Slaan oor na inhoud
ISMS.aanlyn

ISO 27002:2022 – Beheer 5.15 – Toegangsbeheer

Toegangsbeheer 5.15 beheer die maniere waarop menslike en nie-menslike entiteite op enige gegewe netwerk toegang tot data, IT-hulpbronne en toepassings verleen word.

skrywer
Sam Peters
Opgedateer Julie 25, 2025
4/5 sterre

Wat is die doel van beheer 5.15

Soos per die aanvullende leiding, noem Beheer 5.15 (maar beperk homself nie tot) vier verskillende tipes toegangsbeheer, wat breedweg soos volg geklassifiseer kan word:

  • Verpligte toegangsbeheer (MAC) – Toegang word sentraal bestuur deur 'n enigste sekuriteitsowerheid.
  • Diskresionêre toegangsbeheer (DAC) – Die teenoorgestelde metode van MAC, waar objekeienaars in staat is om voorregte aan ander gebruikers oor te dra.
  • Rolgebaseerde toegangsbeheer (RBAC) – Die mees algemene tipe kommersiële toegangsbeheer, gebaseer op voorafbepaalde werksfunksies en voorregte.
  • Eienskap-gebaseerde toegangsbeheer (ABAC) – Toegangsregte word aan gebruikers verleen deur die gebruik van beleide wat eienskappe saam kombineer.

5.15 is 'n voorkomende beheer wat risiko handhaaf deur 'n organisasie se onderliggende vermoë te verbeter om toegang tot data en bates te beheer.

5.15 is uitdruklik deur te stel dat toegang tot hulpbronne toegestaan ​​en gewysig moet word op grond van 'n konkrete stel kommersiële en inligtingsekuriteitsvereistes.

Organisasies moet 5.15 implementeer om veilige toegang tot data te fasiliteer, en die risiko van ongemagtigde toegang tot hul netwerk te verminder – hetsy dit fisies of virtueel is.

Eienskappe van beheer 5.15

beheer Tipe Eienskappe vir inligtingsekuriteit Kuberveiligheidskonsepte Operasionele vermoëns Sekuriteitsdomeine
#Voorkomende #Vertroulikheid #Beskerm # Identiteit en toegangsbestuur #Beskerming
#Integriteit
#Beskikbaarheid

Eienaarskap

Terwyl 5.15 staatmaak op bestuurspersoneel van verskeie dele van 'n organisasie wat 'n deeglike begrip handhaaf van wie toegang tot watter hulpbronne benodig (dws MH-inligting oor 'n werknemer se posrol, wat op sy beurt hul RBAC-parameters dikteer), is toegangsregte uiteindelik 'n instandhoudingsfunksie wat word beheer deur personeel met administratiewe regte oor enige gegewe netwerk.

As sodanig behoort eienaarskap van 5.15 by 'n lid senior bestuur te berus met oorkoepelende tegniese gesag oor 'n organisasie se domeine, subdomeine, toepassings, hulpbronne en bates, soos 'n IT-hoof.



ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

'n Voorsprong van 81% van dag een af

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin


Algemene leiding

Voldoening aan Beheer 5.15 behels die nakoming van wat bekend staan ​​as 'n 'onderwerpspesifieke' benadering na toegangsbeheer (meer algemeen bekend as 'n 'kwessie-spesifieke' benadering).

Onderwerpspesifieke benaderings moedig organisasies aan om Toegang te skep Beheer beleide wat aangepas is vir individuele besigheidsfunksies, eerder as om te voldoen aan 'n algemene toegangsbeheerbeleid wat van toepassing is op data- en hulpbrontoegang oor die hele linie.

Beheer 5.15 vereis toegangsbeheerbeleide oor alle onderwerpspesifieke areas om die volgende 11 riglyne in ag te neem. Sommige van die onderstaande leidingpunte kruis met verskeie ander kontroles, wat vir verwysing gelys word.

Organisasies moet hierdie meegaande beheermaatreëls op 'n geval-tot-geval basis raadpleeg vir verdere inligting.

Compliance – Dit word maklik bereik deur 'n akkurate rekord te hou van werksrolle en datatoegangsvereistes, wat in lyn is met jou organisasiestruktuur.

  • Die integriteit en sekuriteit van alle relevante toepassings (gekoppel aan Beheer 8.2)

Compliance – 'n Formele risiko-assessering uitgevoer kan word om die sekuriteitskenmerke van individuele toepassings te ondersoek.

  • Fisiese (werf) toegangskontroles (gekoppel met kontroles 7.2, 7.3 en 7.4)

Compliance – Jou organisasie moet kan demonstreer dat jy 'n robuuste stel gebou- en kamertoegangskontroles het, insluitend bestuurde toegangstelsels, sekuriteitsperimeters en besoekersprosedures, waar toepaslik.

  • 'n Maatskappywye "need to know"-beginsel, wanneer dit kom by inligtingverspreiding, sekuriteit en kategorisering (gekoppel aan 5.10, 5.12 en 5.13)

Compliance – Maatskappye moet voldoen aan streng beste-praktykbeleide wat nie algemene toegang tot data oor 'n organisasiekaart bied nie.

  • Verseker beperkings op bevoorregte toegangsregte (gekoppel aan 8.2)

Compliance – Datatoegangsregte bo en behalwe dié van 'n standaardgebruiker moet noukeurig wees gemonitor en geoudit.

  • Nakoming van enige heersende stukke wetgewing, sektorspesifieke regulatoriese riglyne of kontraktuele verpligtinge wat verband hou met datatoegang (gekoppel aan 5.31, 5.32, 5.33, 5.34 en 8.3)

Compliance – Organisasies pas hul eie Toegangsbeheerbeleide aan in ooreenstemming met enige eksterne verpligtinge wat hulle het met betrekking tot data-, bate- en hulpbrontoegang.

  • Toesig oor potensiële pligskonflik

Compliance – Beleide moet kontroles insluit wat 'n individu se vermoë uitskakel om 'n breër toegangsbeheerfunksie in gedrang te bring, gebaseer op hul eie vlakke van toegang (dws 'n werknemer wat die vermoë het om veranderinge aan 'n netwerk aan te vra, te magtig en te implementeer).

  • Die drie hooffunksies van 'n toegangsbeheerbeleid – versoeke, magtigings en administrasie – moet in isolasie aangespreek word

Compliance – Toegangsbeheerbeleide moet erken dat hoewel toegangsbeheer 'n selfstandige funksie is, dit uit 'n aantal individuele stappe bestaan ​​wat hul eie stel vereistes op 'n onderwerp-vir-onderwerp basis dra.

  • Toegangsversoeke moet op 'n gestruktureerde, formele wyse gedoen word (gekoppel aan 5.16 en 5.18)

Compliance – Organisasies moet 'n magtigingsproses implementeer wat formele, gedokumenteerde goedkeuring van 'n toepaslike personeellid vereis.

  • Deurlopende bestuur van toegangsregte (gekoppel aan 5.18)

Compliance – Data-integriteit en sekuriteitsomtreke moet gehandhaaf word deur 'n voortdurende siklus van periodieke oudits, HR-toesig (verlaters, ens.) en posspesifieke veranderinge (bv. departementele skuiwe en rolwysigings).

  • Handhawing van voldoende logs en beheer van toegang daartoe

Compliance – Organisasie moet data oor toegangsgebeure (bv. lêeraktiwiteit) insamel en stoor, tesame met beveiliging teen ongemagtigde toegang tot sekuriteitsgebeurtenislogboeke, en werk met 'n omvattende stel voorvalbestuur prosedures.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Riglyne oor die implementering van toegangsbeheerreëls

Soos ons bespreek het, word toegangsbeheerreëls toegeken aan verskeie entiteite (menslik en nie-menslik) wat op 'n gegewe netwerk bestaan, wat op hul beurt 'rolle' kry wat hul algehele vereistes dikteer.

Terwyl jou organisasie sy eie stel Toegangsbeheerbeleide definieer en instel, vra 5.15 jou om die volgende 4 punte in ag te neem:

  1. Verseker konsekwentheid tussen die toegangsreg en die soort data waarop dit van toepassing is.
  2. Verseker konsekwentheid tussen die toegangsreg, en die fisiese sekuriteitsvereistes van jou organisasie (omtrek, ens.).
  3. Waar jou organisasie funksioneer onder 'n verspreide rekenaaromgewing wat verskeie afsonderlike netwerke of stelle hulpbronne insluit (soos 'n wolk-gebaseerde omgewing), neem toegangsregte die implikasies van data wat oor 'n wye reeks netwerkdienste vervat is, in ag.
  4. Wees bedag op die implikasies rondom dinamiese toegangskontroles ('n fyn metode van toegang wat deur stelseladministrateurs geïmplementeer word tot 'n gedetailleerde stel veranderlikes).

Dokumentasie en Omskrewe Verantwoordelikhede

Beheer 5.15 is eksplisiet deur van organisasies te vereis om hulself met dokumentasie en 'n gestruktureerde lys van verantwoordelikhede besig te hou. ISO 27002 bevat talle soortgelyke vereistes oor sy hele lys kontroles – hier is die individuele kontroles wat die meeste relevant is vir 5.15:

dokumentasie

  • 5.16
  • 5.17
  • 5.18
  • 8.2
  • 8.3
  • 8.4
  • 8.5
  • 8.18

Verantwoordelikhede

  • 5.2
  • 5.17

korrelig

Beheer 5.15 gee organisasies 'n aansienlike mate van speelruimte wanneer dit kom by die keuse van die vlak van granulariteit vervat in hul toegangsbeheerreëls.

ISO raai maatskappye aan om hul eie oordeel uit te oefen oor hoe gedetailleerd 'n gegewe stel reëls op 'n werknemer-vir-werknemer-basis moet wees, en hoeveel toegangsveranderlikes op enige stukkie data toegepas word.

5.15 erken uitdruklik dat hoe meer gedetailleerd 'n maatskappy se Toegangsbeheerbeleide is, hoe groter is die koste en hoe moeiliker word die hele konsep van Toegangsbeheer oor verskeie liggings, netwerktipes en toepassingsveranderlikes.

Toegangsbeheer as 'n konsep, tensy dit noukeurig bestuur word, kan binnekort handuit ruk. Dit is byna altyd 'n goeie idee om toegangsbeheerreëls te vereenvoudig om dit makliker en meer koste-effektief te maak om te bestuur.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Veranderinge vanaf ISO 27002:2013

27002:2013/5.15 is 'n samevoeging van twee soortgelyke kontroles in 27002:2013 – 9.1.1 (Toegangsbeheerbeleid) en 9.1.2 (Toegang tot netwerke en netwerkdienste).

Oor die algemeen spreek beide 9.1.1 en 9.1.2 dieselfde onderliggende temas as 5.15 aan en volg breedweg dieselfde stel bestuursriglyne, met 'n paar subtiele operasionele verskille.

Beide die 2022- en 2013-kontroles handel oor die administrasie van toegang tot inligting, bates en hulpbronne en werk volgens 'n "need to know"-beginsel wat korporatiewe data as 'n kommoditeit hanteer wat noukeurig bestuur en beskerm moet word.

Al 27002:2013/9.1.1 se 11 beheerriglyne loop volgens dieselfde algemene lyne as wat in 27002:2013/5.15 gesien word, met laasgenoemde wat 'n effens groter klem op fisiese sekuriteit en omtreksekuriteit het.

Ondersteunende leiding oor die implementering van toegangsbeheer is in die algemeen dieselfde, maar die 2022-beheer doen 'n baie beter werk om bondige, praktiese leiding oor sy 4 implementeringsriglyne te bied.

Veranderinge in tipes toegangskontroles vanaf 9.1.1

5.15 erken die verskillende soorte toegangsbeheermetodes wat oor die afgelope 9 jaar na vore gekom het (MAC, DAC, ABAC), terwyl 27002:2013/9.1.1 sy leiding beperk tot RBAC – die mees algemene metode van kommersiële toegangsbeheer op daardie tydstip .

korrelig

In samehang met tegnologiese veranderinge wat organisasies groter beheer oor hul data bied, bevat nie een van die 2013-kontroles enige betekenisvolle rigting oor hoe 'n organisasie granulêre toegangsbeheer moet benader nie, terwyl 27002:2013/5.15 organisasies 'n aansienlike mate van speelruimte gee.

Nuwe ISO 27002-kontroles

Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.7 NUWE Bedreigingsintelligensie
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.30 NUWE IKT-gereedheid vir besigheidskontinuïteit
7.4 NUWE Fisiese sekuriteitsmonitering
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.16 NUWE Moniteringsaktiwiteite
8.23 NUWE Webfiltrering
8.28 NUWE Veilige kodering
Organisatoriese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.1 05.1.1, 05.1.2 Beleide vir inligtingsekuriteit
5.2 06.1.1 Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3 06.1.2 Skeiding van pligte
5.4 07.2.1 Bestuursverantwoordelikhede
5.5 06.1.3 Kontak met owerhede
5.6 06.1.4 Kontak met spesiale belangegroepe
5.7 NUWE Bedreigingsintelligensie
5.8 06.1.5, 14.1.1 Inligtingsekuriteit in projekbestuur
5.9 08.1.1, 08.1.2 Inventaris van inligting en ander verwante bates
5.10 08.1.3, 08.2.3 Aanvaarbare gebruik van inligting en ander verwante bates
5.11 08.1.4 Teruggawe van bates
5.12 08.2.1 Klassifikasie van inligting
5.13 08.2.2 Etikettering van inligting
5.14 13.2.1, 13.2.2, 13.2.3 Inligting oordrag
5.15 09.1.1, 09.1.2 Toegangsbeheer
5.16 09.2.1 Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3 Stawing inligting
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsregte
5.19 15.1.1 Inligtingsekuriteit in verskafferverhoudings
5.20 15.1.2 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21 15.1.3 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22 15.2.1, 15.2.2 Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.24 16.1.1 Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25 16.1.4 Assessering en besluit oor inligtingsekuriteitsgebeure
5.26 16.1.5 Reaksie op inligtingsekuriteitsvoorvalle
5.27 16.1.6 Leer uit inligtingsekuriteitvoorvalle
5.28 16.1.7 Insameling van bewyse
5.29 17.1.1, 17.1.2, 17.1.3 Inligtingsekuriteit tydens ontwrigting
5.30 5.30 IKT-gereedheid vir besigheidskontinuïteit
5.31 18.1.1, 18.1.5 Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32 18.1.2 Intellektuele eiendomsregte
5.33 18.1.3 Beskerming van rekords
5.34 18.1.4 Privaatheid en beskerming van PII
5.35 18.2.1 Onafhanklike hersiening van inligtingsekuriteit
5.36 18.2.2, 18.2.3 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37 12.1.1 Gedokumenteerde bedryfsprosedures
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
6.1 07.1.1 Screening
6.2 07.1.2 Terme en diensvoorwaardes
6.3 07.2.2 Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4 07.2.3 Dissiplinêre proses
6.5 07.3.1 Verantwoordelikhede na beëindiging of verandering van diens
6.6 13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7 06.2.2 Afstand werk
6.8 16.1.2, 16.1.3 Rapportering van inligtingsekuriteitsgebeurtenisse
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
7.1 11.1.1 Fisiese sekuriteit omtrek
7.2 11.1.2, 11.1.6 Fisiese toegang
7.3 11.1.3 Beveiliging van kantore, kamers en fasiliteite
7.4 NUWE Fisiese sekuriteitsmonitering
7.5 11.1.4 Beskerming teen fisiese en omgewingsbedreigings
7.6 11.1.5 Werk in veilige areas
7.7 11.2.9 Duidelike lessenaar en duidelike skerm
7.8 11.2.1 Toerusting plaas en beskerming
7.9 11.2.6 Sekuriteit van bates buite die perseel
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Berging media
7.11 11.2.2 Ondersteunende nutsprogramme
7.12 11.2.3 Bekabeling sekuriteit
7.13 11.2.4 Onderhoud van toerusting
7.14 11.2.7 Veilige wegdoening of hergebruik van toerusting
Tegnologiese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
8.1 06.2.1, 11.2.8 Gebruikerseindpunttoestelle
8.2 09.2.3 Bevoorregte toegangsregte
8.3 09.4.1 Beperking van toegang tot inligting
8.4 09.4.5 Toegang tot bronkode
8.5 09.4.2 Veilige verifikasie
8.6 12.1.3 Kapasiteitsbestuur
8.7 12.2.1 Beskerming teen wanware
8.8 12.6.1, 18.2.3 Bestuur van tegniese kwesbaarhede
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.13 12.3.1 Rugsteun van inligting
8.14 17.2.1 Oortolligheid van inligtingverwerkingsfasiliteite
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NUWE Moniteringsaktiwiteite
8.17 12.4.4 Klok sinchronisasie
8.18 09.4.4 Gebruik van bevoorregte nutsprogramme
8.19 12.5.1, 12.6.2 Installering van sagteware op bedryfstelsels
8.20 13.1.1 Netwerk sekuriteit
8.21 13.1.2 Sekuriteit van netwerkdienste
8.22 13.1.3 Segregasie van netwerke
8.23 NUWE Webfiltrering
8.24 10.1.1, 10.1.2 Gebruik van kriptografie
8.25 14.2.1 Veilige ontwikkeling lewensiklus
8.26 14.1.2, 14.1.3 Aansoek sekuriteit vereistes
8.27 14.2.5 Veilige stelselargitektuur en ingenieursbeginsels
8.28 NUWE Veilige kodering
8.29 14.2.8, 14.2.9 Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30 14.2.7 Uitgekontrakteerde ontwikkeling
8.31 12.1.4, 14.2.6 Skeiding van ontwikkeling, toets en produksie omgewings
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Veranderings bestuur
8.33 14.3.1 Toets inligting
8.34 12.7.1 Beskerming van inligtingstelsels tydens oudittoetsing

Sam Peters

Sam is hoofprodukbeampte by ISMS.online en lei die ontwikkeling van alle produkkenmerke en -funksionaliteit. Sam is 'n kenner op baie gebiede van voldoening en werk saam met kliënte aan enige maat- of grootskaalse projekte.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platformdashboard vol op kristal

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Herfs 2025
Hoëpresteerder, Klein Besigheid - Herfs 2025 VK
Streekleier - Herfs 2025 Europa
Streekleier - Herfs 2025 EMEA
Streekleier - Herfs 2025 VK
Hoë Presteerder - Herfs 2025 Europa Middelmark

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.