Elke werknemer binne jou organisasie sal toegang tot sekere rekenaars, databasisse, inligtingstelsels en toepassings moet hê om hul take uit te voer.
Byvoorbeeld, terwyl mensehulpbronpersoneel dalk toegang tot sensitiewe gesondheidsdata van werknemers benodig, kan jou finansiële departement staatmaak op toegang tot en gebruik van databasisse wat werknemerssalarisbesonderhede bevat.
Hierdie toegangsregte moet egter verskaf, gewysig en herroep word in ooreenstemming met jou organisasie se toegangsbeheerbeleid en sy toegangskontroles sodat jy ongemagtigde toegang tot, wysiging van en vernietiging van inligtingsbates kan voorkom.
Byvoorbeeld, as jy versuim om die toegangsregte van 'n voormalige werknemer te herroep, kan daardie werknemer sensitiewe inligting steel.
Beheer 5.18 handel oor hoe organisasies toegangsregte moet toeken, wysig en herroep met inagneming van besigheidsvereistes.
Beheer 5.18 stel 'n organisasie in staat om toepaslike prosedures en kontroles daar te stel en te implementeer om toegangsregte tot inligtingstelsels toe te ken, te wysig en te herroep in ooreenstemming met die organisasie se toegangsbeheerbeleid en sy toegangskontroles.
Beheer 5.18 is 'n voorkomende beheer wat vereis dat organisasies die risiko van ongemagtigde toegang tot inligtingstelsels uitskakel deur robuuste reëls, prosedures en kontroles in plek te stel.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | # Identiteit en toegangsbestuur | #Beskerming |
'n Inligtingsekuriteitsbeampte moet verantwoordelik wees om toepaslike reëls, prosesse en kontroles vir die voorsiening, wysiging en herroeping van toegangsregte tot inligtingstelsels daar te stel, te implementeer en te hersien.
Wanneer toegangsregte toegeken, gewysig en herroep word, moet die inligtingsekuriteitsbeampte besigheidsbehoeftes in ag neem en moet nou saamwerk met inligtingsbate-eienaars om te verseker dat reëls en prosesse nagekom word.
Organisasies moet die volgende reëls en kontroles in die proses vir die toewysing en herroeping van toegangsregte aan 'n geverifieerde individu insluit:
Fisiese en logiese toegangsregte moet periodieke hersiening deurgaan met inagneming van:
Voordat 'n werknemer bevorder of gedegradeer word binne dieselfde organisasie of wanneer sy/haar diens beëindig word, moet sy/haar toegangsregte tot inligtingverwerkingstelsels geëvalueer en gewysig word deur die volgende risikofaktore in ag te neem:
Organisasies moet dit oorweeg om gebruikerstoegangsrolle te vestig op grond van hul besigheidsvereistes. Hierdie rolle moet die tipes en aantal toegangsregte insluit wat aan elke gebruikergroep toegeken moet word.
Die skep van sulke rolle sal dit makliker maak om toegangsversoeke en regte te bestuur en te hersien.
Organisasies moet kontraktuele bepalings vir ongemagtigde toegang en sanksies vir sodanige toegang in hul diens-/dienskontrakte met hul personeel insluit. Dit moet in ooreenstemming met die kontroles 5.20, 6.2, 6.4 en 6.6 wees.
Organisasies moet versigtig wees teen ontevrede werknemers wat deur die bestuur afgelê word omdat hulle inligtingstelsels doelbewus kan beskadig.
Indien organisasies besluit om die kloningstegnieke te gebruik om toegangsregte toe te ken, moet hulle dit uitvoer op grond van afsonderlike rolle wat deur die organisasie vasgestel is.
Daar moet kennis geneem word dat kloning die inherente risiko inhou om buitensporige toegangsregte toe te staan.
27002:2022/5.18 vervang 27002:2013/(9.2.2, 9.2.5, 9.2.6).
Alhoewel Beheer 9.2.2 in die 2013-weergawe ses vereistes gelys het vir die toekenning en herroeping van toegangsregte, stel Beheer 5.18 in 2022-weergawe drie nuwe vereistes in bykomend tot hierdie ses vereistes:
Beheer 9.5 in weergawe 2013 het uitdruklik gestel dat organisasies die magtiging vir bevoorregte toegangsregte met meer gereelde tussenposes as ander toegangsregte moet hersien. Beheer 5.18 in Weergawe 2022 het inteendeel nie hierdie vereiste bevat nie.
ISMS.online is 'n wolk-gebaseerde platform wat hulp bied om die ISO 2702-standaard doeltreffend en koste-effektief te implementeer.
Dit bied organisasies te alle tye maklike toegang tot bygewerkte inligting oor hul voldoeningstatus deur middel van sy gebruikersvriendelike dashboard-koppelvlak wat bestuurders in staat stel om hul vordering met die bereiking van voldoening vinnig en maklik te monitor.
Kontak vandag nog om bespreek 'n demo.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |