ISO 27001:2022 Bylae A Beheer 5.16

Algemene riglyne oor ISO 27001:2022 Bylae A 5.16

Aanhangsel A 5.16-nakoming word bereik deur identiteitsgebaseerde prosedures duidelik in beleidsdokumente uit te druk en personeelnakoming op 'n daaglikse basis te monitor.

Ses prosedures word in Bylae A 5.16 gelys, om te verseker dat 'n organisasie aan die vereiste standaarde van infosec en kuberveiligheidsbestuur voldoen:

1. Wanneer 'n identiteit aan 'n persoon toegeken word, is daardie persoon die enigste een wat met daardie identiteit kan staaf en/of dit kan gebruik wanneer toegang tot netwerkhulpbronne verkry word.

Die bereiking van voldoening beteken dat IT-beleide duidelik moet bepaal dat gebruikers nie aanmeldinligting mag deel nie, of ander gebruikers moet toelaat om deur die netwerk te rondswerf deur enige ander identiteit as die een wat aan hulle gegee is, te gebruik.

2. In sommige gevalle kan dit nodig wees om 'n enkele identiteit aan verskeie mense toe te ken, ook bekend as 'n 'gedeelde identiteit'. Gebruik slegs hierdie benadering wanneer 'n eksplisiete stel operasionele vereistes nodig is.

Om voldoening te bereik, moet registrasie van gedeelde identiteite apart van enkelgebruikerregistrasie hanteer word, met 'n toegewyde goedkeuringsproses.

3. 'Nie-menslike' entiteite (enige identiteit wat nie aan 'n regte persoon gekoppel is nie) moet anders as gebruikergebaseerde identiteite behandel word by registrasie.

’n Nie-menslike identiteit moet ook sy eie goedkeuring- en registrasieproses hê, wat die fundamentele verskil erken tussen die toekenning van ’n identiteit aan ’n persoon en die toestaan ​​van een aan ’n bate, aansoek of toestel.

4. In die geval van 'n vertrek, oortollige bates of ander nie-vereiste identiteite, moet 'n netwerkadministrateur dit deaktiveer of heeltemal verwyder.

Die IT-afdeling moet gereelde oudits uitvoer om te bepaal watter identiteite gebruik word, en watter entiteite geskors of uitgevee kan word. Dit is belangrik vir MH-personeel om identiteitsbestuur in te sluit by uitstapprosedures, en om IT-personeel onmiddellik in te lig wanneer 'n verlaater vertrek.

5. Dit is noodsaaklik om duplikaat identiteite ten alle koste te vermy. 'n 'Een entiteit, een identiteit'-reël behoort deur alle organisasies gevolg te word.

Om daaraan te voldoen, moet IT-personeel verseker dat entiteite nie toegangsregte op grond van meer as een identiteit ontvang wanneer hulle rolle oor 'n netwerk toeken nie.

6. Identiteitsbestuur en verifikasie -inligting moet voldoende gedokumenteer word vir alle 'beduidende gebeurtenisse.

Dit is moontlik om die term 'beduidende gebeurtenis' anders te interpreteer, maar op 'n basiese vlak moet organisasies seker maak dat hul bestuursprosedures 'n omvattende lys van toegewysde identiteite op enige gegewe tydstip insluit, robuuste veranderingsversoekprotokolle met toepaslike goedkeuringsprosedures, en 'n goedgekeurde veranderingsversoekprotokol.

Bykomende aanvullende riglyne vir aanhangsel A 5.16

Wanneer 'n identiteit geskep word en dit toegang tot netwerkhulpbronne verleen, lys Bylae A 5.16 ook vier stappe wat besighede moet volg (wysiging of verwydering van toegangsregte word getoon in ISO 27001:2022 Bylae A 5.18):

1. Voordat jy 'n identiteit skep, stel 'n besigheidsgeval vas.

Elke keer wanneer 'n identiteit geskep word, word identiteitsbestuur eksponensieel meer uitdagend. Dit is raadsaam vir organisasies om slegs nuwe identiteite te skep wanneer dit duidelik nodig is.

2. Maak seker dat die entiteit (mens of nie-mens) aan wie 'n identiteit toegeken is, onafhanklik geverifieer is.

Identiteits- en toegangsbestuurprosedures moet verseker dat, sodra die besigheidsaak goedgekeur is, 'n individu of bate wat nuwe identiteite ontvang die vereiste magtiging het voordat 'n identiteit geskep word.

3. Die skep van 'n identiteit

Jou IT-personeel moet bou 'n identiteit in lyn met die besigheidsgeval vereistes, en dit moet beperk word tot wat in enige veranderingsversoekdokumentasie uiteengesit word.

4. Die finale konfigurasiestappe vir 'n identiteit

As die laaste stap in die proses word 'n identiteit aan elk van sy toegangsgebaseerde toestemmings en rolle (RBAC) sowel as enige verifikasiedienste wat vereis word, toegeken.

Wat is die veranderinge vanaf ISO 27001:2013?

Die ISO 27001: 2022 Bylae A 5.16 vervang ISO 27001:2013 A.9.2.1 (voorheen bekend as 'Gebruikersregistrasie en -deregistrasie').

Terwyl die twee kontroles 'n paar treffende ooreenkomste deel - hoofsaaklik in instandhoudingsprotokolle en die deaktivering van oortollige ID's - bevat Bylae A 5.16 'n omvattende stel riglyne wat handel oor identiteits- en toegangsbestuur as 'n geheel.

Bylae A 5.16 Menslike vs. Nie-menslike identiteite verduidelik

Daar is 'n paar verskille tussen die 2022-bylae en sy voorganger deurdat, ten spyte van verskille in registrasieprosesse, mense en nie-mense nie meer apart behandel word wanneer dit by algemene netwerkadministrasie kom nie.

Dit het meer algemeen geword in IT-bestuur en beste praktykriglyne om uitruilbaar oor menslike en nie-menslike identiteite te praat sedert die koms van moderne identiteits- en toegangsbestuur en Windows-gebaseerde RBAC-protokolle.

In Bylae A 9.2.1 van ISO 27001:2013 is daar geen riglyne oor hoe om nie-menslike identiteite te bestuur nie, en die teks is slegs gemoeid met die bestuur van wat dit 'Gebruiker ID's' noem (dws aanmeldinligting saam met 'n wagwoord wat gebruik word) om toegang tot 'n netwerk te verkry).

ISO 27001:2022 Bylae A 5.16 Dokumentasie

Bylae A 5.16 verskaf eksplisiete leiding oor beide die algemene sekuriteitsimplikasies van identiteitsbestuur, en hoe organisasies inligting moet opteken en verwerk voor die toekenning van identiteite, sowel as regdeur die lewensiklus van die identiteit.

Vergelykend noem ISO 27001:2013 A.9.2.1 slegs kortliks die IT-bestuursrol wat die administrasie van identiteite omring, en beperk homself tot die fisiese praktyk van identiteitsadministrasie.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.

Hoe ISMS.online jou help om Aanhangsel A 5.16 Voldoening te bereik

Solank jy jou sekuriteitsbestuurstelsel se prosesse opdateer om die verbeterde kontroles te weerspieël, sal jy aan ISO 27001:2022 voldoen. Dit kan deur ISMS.online hanteer word as jy nie die nodige hulpbronne in huis het nie.

Ons vereenvoudig ISO 27001:2022-implementering deur ons intuïtiewe werkvloei en gereedskap, insluitend raamwerke, beleide, kontroles, uitvoerbare dokumentasie en leiding. Met ons wolk-gebaseerde sagteware kan jy al jou ISMS oplossings op een plek.

Ons platform laat jou toe om die omvang van jou te definieer ISMS, identifiseer risiko's en implementeer beheermaatreëls maklik.

Om meer te wete te kom oor hoe ISMS.online jou kan help om jou ISO 27001-doelwitte te bereik, asseblief kontak vandag om 'n demonstrasie te bespreek.