Die hersiene ISO 27001:2022 Bylae A 5.16 Identiteitsbestuur vestig 'n raamwerk vir die goedkeuring, registrasie en administrasie van menslike en nie-menslike identiteite op enige netwerk – gedefinieer as die “volle lewensiklus.
Rekenaarnetwerke gebruik identiteite om die onderliggende vermoë van 'n entiteit ('n gebruiker, groep gebruikers, toestel of IT-bate) te identifiseer om toegang tot 'n stel hardeware- en sagtewarebronne te verkry.
Die doel van Bylae A 5.16 is om te beskryf hoe 'n organisasie kan identifiseer wie (gebruikers, groepe gebruikers) of wat (toepassings, stelsels en toestelle) verkry toegang tot data of IT-bates op enige gegewe oomblik, en hoe aan daardie identiteite toegangsregte verleen word.
As 'n voorkomende maatreël, het Bylae A 5.16 ten doel om risiko handhaaf deur die hoofomtrek vas te stel vir alle verwante inligtingsekuriteit en kubersekuriteitsbedrywighede, sowel as die primêre wyse van bestuur wat 'n organisasie se Identiteit- en Toegangsbestuurproses bepaal.
Met inagneming van ISO 27001:2022 Bylae A 5.16 dien as 'n primêr instandhoudingsfunksie, moet eienaarskap gegee word aan IT-personeel met globale administrateurregte (of ekwivalent vir nie-Windows-infrastruktuur).
Benewens ander ingeboude rolle wat gebruikers toelaat om identiteite te bestuur (soos Domeinadministrateur), moet Bylae A 5.16 besit word deur die individu wat verantwoordelik is vir die hele netwerk van die organisasie, insluitend alle subdomeine en Active Directory-huurders.
Aanhangsel A 5.16-nakoming word bereik deur identiteitsgebaseerde prosedures duidelik in beleidsdokumente uit te druk en personeelnakoming op 'n daaglikse basis te monitor.
Ses prosedures word in Bylae A 5.16 gelys, om te verseker dat 'n organisasie aan die vereiste standaarde van infosec en kuberveiligheidsbestuur voldoen:
Die bereiking van voldoening beteken dat IT-beleide duidelik moet bepaal dat gebruikers nie aanmeldinligting mag deel nie, of ander gebruikers moet toelaat om deur die netwerk te rondswerf deur enige ander identiteit as die een wat aan hulle gegee is, te gebruik.
Om voldoening te bereik, moet registrasie van gedeelde identiteite apart van enkelgebruikerregistrasie hanteer word, met 'n toegewyde goedkeuringsproses.
’n Nie-menslike identiteit moet ook sy eie goedkeuring- en registrasieproses hê, wat die fundamentele verskil erken tussen die toekenning van ’n identiteit aan ’n persoon en die toestaan van een aan ’n bate, aansoek of toestel.
Die IT-afdeling moet gereelde oudits uitvoer om te bepaal watter identiteite gebruik word, en watter entiteite geskors of uitgevee kan word. Dit is belangrik vir MH-personeel om identiteitsbestuur in te sluit by uitstapprosedures, en om IT-personeel onmiddellik in te lig wanneer 'n verlaater vertrek.
Om daaraan te voldoen, moet IT-personeel verseker dat entiteite nie toegangsregte op grond van meer as een identiteit ontvang wanneer hulle rolle oor 'n netwerk toeken nie.
Dit is moontlik om die term 'beduidende gebeurtenis' anders te interpreteer, maar op 'n basiese vlak moet organisasies seker maak dat hul bestuursprosedures 'n omvattende lys van toegewysde identiteite op enige gegewe tydstip insluit, robuuste veranderingsversoekprotokolle met toepaslike goedkeuringsprosedures, en 'n goedgekeurde veranderingsversoekprotokol.
Wanneer 'n identiteit geskep word en dit toegang tot netwerkhulpbronne verleen, lys Bylae A 5.16 ook vier stappe wat besighede moet volg (wysiging of verwydering van toegangsregte word getoon in ISO 27001:2022 Bylae A 5.18):
Elke keer wanneer 'n identiteit geskep word, word identiteitsbestuur eksponensieel meer uitdagend. Dit is raadsaam vir organisasies om slegs nuwe identiteite te skep wanneer dit duidelik nodig is.
Identiteits- en toegangsbestuurprosedures moet verseker dat, sodra die besigheidsaak goedgekeur is, 'n individu of bate wat nuwe identiteite ontvang die vereiste magtiging het voordat 'n identiteit geskep word.
Jou IT-personeel moet bou 'n identiteit in lyn met die besigheidsgeval vereistes, en dit moet beperk word tot wat in enige veranderingsversoekdokumentasie uiteengesit word.
As die laaste stap in die proses word 'n identiteit aan elk van sy toegangsgebaseerde toestemmings en rolle (RBAC) sowel as enige verifikasiedienste wat vereis word, toegeken.
Die ISO 27001: 2022 Bylae A 5.16 vervang ISO 27001:2013 A.9.2.1 (voorheen bekend as 'Gebruikersregistrasie en -deregistrasie').
Terwyl die twee kontroles 'n paar treffende ooreenkomste deel - hoofsaaklik in instandhoudingsprotokolle en die deaktivering van oortollige ID's - bevat Bylae A 5.16 'n omvattende stel riglyne wat handel oor identiteits- en toegangsbestuur as 'n geheel.
Daar is 'n paar verskille tussen die 2022-bylae en sy voorganger deurdat, ten spyte van verskille in registrasieprosesse, mense en nie-mense nie meer apart behandel word wanneer dit by algemene netwerkadministrasie kom nie.
Dit het meer algemeen geword in IT-bestuur en beste praktykriglyne om uitruilbaar oor menslike en nie-menslike identiteite te praat sedert die koms van moderne identiteits- en toegangsbestuur en Windows-gebaseerde RBAC-protokolle.
In Bylae A 9.2.1 van ISO 27001:2013 is daar geen riglyne oor hoe om nie-menslike identiteite te bestuur nie, en die teks is slegs gemoeid met die bestuur van wat dit 'Gebruiker ID's' noem (dws aanmeldinligting saam met 'n wagwoord wat gebruik word) om toegang tot 'n netwerk te verkry).
Bylae A 5.16 verskaf eksplisiete leiding oor beide die algemene sekuriteitsimplikasies van identiteitsbestuur, en hoe organisasies inligting moet opteken en verwerk voor die toekenning van identiteite, sowel as regdeur die lewensiklus van die identiteit.
Vergelykend noem ISO 27001:2013 A.9.2.1 slegs kortliks die IT-bestuursrol wat die administrasie van identiteite omring, en beperk homself tot die fisiese praktyk van identiteitsadministrasie.
In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Organisatoriese kontroles | Bylae A 5.1 | Bylae A 5.1.1 Bylae A 5.1.2 | Beleide vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
Organisatoriese kontroles | Bylae A 5.8 | Bylae A 6.1.5 Bylae A 14.1.1 | Inligtingsekuriteit in projekbestuur |
Organisatoriese kontroles | Bylae A 5.9 | Bylae A 8.1.1 Bylae A 8.1.2 | Inventaris van inligting en ander geassosieerde bates |
Organisatoriese kontroles | Bylae A 5.10 | Bylae A 8.1.3 Bylae A 8.2.3 | Aanvaarbare gebruik van inligting en ander geassosieerde bates |
Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
Organisatoriese kontroles | Bylae A 5.14 | Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 | Inligtingsoordrag |
Organisatoriese kontroles | Bylae A 5.15 | Bylae A 9.1.1 Bylae A 9.1.2 | Toegangsbeheer |
Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
Organisatoriese kontroles | Bylae A 5.17 | Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 | Verifikasie inligting |
Organisatoriese kontroles | Bylae A 5.18 | Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 | Toegangsregte |
Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
Organisatoriese kontroles | Bylae A 5.22 | Bylae A 15.2.1 Bylae A 15.2.2 | Monitering, hersiening en veranderingsbestuur van verskafferdienste |
Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
Organisatoriese kontroles | Bylae A 5.29 | Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 | Inligtingsekuriteit tydens ontwrigting |
Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
Organisatoriese kontroles | Bylae A 5.31 | Bylae A 18.1.1 Bylae A 18.1.5 | Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.36 | Bylae A 18.2.2 Bylae A 18.2.3 | Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
Mense beheer | Bylae A 6.8 | Bylae A 16.1.2 Bylae A 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
Fisiese beheer | Bylae A 7.2 | Bylae A 11.1.2 Bylae A 11.1.6 | Fisiese toegang |
Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
Fisiese beheer | Bylae A 7.10 | Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 | Berging media |
Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Tegnologiese kontroles | Bylae A 8.1 | Bylae A 6.2.1 Bylae A 11.2.8 | Gebruikerseindpunttoestelle |
Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
Tegnologiese kontroles | Bylae A 8.8 | Bylae A 12.6.1 Bylae A 18.2.3 | Bestuur van Tegniese Kwesbaarhede |
Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
Tegnologiese kontroles | Bylae A 8.15 | Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 | Logging |
Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van bevoorregte nutsprogramme |
Tegnologiese kontroles | Bylae A 8.19 | Bylae A 12.5.1 Bylae A 12.6.2 | Installering van sagteware op bedryfstelsels |
Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
Tegnologiese kontroles | Bylae A 8.24 | Bylae A 10.1.1 Bylae A 10.1.2 | Gebruik van kriptografie |
Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
Tegnologiese kontroles | Bylae A 8.26 | Bylae A 14.1.2 Bylae A 14.1.3 | Toepassingsekuriteitsvereistes |
Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige stelselargitektuur en ingenieursbeginsels |
Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
Tegnologiese kontroles | Bylae A 8.29 | Bylae A 14.2.8 Bylae A 14.2.9 | Sekuriteitstoetsing in ontwikkeling en aanvaarding |
Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
Tegnologiese kontroles | Bylae A 8.31 | Bylae A 12.1.4 Bylae A 14.2.6 | Skeiding van ontwikkeling-, toets- en produksie-omgewings |
Tegnologiese kontroles | Bylae A 8.32 | Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 | Veranderings bestuur |
Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Solank jy jou sekuriteitsbestuurstelsel se prosesse opdateer om die verbeterde kontroles te weerspieël, sal jy aan ISO 27001:2022 voldoen. Dit kan deur ISMS.online hanteer word as jy nie die nodige hulpbronne in huis het nie.
Ons vereenvoudig ISO 27001:2022-implementering deur ons intuïtiewe werkvloei en gereedskap, insluitend raamwerke, beleide, kontroles, uitvoerbare dokumentasie en leiding. Met ons wolk-gebaseerde sagteware kan jy al jou ISMS oplossings op een plek.
Ons platform laat jou toe om die omvang van jou te definieer ISMS, identifiseer risiko's en implementeer beheermaatreëls maklik.
Om meer te wete te kom oor hoe ISMS.online jou kan help om jou ISO 27001-doelwitte te bereik, asseblief kontak vandag om 'n demonstrasie te bespreek.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo