- sien ISO 27002:2022 Beheer 5.15 vir meer inligting.
- sien ISO 27001:2013 Bylae A 9.1.1 vir meer inligting.
- sien ISO 27001:2013 Bylae A 9.1.2 vir meer inligting.
ISO 27001:2022 Bylae A 5.15 – 'n Omvattende gids tot toegangsbeheerbeleide
Bylae A 5.15 van ISO 27001:2022; Jou stap-vir-stap gids om dit te verstaan en te ontmoet.
Bylae A 5.15 is gemoeid met toegangsbeheerprosedures. Die doel van Bylae A.9 is om toegang tot inligting te beskerm en te verseker dat werknemers slegs toegang het tot die inligting wat hulle benodig om hul pligte uit te voer.
Dit is een van die noodsaaklike elemente van 'n inligtingsekuriteitbestuurstelsel (ISMS), veral as jy van plan is om ISO 27001-sertifisering te behaal.
Om hierdie deel reg te kry is 'n kritieke komponent van ISO 27001 sertifisering en een waar baie maatskappye hulp benodig. Om hierdie vereistes beter te verstaan, kom ons kyk noukeuriger na wat dit behels.
Toegangsbeheerbeleid
Om toegang tot bates binne die bestek van 'n organisasie te bestuur, moet 'n toegangsbeheerbeleid ontwikkel, gedokumenteer en periodiek hersien word.
Toegangsbeheer beheer hoe menslike en nie-menslike entiteite op 'n netwerk toegang tot data, IT-hulpbronne en toepassings verkry.
Inligtingsekuriteitsrisiko's wat met die inligting geassosieer word en die organisasie se aptyt om dit te bestuur, moet weerspieël word in die reëls, regte en beperkings en die diepte van beheermaatreëls wat gebruik word. Dit is bloot 'n kwessie van besluit wie toegang het tot wat, hoeveel en wie nie.
Dit is moontlik om digitale en fisiese toegangskontroles op te stel, soos om gebruikersrekeningtoestemmings te beperk of toegang tot spesifieke fisiese liggings te beperk (belyn met Bylae A.7 Fisiese en Omgewingssekuriteit). Die beleid moet die volgende oorwegings in ag neem:
- Dit is noodsaaklik om die sekuriteitsvereistes van besigheidstoepassings in lyn te bring met die inligtingsklassifikasieskema wat gebruik word volgens Bylae A 5.9, 5.10, 5.11, 5.12, 5.13 & 7.10 met betrekking tot Batebestuur.
- Identifiseer wie toegang tot, kennis van en die gebruik van inligting benodig – vergesel van duidelik gedefinieerde prosedures en verantwoordelikhede.
- Maak seker dat toegangsregte en voorreg toegangsregte (meer krag – sien hieronder) word doeltreffend bestuur, insluitend die byvoeging van lewensveranderinge (bv. kontroles vir supergebruikers/administrateurs) en periodieke hersiening (bv. periodiek) interne oudits per vereiste Bylae A 5.15, 5.16, 5.17, 5.18 & 8.2).
- 'n Formele prosedure en gedefinieerde verantwoordelikhede behoort die toegangsbeheerreëls te ondersteun.
Dit is noodsaaklik om toegangsbeheer te hersien namate rolle verander, veral tydens uitgange, om te voldoen aan Bylae A.7 Menslike Hulpbronsekuriteit.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Netwerk en netwerkdienste is vir gebruikers beskikbaar
’n Algemene benadering tot beskerming is dié van minste toegang eerder as onbeperkte toegang en supergebruikerregte sonder noukeurige oorweging.
Gevolglik moet slegs aan gebruikers toegang verleen word netwerke en netwerkdienste vereis om hul verantwoordelikhede na te kom. Die beleid moet aanspreek; Die netwerke en netwerkdienste in omvang vir toegang; Magtigingsprosedures om te wys wie (rolgebaseerd) toegang tot wat en wanneer toegelaat word; en Bestuurskontroles en -prosedures om toegang te voorkom en dit te monitor in die geval van 'n voorval.
Aan boord en van boord af moet ook hierdie kwessie in ag neem, wat nou verband hou met die toegangsbeheerbeleid.
Doel van ISO 27001:2022 Bylae A 5.15
As 'n voorkomende beheer, verbeter Bylae A 5.15 'n organisasie se onderliggende vermoë om toegang tot data en bates te beheer.
'n Betonstel van kommersiële en inligtingsekuriteit behoeftes moet voorsien word voordat toegang tot hulpbronne toegestaan en gewysig kan word kragtens Bylae A Beheer 5.15.
ISO 27001 Bylae A 5.15 verskaf riglyne vir die fasilitering van veilige toegang tot data en die vermindering van die risiko van ongemagtigde toegang tot fisiese en virtuele netwerke.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Eienaarskap van Bylae A 5.15
Soos getoon in Bylae A 5.15, bestuurspersoneel oor verskeie dele van 'n organisasie moet 'n deeglike begrip handhaaf van watter hulpbronne toegang verkry moet word (bv. Benewens HR wat werknemers inlig oor hul werksrolle, wat hul RBAC-parameters dikteer, is toegangsregte uiteindelik 'n instandhoudingsfunksie wat deur netwerkadministrateurs beheer word.
'n Organisasie se Aanhangsel A 5.15 eienaarskap behoort by 'n lid van senior bestuur te berus wat oorkoepelende tegniese gesag het oor die maatskappy se domeine, subdomeine, toepassings, hulpbronne en bates. Dit kan die hoof van IT wees.
Algemene riglyne oor ISO 27001:2022 Bylae 5.15
'n Onderwerpspesifieke benadering tot toegangsbeheer word vereis vir voldoening aan ISO 27001:2022 Bylae A Beheer 5.15 (meer algemeen bekend as 'n kwessie-spesifieke benadering).
Eerder as om te voldoen aan 'n algemene toegangsbeheerbeleid wat van toepassing is op hulpbron- en datatoegang regoor die organisasie, moedig onderwerpspesifieke benaderings organisasies aan om toegangsbeheerbeleide te skep wat op individuele besigheidsfunksies gerig is.
Oor alle onderwerpspesifieke gebiede vereis Bylae A Beheer 5.15 dat beleide rakende toegangsbeheer die 11 punte hieronder oorweeg. Sommige van hierdie riglyne oorvleuel met ander beleide.
As 'n riglyn moet organisasies die meegaande kontroles raadpleeg vir verdere inligting op 'n geval-tot-geval basis:
- Identifiseer watter entiteite toegang tot sekere bates en inligting benodig.
- Die handhawing van 'n rekord van werksrolle en datatoegangsvereistes in ooreenstemming met die organisasiestruktuur van jou organisasie is die maklikste manier om nakoming te verseker.
- Sekuriteit en integriteit van alle relevante toepassings (gekoppel aan Beheer 8.2).
- 'n Formele risiko-evaluering kan uitgevoer word om die sekuriteitskenmerke van individuele aansoeke te assesseer.
- Die beheer van fisiese toegang tot 'n webwerf (skakels met kontroles 7.2, 7.3 en 7.4).
- As deel van jou nakomingsprogram, moet jou organisasie 'n robuuste stel gebou- en kamertoegangskontroles demonstreer, insluitend bestuurde toegangstelsels, sekuriteitsperimeters en besoekersprosedures, waar toepaslik.
- Wanneer dit kom by die verspreiding, sekuriteit en kategorisering van inligting, moet die "need to know"-beginsel regdeur die organisasie toegepas word (gekoppel aan 5.10, 5.12 en 5.13).
- Maatskappye moet voldoen aan streng beste-praktykbeleide wat nie algemene toegang tot data oor 'n organisasie se hiërargie bied nie.
- Maak seker dat bevoorregte toegangsregte beperk word (verwant aan 8.2).
- Die toegangsregte van gebruikers wat toegang tot data bo en behalwe dié van 'n standaardgebruiker kry, moet gemonitor en geoudit word.
- Verseker voldoening aan enige heersende wetgewing, sektorspesifieke regulatoriese riglyne, of kontraktuele verpligtinge met betrekking tot datatoegang (sien 5.31, 5.32, 5.33, 5.34 en 8.3).
- 'n Organisasie se toegangsbeheerbeleide word aangepas volgens eksterne verpligtinge rakende datatoegang, bates en hulpbronne.
- Hou 'n oog op potensiële botsings van belange.
- Die beleide moet beheermaatreëls insluit om te verhoed dat 'n individu 'n breër toegangsbeheerfunksie op grond van hul toegangsvlakke in gevaar stel (dws 'n werknemer wat veranderinge aan 'n netwerk kan versoek, magtig en implementeer).
- 'n Toegangsbeheerbeleid moet die drie hooffunksies – versoeke, magtigings en administrasie – onafhanklik aanspreek.
- 'n Beleid vir Toegangsbeheer moet erken dat dit, ten spyte van die selfstandige aard daarvan, verskeie individuele stappe bevat wat elkeen sy vereistes bevat.
- Om voldoening aan die vereistes van 5.16 en 5.18 te verseker, moet toegangsversoeke op 'n gestruktureerde, formele wyse uitgevoer word.
- Organisasies moet formele magtigingsprosesse implementeer wat formele, gedokumenteerde goedkeuring van die toepaslike personeel vereis.
- Bestuur van toegangsregte op 'n deurlopende basis (gekoppel aan 5.18).
- Om data-integriteit en sekuriteitsperimeters te handhaaf, word periodieke oudits, HR-toesig (verlaters, ens.) en posspesifieke veranderinge (bv. departementele skuiwe en veranderinge aan rolle) vereis.
- Handhawing van voldoende logboeke en beheer van toegang daartoe Voldoening – Organisasies moet data oor toegangsgebeure (bv. lêeraktiwiteit) insamel en berg, teen ongemagtigde toegang tot sekuriteitsgebeurtenislogboeke beskerm, en 'n omvattende voorvalbestuur strategie.
Aanvullende leiding oor aanhangsel 5.15
Volgens die aanvullende leiding noem ISO 27001:2022 Bylae A Beheer 5.15 (sonder om homself te beperk tot) vier verskillende tipes toegangsbeheer, wat breedweg soos volg geklassifiseer kan word:
- Verpligte toegangsbeheer (MAC) – Toegang word sentraal bestuur deur 'n enkele sekuriteitsowerheid.
- 'n Alternatief vir MAC is diskresionêre toegangsbeheer (DAC), waarin die eienaar van die voorwerp aan ander voorregte binne die voorwerp kan gee.
- 'n Toegangsbeheerstelsel gebaseer op voorafbepaalde werkfunksies en voorregte word Rolgebaseerde Toegangsbeheer (RBAC) genoem.
- Deur gebruik te maak van Attribuut-Based Access Control (ABAC), word gebruikerstoegangsregte toegestaan op grond van beleide wat eienskappe kombineer.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Riglyne vir die implementering van toegangsbeheerreëls
Ons het bespreek dat toegangsbeheerreëls toegeken word aan verskeie entiteite (menslik en nie-menslik) wat binne 'n netwerk werk, wat rolle toegeken word wat hul algehele funksie bepaal.
By die definisie en uitvoering van jou organisasie se Toegangsbeheerbeleide, vra Bylae A 5.15 jou om die volgende vier faktore in ag te neem:
- Konsekwentheid moet gehandhaaf word tussen die data waarop die toegangsreg van toepassing is en die soort toegangsreg.
- Dit is noodsaaklik om konsekwentheid te verseker tussen jou organisasie se toegangsregte en fisiese sekuriteitsvereistes (omtrek, ens.).
- Toegangsregte in 'n verspreide rekenaaromgewing (soos 'n wolk-gebaseerde omgewing) oorweeg die implikasies van data wat oor 'n breë spektrum van netwerke woon.
- Oorweeg die implikasies van dinamiese toegangskontroles ('n fyn metode om toegang te verkry tot 'n gedetailleerde stel veranderlikes wat deur 'n stelseladministrateur geïmplementeer is).
Definieer verantwoordelikhede en dokumentasie van die proses
Volgens ISO 27001:2022 Bylae A Beheer 5.15 moet organisasies 'n gestruktureerde lys van verantwoordelikhede en dokumentasie ontwikkel en in stand hou. Daar is talle ooreenkomste tussen ISO 27001:2022 se hele lys van kontroles, met Bylae A 5.15 wat die mees relevante vereistes bevat:
dokumentasie
- ISO 27001:2022 Bylae A 5.16
- ISO 27001:2022 Bylae A 5.17
- ISO 27001:2022 Bylae A 5.18
- ISO 27001:2022 Bylae A 8.2
- ISO 27001:2022 Bylae A 8.3
- ISO 27001:2022 Bylae A 8.4
- ISO 27001:2022 Bylae A 8.5
- ISO 27001:2022 Bylae A 8.18
Verantwoordelikhede
- ISO 27001:2022 Bylae A 5.2
- ISO 27001:2022 Bylae A 5.17
korrelig
Beheer 5.15 van Bylae A bied organisasies aansienlike vryheid om die fynheid van hul toegangsbeheerbeleide te spesifiseer.
Oor die algemeen raai ISO maatskappye aan om hul oordeel te gebruik oor hoe gedetailleerd 'n gegewe stel reëls op 'n werknemer-vir-werknemer-basis moet wees en hoeveel veranderlikes op 'n gegewe inligting toegepas moet word.
Spesifiek, Bylae A 5.15 erken dat hoe meer gedetailleerd 'n maatskappy se toegangsbeheerbeleide is, hoe groter is die koste en hoe meer uitdagend word die konsep van toegangsbeheer oor verskeie liggings, netwerktipes en toepassingsveranderlikes.
Toegangsbeheer, tensy dit versigtig bestuur word, kan baie vinnig handuit ruk. Dit is wys om toegangsbeheerreëls te vereenvoudig om te verseker dat dit makliker is om te bestuur en meer koste-effektief.
[case_study_slider ids=”88859,101932,92016″ outospeel=”waar” outospeelspoed=”5000″]
Wat is die veranderinge vanaf ISO 27001:2013?
Bylae A 5.15 in 27001:2022 is 'n samevoeging van twee soortgelyke kontroles in 27001:2013 – Bylae A 9.1.1 (Toegangsbeheerbeleid) en Bylae A 9.1.2 (Toegang tot netwerke en netwerkdienste).
Die onderliggende temas van A.9.1.1 en A.9.1.2 is soortgelyk aan dié in Bylae A 5.15, behalwe vir 'n paar subtiele operasionele verskille.
Soos in 2022, hou beide beheermaatreëls verband met die administrasie van toegang tot inligting, bates en hulpbronne en werk dit volgens die beginsel van "need to know", waarin korporatiewe data hanteer word as 'n kommoditeit wat noukeurige bestuur en beskerming vereis.
Daar is 11 bestuursriglyne in 27001:2013 Bylae A 9.1.1, wat almal dieselfde algemene beginsels volg as 27001:2022 Bylae A Beheer 5.15 met 'n effens groter klem op omtreksekuriteit en fisiese sekuriteit.
Daar is oor die algemeen dieselfde implementeringsriglyne vir toegangsbeheer, maar die 2022-beheer bied baie meer bondige en praktiese leiding oor sy vier implementeringsriglyne.
Tipes toegangskontroles wat in ISO 27001:2013 Bylae A gebruik word 9.1.1 het verander
Soos vermeld in ISO 27001 Bylae A 5.15, het verskeie vorme van toegangsbeheer oor die afgelope nege jaar na vore gekom (MAC, DAC, ABAC), terwyl in 27001:2013 Bylae A Beheer 9.1.1, die primêre metode van kommersiële toegangsbeheer op daardie stadium tyd was RBAC.
Vlak van Granulariteit
Die 2013-kontroles moet betekenisvolle riglyne bevat vir hoe 'n organisasie korreltoegangsbeheer moet benader in die lig van tegnologiese veranderinge wat organisasies van verbeterde beheer oor hul data voorsien.
Daarteenoor bied aanhangsel A 5.15 van 27001:2022 organisasies aansienlike buigsaamheid.
Tabel van alle ISO 27001:2022 Bylae A-kontroles
In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 |
Bylae A 5.1.1 Bylae A 5.1.2 |
Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 |
Bylae A 6.1.5 Bylae A 14.1.1 |
Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 |
Bylae A 8.1.1 Bylae A 8.1.2 |
Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 |
Bylae A 8.1.3 Bylae A 8.2.3 |
Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 |
Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 |
Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 |
Bylae A 9.1.1 Bylae A 9.1.2 |
Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 |
Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 |
Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 |
Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 |
Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 |
Bylae A 15.2.1 Bylae A 15.2.2 |
Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 |
Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 |
Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 |
Bylae A 18.1.1 Bylae A 18.1.5 |
Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 |
Bylae A 18.2.2 Bylae A 18.2.3 |
Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 |
Bylae A 16.1.2 Bylae A 16.1.3 |
Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 |
Bylae A 11.1.2 Bylae A 11.1.6 |
Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 |
Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 |
Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 |
Bylae A 6.2.1 Bylae A 11.2.8 |
Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 |
Bylae A 12.6.1 Bylae A 18.2.3 |
Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 |
Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 |
Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van Bevoorregte Nutsdiensteprogramme Toegangsregte |
| Tegnologiese kontroles | Bylae A 8.19 |
Bylae A 12.5.1 Bylae A 12.6.2 |
Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 |
Bylae A 10.1.1 Bylae A 10.1.2 |
Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 |
Bylae A 14.1.2 Bylae A 14.1.3 |
Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige Stelselargitektuur en IngenieursbeginselsLeer uit Inligtingsekuriteitsvoorvalle |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 |
Bylae A 14.2.8 Bylae A 14.2.9 |
Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 |
Bylae A 12.1.4 Bylae A 14.2.6 |
Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 |
Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 |
Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Hoe kan ISMS.online help?
Bylae A 5.15 van ISO 27001:2022 is waarskynlik die klousule wat die meeste gepraat word in Bylae A, en sommige beweer dat dit die belangrikste is.
Jou inligtingsekuriteitbestuurstelsel (ISMS) het ten doel om te verseker dat die toepaslike mense toegang tot die korrekte inligting op die regte tyd het. Een van die sleutels tot sukses is om dit reg te kry, maar om dit verkeerd te doen, kan jou besigheid nadelig beïnvloed.
Oorweeg die scenario waar jy per ongeluk vertroulike werknemerinligting aan die verkeerde mense bekend gemaak het, soos wat almal in die organisasie betaal word.
As jy nie versigtig is nie, kan die gevolge om hierdie deel verkeerd te kry ernstig wees. Daarom is dit noodsaaklik om die tyd te neem om al die aspekte noukeurig te oorweeg voordat u voortgaan.
In hierdie verband, ons platform 'n ware bate kan wees. Dit is omdat dit die hele struktuur van ISO 27001 volg en jou toelaat om die inhoud wat ons vir jou verskaf aan te neem, aan te pas en te verryk, wat jou 'n aansienlike voorsprong gee.
