förstörelse av informationstillgångar.
Om du till exempel misslyckas med att återkalla åtkomsträttigheterna för en tidigare anställd kan den anställde stjäla känslig information.
Kontroll 5.18 handlar om hur organisationer ska tilldela, ändra och återkalla åtkomsträttigheter med hänsyn till affärskrav.
Kontroll 5.18 gör det möjligt för en organisation att upprätta och implementera lämpliga procedurer och kontroller för att tilldela, modifiera och återkalla åtkomsträttigheter till informationssystem i enlighet med organisationens policy för åtkomstkontroll och dess åtkomstkontroller.
Kontroll 5.18 är en förebyggande kontroll som kräver att organisationer eliminerar risken för obehörig åtkomst till informationssystem genom att införa robusta regler, procedurer och kontroller.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Identitets- och åtkomsthantering | #Skydd |
En informationssäkerhetsansvarig bör vara ansvarig för att upprätta, implementera och granska lämpliga regler, processer och kontroller för tillhandahållande, ändring och återkallande av åtkomsträttigheter till informationssystem.
Vid tilldelning, ändring och återkallande av åtkomsträttigheter bör informationssäkerhetsansvarig överväga affärsbehov och bör nära arbeta med informationstillgångsägare för att säkerställa att regler och processer följs.
Organisationer bör införliva följande regler och kontroller i processen för tilldelning och återkallelse av åtkomsträttigheter till en autentiserad individ:
Fysiska och logiska åtkomsträttigheter bör genomgå periodiska granskningar med hänsyn till:
Innan en anställd befordras eller degraderas inom samma organisation eller när hans/hennes anställning avslutas, bör hans/hennes åtkomsträttigheter till informationsbehandlingssystem utvärderas och modifieras genom att ta hänsyn till följande riskfaktorer:
Organisationer bör överväga att etablera roller för användaråtkomst baserat på deras affärskrav. Dessa roller bör inkludera typerna och antalet åtkomsträttigheter som ska ges till varje användargrupp.
Genom att skapa sådana roller blir det lättare att hantera och granska åtkomstförfrågningar och rättigheter.
Organisationer bör inkludera avtalsbestämmelser för obehörigt tillträde och sanktioner för sådan tillgång i sina anställnings-/tjänsteavtal med sin personal. Detta bör vara i enlighet med kontrollerna 5.20, 6.2, 6.4 och 6.6.
Organisationer bör vara försiktiga mot missnöjda anställda som sägs upp av ledningen eftersom de kan skada informationssystem med avsikt.
Om organisationer bestämmer sig för att använda kloningsteknikerna för att bevilja åtkomsträttigheter, bör de utföra det på grundval av distinkta roller som fastställts av organisationen.
Det bör noteras att kloning kommer med den inneboende risken att ge överdrivna åtkomsträttigheter.
27002:2022/5.18 ersätter 27002:2013/(9.2.2, 9.2.5, 9.2.6).
Även om Control 9.2.2 i 2013 års version listade sex krav för att tilldela och återkalla åtkomsträttigheter, introducerar Control 5.18 i 2022 version tre nya krav utöver dessa sex krav:
Kontroll 9.5 i version 2013 angav uttryckligen att organisationer bör granska behörigheten för privilegierade åtkomsträttigheter med tätare intervall än andra åtkomsträttigheter. Kontroll 5.18 i version 2022 innehöll tvärtom inte detta krav.
ISMS.online är en molnbaserad plattform som erbjuder hjälp med att implementera ISO 2702-standarden effektivt och kostnadseffektivt.
Det ger organisationer enkel tillgång till uppdaterad information om deras efterlevnadsstatus hela tiden genom dess användarvänliga instrumentpanelsgränssnitt som gör det möjligt för chefer att övervaka deras framsteg mot att uppnå efterlevnad snabbt och enkelt.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |