ISO 27002:2022, Kontroll 8.3 – Begränsning av informationsåtkomst

ISO 27002:2022 Reviderade kontroller

Boka en demo

kvinna,använder,laptop,indoor.close up,hand

Syfte med kontroll 8.3

Tillgång till information från interna och externa källor är hörnstenen i en organisationens informationssäkerhetspolicy.

Kontroll 8.3 är en förebyggande kontroll den där upprätthåller risken genom att fastställa en rad regler och förfaranden som förhindrar obehörig åtkomst/missbruk av en organisations information och IKT-tillgångar.

Attributtabell

Kontroll typ InformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande #Sekretess
#Integritet
#Tillgänglighet		#Skydda#Identitets- och åtkomsthantering#Skydd

Äganderätt till kontroll 8.3

Kontroll 8.3 handlar om en organisations förmåga att kontrollera tillgången till information.

Som sådan, ägandet bör ligga hos Chief Information Security Officer (eller organisatorisk motsvarande), som har ansvaret för organisationens övergripande informations- och datasäkerhetspraxis.

Hoppa till ämne
Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

Allmän vägledning om kontroll 8.3

För att upprätthålla effektiv kontroll över information och IKT-tillgångar, och till stöd för åtkomstbegränsningsåtgärder bör organisationer säkerställa följande i linje med a ämnesspecifikt tillvägagångssätt för tillgång till information:

  1. Förhindra anonym tillgång till information, inklusive långtgående allmänhetens tillgång.

    • Där offentlig eller tredje parts tillgång beviljas bör organisationer se till att åtkomsten inte omfattar känsliga eller affärskritiska data.

  2. Arbeta med adekvata underhållsåtgärder som kontrollerar systemåtkomst och alla tillhörande affärsapplikationer eller processer.

  3. Diktera dataåtkomst på en användare-för-användare-basis.

  4. Ange dataåtkomsträttigheter mellan grupper som validerar specifika dataoperationer, till exempel läsa, skriva, ta bort och köra.

  5. Behåll möjligheten att partitionera affärskritiska processer och applikationer med hjälp av en rad fysiska och digitala åtkomstkontroller.

Vägledning – Dynamisk åtkomsthantering

Kontroll 8.3 förespråkar en dynamisk inställning till informationstillgång.

Dynamisk åtkomsthantering har många kvarvarande fördelar för organisatoriska processer som har behovet av att dela eller använda intern data med externa användare, inklusive snabbare incidentlösningstider.

Dynamisk åtkomst hanteringstekniker skyddar ett brett utbud av information typer, från standarddokument till e-postmeddelanden och databasinformation, och har möjlighet att tillämpas på en detaljerad fil-för-fil-basis, vilket möjliggör en noggrann kontroll av data på organisationsnivå.

Organisationer bör överväga ett sådant tillvägagångssätt när:

  1. Kräver granulär kontroll över vad mänskliga och icke-mänskliga användare kan komma åt sådan information vid varje given tidpunkt.

  2. Behovet uppstår att dela information med externa parter (som leverantörer eller tillsynsorgan).

  3. Överväger en "realtids"-strategi för datahantering och distribution som involverar övervakning och hantering av dataanvändning när den sker.

  4. Skydda information mot obehöriga ändringar, delning eller utdata (utskrift etc).

  5. Övervakning av tillgång till och ändring av information, särskilt när informationen i fråga är av känslig karaktär.

Dynamisk åtkomsthantering är särskilt användbar för organisationer som behöver övervaka och skydda data från skapande till radering, inklusive:

  1. Beskriva ett användningsfall (eller en serie av användningsfall) som tillämpar dataåtkomstregler baserat på följande variabler:

    • Identitet
    • Anordning
    • Plats
    • Ansökan

  2. Att beskriva en process som täcker av drift och övervakning av data, och upprättande av en noggrann rapporteringsprocess som i sin tur är informerad av en sund teknisk infrastruktur.

Alla ansträngningar för att formulera en dynamisk åtkomsthanteringsmetod bör resultera i data skyddas av:

  1. Att säkerställa att åtkomst till data är slutresultatet av en framgångsrik autentiseringsprocess.

  2. En grad av begränsad åtkomst, baserat på datatypen och dess påverkan på förmågan kontinuitet i verksamheten.

  3. Kryptering.

  4. Utskriftsbehörigheter.

  5. Grundlig revisionsloggar som registrerar vem som har tillgång till data och hur denna data används.

  6. En varningsprocedur som flaggar för olämplig dataanvändning, inklusive (men inte begränsat till) obehörig åtkomst och distribution, och försök till radering.

Få en försprång
på ISO 27002

Den enda efterlevnaden
lösning du behöver
Boka din demo

Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Ändringar och skillnader från ISO 27002:2013

27002:2022-8.3 replaces 27002:2013-9.4.1 (Informationsåtkomstbegränsning), och representerar ett stort skifte i hur ISO betraktar informationsåtkomsthantering i enlighet med det tidigare nämnda dynamiska tillvägagångssättet (en teknik som inte nämns i 27002:2013-9.4.1)

27002:2022-8.3 innehåller en stor mängd vägledningsnoteringar om dynamisk åtkomsthantering som saknas i dess motsvarighet från 2013, och organisationer rekommenderas att överväga dessa ämne för ämne när de söker certifiering.

Hur ISMS.online hjälper

ISMS.Online är den ledande programvaran för ledningssystem för ISO 27002 som stöder överensstämmelse med ISO 27002, och hjälper företag att anpassa sina säkerhetspolicyer och procedurer till standarden.

Den molnbaserade plattformen tillhandahåller en komplett uppsättning verktyg för att hjälpa organisationer att sätta upp en ledningssystem för informationssäkerhet (ISMS) enligt ISO 27002.

Vår plattform har designats från grunden med hjälp av informationssäkerhetsexperter från hela världen och vi har utvecklat det på ett sätt som gör det enkelt för personer utan någon teknisk kunskap om ledningssystem för informationssäkerhet (ISMS) att använda den.

Hör av dig idag för att boka en demo.

Är du redo för
den nya ISO 27002

Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyaHot intelligens
5.23NyaInformationssäkerhet för användning av molntjänster
5.30NyaICT-beredskap för kontinuitet i verksamheten
7.4NyaFysisk säkerhetsövervakning
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.16NyaÖvervakningsaktiviteter
8.23NyaWebbfiltrering
8.28NyaSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyaHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.12 08.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyaInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyaICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyaFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyaÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyaWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyaSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning
Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer