Bylae A 5.15 van ISO 27001:2022; Jou stap-vir-stap gids om dit te verstaan en te ontmoet.
Bylae A 5.15 is gemoeid met toegangsbeheerprosedures. Die doel van Bylae A.9 is om toegang tot inligting te beskerm en te verseker dat werknemers slegs toegang het tot die inligting wat hulle benodig om hul pligte uit te voer.
Dit is een van die noodsaaklike elemente van 'n inligtingsekuriteitbestuurstelsel (ISMS), veral as jy van plan is om ISO 27001-sertifisering te behaal.
Om hierdie deel reg te kry is 'n kritieke komponent van ISO 27001 sertifisering en een waar baie maatskappye hulp benodig. Om hierdie vereistes beter te verstaan, kom ons kyk noukeuriger na wat dit behels.
Om toegang tot bates binne die bestek van 'n organisasie te bestuur, moet 'n toegangsbeheerbeleid ontwikkel, gedokumenteer en periodiek hersien word.
Toegangsbeheer beheer hoe menslike en nie-menslike entiteite op 'n netwerk toegang tot data, IT-hulpbronne en toepassings verkry.
Inligtingsekuriteitsrisiko's wat met die inligting geassosieer word en die organisasie se aptyt om dit te bestuur, moet weerspieël word in die reëls, regte en beperkings en die diepte van beheermaatreëls wat gebruik word. Dit is bloot 'n kwessie van besluit wie toegang het tot wat, hoeveel en wie nie.
Dit is moontlik om digitale en fisiese toegangskontroles op te stel, soos om gebruikersrekeningtoestemmings te beperk of toegang tot spesifieke fisiese liggings te beperk (belyn met Bylae A.7 Fisiese en Omgewingssekuriteit). Die beleid moet die volgende oorwegings in ag neem:
Dit is noodsaaklik om toegangsbeheer te hersien namate rolle verander, veral tydens uitgange, om te voldoen aan Bylae A.7 Menslike Hulpbronsekuriteit.
Bespreek 'n 30 minute klets met ons en ons sal jou wys hoe
’n Algemene benadering tot beskerming is dié van minste toegang eerder as onbeperkte toegang en supergebruikerregte sonder noukeurige oorweging.
Gevolglik moet slegs aan gebruikers toegang verleen word netwerke en netwerkdienste vereis om hul verantwoordelikhede na te kom. Die beleid moet aanspreek; Die netwerke en netwerkdienste in omvang vir toegang; Magtigingsprosedures om te wys wie (rolgebaseerd) toegang tot wat en wanneer toegelaat word; en Bestuurskontroles en -prosedures om toegang te voorkom en dit te monitor in die geval van 'n voorval.
Aan boord en van boord af moet ook hierdie kwessie in ag neem, wat nou verband hou met die toegangsbeheerbeleid.
As 'n voorkomende beheer, verbeter Bylae A 5.15 'n organisasie se onderliggende vermoë om toegang tot data en bates te beheer.
'n Betonstel van kommersiële en inligtingsekuriteit behoeftes moet voorsien word voordat toegang tot hulpbronne toegestaan en gewysig kan word kragtens Bylae A Beheer 5.15.
ISO 27001 Bylae A 5.15 verskaf riglyne vir die fasilitering van veilige toegang tot data en die vermindering van die risiko van ongemagtigde toegang tot fisiese en virtuele netwerke.
Soos getoon in Bylae A 5.15, bestuurspersoneel oor verskeie dele van 'n organisasie moet 'n deeglike begrip handhaaf van watter hulpbronne toegang verkry moet word (bv. Benewens HR wat werknemers inlig oor hul werksrolle, wat hul RBAC-parameters dikteer, is toegangsregte uiteindelik 'n instandhoudingsfunksie wat deur netwerkadministrateurs beheer word.
'n Organisasie se Aanhangsel A 5.15 eienaarskap behoort by 'n lid van senior bestuur te berus wat oorkoepelende tegniese gesag het oor die maatskappy se domeine, subdomeine, toepassings, hulpbronne en bates. Dit kan die hoof van IT wees.
'n Onderwerpspesifieke benadering tot toegangsbeheer word vereis vir voldoening aan ISO 27001:2022 Bylae A Beheer 5.15 (meer algemeen bekend as 'n kwessie-spesifieke benadering).
Eerder as om te voldoen aan 'n algemene toegangsbeheerbeleid wat van toepassing is op hulpbron- en datatoegang regoor die organisasie, moedig onderwerpspesifieke benaderings organisasies aan om toegangsbeheerbeleide te skep wat op individuele besigheidsfunksies gerig is.
Oor alle onderwerpspesifieke gebiede vereis Bylae A Beheer 5.15 dat beleide rakende toegangsbeheer die 11 punte hieronder oorweeg. Sommige van hierdie riglyne oorvleuel met ander beleide.
As 'n riglyn moet organisasies die meegaande kontroles raadpleeg vir verdere inligting op 'n geval-tot-geval basis:
Volgens die aanvullende leiding noem ISO 27001:2022 Bylae A Beheer 5.15 (sonder om homself te beperk tot) vier verskillende tipes toegangsbeheer, wat breedweg soos volg geklassifiseer kan word:
Ons het bespreek dat toegangsbeheerreëls toegeken word aan verskeie entiteite (menslik en nie-menslik) wat binne 'n netwerk werk, wat rolle toegeken word wat hul algehele funksie bepaal.
By die definisie en uitvoering van jou organisasie se Toegangsbeheerbeleide, vra Bylae A 5.15 jou om die volgende vier faktore in ag te neem:
Volgens ISO 27001:2022 Bylae A Beheer 5.15 moet organisasies 'n gestruktureerde lys van verantwoordelikhede en dokumentasie ontwikkel en in stand hou. Daar is talle ooreenkomste tussen ISO 27001:2022 se hele lys van kontroles, met Bylae A 5.15 wat die mees relevante vereistes bevat:
Beheer 5.15 van Bylae A bied organisasies aansienlike vryheid om die fynheid van hul toegangsbeheerbeleide te spesifiseer.
Oor die algemeen raai ISO maatskappye aan om hul oordeel te gebruik oor hoe gedetailleerd 'n gegewe stel reëls op 'n werknemer-vir-werknemer-basis moet wees en hoeveel veranderlikes op 'n gegewe inligting toegepas moet word.
Spesifiek, Bylae A 5.15 erken dat hoe meer gedetailleerd 'n maatskappy se toegangsbeheerbeleide is, hoe groter is die koste en hoe meer uitdagend word die konsep van toegangsbeheer oor verskeie liggings, netwerktipes en toepassingsveranderlikes.
Toegangsbeheer, tensy dit versigtig bestuur word, kan baie vinnig handuit ruk. Dit is wys om toegangsbeheerreëls te vereenvoudig om te verseker dat dit makliker is om te bestuur en meer koste-effektief.
Bylae A 5.15 in 27001:2022 is 'n samevoeging van twee soortgelyke kontroles in 27001:2013 – Bylae A 9.1.1 (Toegangsbeheerbeleid) en Bylae A 9.1.2 (Toegang tot netwerke en netwerkdienste).
Die onderliggende temas van A.9.1.1 en A.9.1.2 is soortgelyk aan dié in Bylae A 5.15, behalwe vir 'n paar subtiele operasionele verskille.
Soos in 2022, hou beide beheermaatreëls verband met die administrasie van toegang tot inligting, bates en hulpbronne en werk dit volgens die beginsel van "need to know", waarin korporatiewe data hanteer word as 'n kommoditeit wat noukeurige bestuur en beskerming vereis.
Daar is 11 bestuursriglyne in 27001:2013 Bylae A 9.1.1, wat almal dieselfde algemene beginsels volg as 27001:2022 Bylae A Beheer 5.15 met 'n effens groter klem op omtreksekuriteit en fisiese sekuriteit.
Daar is oor die algemeen dieselfde implementeringsriglyne vir toegangsbeheer, maar die 2022-beheer bied baie meer bondige en praktiese leiding oor sy vier implementeringsriglyne.
Soos vermeld in ISO 27001 Bylae A 5.15, het verskeie vorme van toegangsbeheer oor die afgelope nege jaar na vore gekom (MAC, DAC, ABAC), terwyl in 27001:2013 Bylae A Beheer 9.1.1, die primêre metode van kommersiële toegangsbeheer op daardie stadium tyd was RBAC.
Die 2013-kontroles moet betekenisvolle riglyne bevat vir hoe 'n organisasie korreltoegangsbeheer moet benader in die lig van tegnologiese veranderinge wat organisasies van verbeterde beheer oor hul data voorsien.
Daarteenoor bied aanhangsel A 5.15 van 27001:2022 organisasies aansienlike buigsaamheid.
In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Organisatoriese kontroles | Bylae A 5.1 | Bylae A 5.1.1 Bylae A 5.1.2 | Beleide vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
Organisatoriese kontroles | Bylae A 5.8 | Bylae A 6.1.5 Bylae A 14.1.1 | Inligtingsekuriteit in projekbestuur |
Organisatoriese kontroles | Bylae A 5.9 | Bylae A 8.1.1 Bylae A 8.1.2 | Inventaris van inligting en ander geassosieerde bates |
Organisatoriese kontroles | Bylae A 5.10 | Bylae A 8.1.3 Bylae A 8.2.3 | Aanvaarbare gebruik van inligting en ander geassosieerde bates |
Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
Organisatoriese kontroles | Bylae A 5.14 | Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 | Inligtingsoordrag |
Organisatoriese kontroles | Bylae A 5.15 | Bylae A 9.1.1 Bylae A 9.1.2 | Toegangsbeheer |
Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
Organisatoriese kontroles | Bylae A 5.17 | Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 | Verifikasie inligting |
Organisatoriese kontroles | Bylae A 5.18 | Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 | Toegangsregte |
Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
Organisatoriese kontroles | Bylae A 5.22 | Bylae A 15.2.1 Bylae A 15.2.2 | Monitering, hersiening en veranderingsbestuur van verskafferdienste |
Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
Organisatoriese kontroles | Bylae A 5.29 | Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 | Inligtingsekuriteit tydens ontwrigting |
Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
Organisatoriese kontroles | Bylae A 5.31 | Bylae A 18.1.1 Bylae A 18.1.5 | Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.36 | Bylae A 18.2.2 Bylae A 18.2.3 | Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
Mense beheer | Bylae A 6.8 | Bylae A 16.1.2 Bylae A 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
Fisiese beheer | Bylae A 7.2 | Bylae A 11.1.2 Bylae A 11.1.6 | Fisiese toegang |
Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
Fisiese beheer | Bylae A 7.10 | Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 | Berging media |
Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Tegnologiese kontroles | Bylae A 8.1 | Bylae A 6.2.1 Bylae A 11.2.8 | Gebruikerseindpunttoestelle |
Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
Tegnologiese kontroles | Bylae A 8.8 | Bylae A 12.6.1 Bylae A 18.2.3 | Bestuur van Tegniese Kwesbaarhede |
Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
Tegnologiese kontroles | Bylae A 8.15 | Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 | Logging |
Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van bevoorregte nutsprogramme |
Tegnologiese kontroles | Bylae A 8.19 | Bylae A 12.5.1 Bylae A 12.6.2 | Installering van sagteware op bedryfstelsels |
Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
Tegnologiese kontroles | Bylae A 8.24 | Bylae A 10.1.1 Bylae A 10.1.2 | Gebruik van kriptografie |
Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
Tegnologiese kontroles | Bylae A 8.26 | Bylae A 14.1.2 Bylae A 14.1.3 | Toepassingsekuriteitsvereistes |
Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige stelselargitektuur en ingenieursbeginsels |
Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
Tegnologiese kontroles | Bylae A 8.29 | Bylae A 14.2.8 Bylae A 14.2.9 | Sekuriteitstoetsing in ontwikkeling en aanvaarding |
Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
Tegnologiese kontroles | Bylae A 8.31 | Bylae A 12.1.4 Bylae A 14.2.6 | Skeiding van ontwikkeling-, toets- en produksie-omgewings |
Tegnologiese kontroles | Bylae A 8.32 | Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 | Veranderings bestuur |
Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Bylae A 5.15 van ISO 27001:2022 is waarskynlik die klousule wat die meeste gepraat word in Bylae A, en sommige beweer dat dit die belangrikste is.
Jou inligtingsekuriteitbestuurstelsel (ISMS) het ten doel om te verseker dat die toepaslike mense toegang tot die korrekte inligting op die regte tyd het. Een van die sleutels tot sukses is om dit reg te kry, maar om dit verkeerd te doen, kan jou besigheid nadelig beïnvloed.
Oorweeg die scenario waar jy per ongeluk vertroulike werknemerinligting aan die verkeerde mense bekend gemaak het, soos wat almal in die organisasie betaal word.
As jy nie versigtig is nie, kan die gevolge om hierdie deel verkeerd te kry ernstig wees. Daarom is dit noodsaaklik om die tyd te neem om al die aspekte noukeurig te oorweeg voordat u voortgaan.
In hierdie verband, ons platform 'n ware bate kan wees. Dit is omdat dit die hele struktuur van ISO 27001 volg en jou toelaat om die inhoud wat ons vir jou verskaf aan te neem, aan te pas en te verryk, wat jou 'n aansienlike voorsprong gee.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo