Syfte med kontroll 8.3
Tillgång till information från interna och externa källor är hörnstenen i en organisationens informationssäkerhetspolicy.
Kontroll 8.3 är en förebyggande kontroll den där upprätthåller risken genom att fastställa en rad regler och förfaranden som förhindrar obehörig åtkomst/missbruk av en organisations information och IKT-tillgångar.
Attributtabell för kontroll 8.3
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Identitets- och åtkomsthantering | #Skydd |
| #Integritet | ||||
| #Tillgänglighet |
Äganderätt till kontroll 8.3
Kontroll 8.3 handlar om en organisations förmåga att kontrollera tillgången till information.
Som sådan, ägandet bör ligga hos Chief Information Security Officer (eller organisatorisk motsvarande), som har ansvaret för organisationens övergripande informations- och datasäkerhetspraxis.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om kontroll 8.3
För att upprätthålla effektiv kontroll över information och IKT-tillgångar, och till stöd för åtkomstbegränsningsåtgärder bör organisationer säkerställa följande i linje med a ämnesspecifikt tillvägagångssätt för tillgång till information:
- Förhindra anonym tillgång till information, inklusive långtgående allmänhetens tillgång.
- Där offentlig eller tredje parts tillgång beviljas bör organisationer se till att åtkomsten inte omfattar känsliga eller affärskritiska data.
- Arbeta med adekvata underhållsåtgärder som kontrollerar systemåtkomst och alla tillhörande affärsapplikationer eller processer.
- Diktera dataåtkomst på en användare-för-användare-basis.
- Ange dataåtkomsträttigheter mellan grupper som validerar specifika dataoperationer, till exempel läsa, skriva, ta bort och köra.
- Behåll möjligheten att partitionera affärskritiska processer och applikationer med hjälp av en rad fysiska och digitala åtkomstkontroller.
Vägledning – Dynamisk åtkomsthantering
Kontroll 8.3 förespråkar en dynamisk inställning till informationstillgång.
Dynamisk åtkomsthantering har många kvarvarande fördelar för organisatoriska processer som har behovet av att dela eller använda intern data med externa användare, inklusive snabbare incidentlösningstider.
Dynamisk åtkomst hanteringstekniker skyddar ett brett utbud av information typer, från standarddokument till e-postmeddelanden och databasinformation, och har möjlighet att tillämpas på en detaljerad fil-för-fil-basis, vilket möjliggör en noggrann kontroll av data på organisationsnivå.
Organisationer bör överväga ett sådant tillvägagångssätt när:
- Kräver granulär kontroll över vad mänskliga och icke-mänskliga användare kan komma åt sådan information vid varje given tidpunkt.
- Behovet uppstår att dela information med externa parter (som leverantörer eller tillsynsorgan).
- Överväger en "realtids"-strategi för datahantering och distribution som involverar övervakning och hantering av dataanvändning när den sker.
- Skydda information mot obehöriga ändringar, delning eller utdata (utskrift etc).
- Övervakning av tillgång till och ändring av information, särskilt när informationen i fråga är av känslig karaktär.
Dynamisk åtkomsthantering är särskilt användbar för organisationer som behöver övervaka och skydda data från skapande till radering, inklusive:
- Beskriva ett användningsfall (eller en serie av användningsfall) som tillämpar dataåtkomstregler baserat på följande variabler:
- Identitet
- Anordning
- Plats
- Ansökan
- Att beskriva en process som täcker av drift och övervakning av data, och upprättande av en noggrann rapporteringsprocess som i sin tur är informerad av en sund teknisk infrastruktur.
Alla ansträngningar för att formulera en dynamisk åtkomsthanteringsmetod bör resultera i data skyddas av:
- Att säkerställa att åtkomst till data är slutresultatet av en framgångsrik autentiseringsprocess.
- En grad av begränsad åtkomst, baserat på datatypen och dess påverkan på förmågan kontinuitet i verksamheten.
- Kryptering.
- Utskriftsbehörigheter.
- Grundlig revisionsloggar som registrerar vem som har tillgång till data och hur denna data används.
- En varningsprocedur som flaggar för olämplig dataanvändning, inklusive (men inte begränsat till) obehörig åtkomst och distribution, och försök till radering.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022-8.3 replaces 27002:2013-9.4.1 (Informationsåtkomstbegränsning), och representerar ett stort skifte i hur ISO betraktar informationsåtkomsthantering i enlighet med det tidigare nämnda dynamiska tillvägagångssättet (en teknik som inte nämns i 27002:2013-9.4.1)
27002:2022-8.3 innehåller en stor mängd vägledningsnoteringar om dynamisk åtkomsthantering som saknas i dess motsvarighet från 2013, och organisationer rekommenderas att överväga dessa ämne för ämne när de söker certifiering.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
ISMS.Online är den ledande programvaran för ledningssystem för ISO 27002 som stöder överensstämmelse med ISO 27002, och hjälper företag att anpassa sina säkerhetspolicyer och procedurer till standarden.
Den molnbaserade plattformen tillhandahåller en komplett uppsättning verktyg för att hjälpa organisationer att sätta upp en ledningssystem för informationssäkerhet (ISMS) enligt ISO 27002.
Vår plattform har designats från grunden med hjälp av informationssäkerhetsexperter från hela världen och vi har utvecklat det på ett sätt som gör det enkelt för personer utan någon teknisk kunskap om ledningssystem för informationssäkerhet (ISMS) att använda den.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
