ISO 27002:2022 – Beheer 5.18 – Toegangsregte

ISO 27002 Beheer 5.18 skets beste praktyke vir die bestuur van toegangsregte, om te verseker dat dit toegestaan, gewysig en herroep word op grond van besigheidsbehoeftes en sekuriteitsbeleide. Dit beklemtoon magtiging, skeiding van pligte, tydige herroeping en gereelde hersiening om ongemagtigde toegang te voorkom.

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 10 Februarie 2025
LinkedIn Twitter Twitter

Verseker veilige toegang: ISO 27002 Beheer 5.18 Verduidelik

Elke werknemer binne jou organisasie sal toegang tot sekere rekenaars, databasisse, inligtingstelsels en toepassings moet hê om hul take uit te voer.

Byvoorbeeld, terwyl mensehulpbronpersoneel dalk toegang tot sensitiewe gesondheidsdata van werknemers benodig, kan jou finansiële departement staatmaak op toegang tot en gebruik van databasisse wat werknemerssalarisbesonderhede bevat.

Hierdie toegangsregte moet egter verskaf, gewysig en herroep word in ooreenstemming met jou organisasie se toegangsbeheerbeleid en sy toegangskontroles sodat jy ongemagtigde toegang tot, wysiging van en vernietiging van inligtingsbates kan voorkom.

Byvoorbeeld, as jy versuim om die toegangsregte van 'n voormalige werknemer te herroep, kan daardie werknemer sensitiewe inligting steel.

Beheer 5.18 handel oor hoe organisasies toegangsregte moet toeken, wysig en herroep met inagneming van besigheidsvereistes.

Doel van beheer 5.18

Beheer 5.18 stel 'n organisasie in staat om toepaslike prosedures en kontroles daar te stel en te implementeer om toegangsregte tot inligtingstelsels toe te ken, te wysig en te herroep in ooreenstemming met die organisasie se toegangsbeheerbeleid en sy toegangskontroles.

Eienskappe van beheer 5.18

Beheer 5.18 is 'n voorkomende beheer wat vereis dat organisasies die risiko van ongemagtigde toegang tot inligtingstelsels uitskakel deur robuuste reëls, prosedures en kontroles in plek te stel.

beheer TipeEienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende#Vertroulikheid#Beskerm# Identiteit en toegangsbestuur#Beskerming
#Integriteit
#Beskikbaarheid


Kry 'n voorsprong van 81%.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


Eienaarskap van beheer 5.18

'n Inligtingsekuriteitsbeampte moet verantwoordelik wees om toepaslike reëls, prosesse en kontroles vir die voorsiening, wysiging en herroeping van toegangsregte tot inligtingstelsels daar te stel, te implementeer en te hersien.

Wanneer toegangsregte toegeken, gewysig en herroep word, moet die inligtingsekuriteitsbeampte besigheidsbehoeftes in ag neem en moet nou saamwerk met inligtingsbate-eienaars om te verseker dat reëls en prosesse nagekom word.

Riglyne oor die toekenning en herroeping van toegangsregte

Organisasies moet die volgende reëls en kontroles in die proses vir die toewysing en herroeping van toegangsregte aan 'n geverifieerde individu insluit:

  • Inligtingsbate-eienaar moet sy magtiging verskaf vir toegang tot en gebruik van relevante inligtingsbates. Verder moet organisasies dit ook oorweeg om afsonderlike goedkeuring van die bestuur te soek vir die toekenning van toegangsregte.
  • Besigheidsbehoeftes van die organisasie en sy beleid oor toegangsbeheer moet in ag geneem word.
  • Organisasies moet dit oorweeg om pligte te skei. Die goedkeuringstaak en die implementering van toegangsregte kan byvoorbeeld deur afsonderlike individue uitgevoer word.
  • Wanneer 'n individu nie meer toegang tot inligtingsbates benodig nie, veral wanneer hulle nie meer deel van die organisasie is nie, moet hul toegangsregte onmiddellik herroep word.
  • Personeel of ander personeel wat tydelik vir die organisasie werk, kan van tydelike toegangsregte voorsien word. Hierdie regte moet herroep word wanneer hulle nie meer vir die organisasie werk nie.
  • Vlak van toegang wat aan 'n individu verskaf word, moet in lyn wees met die organisasie se toegangsbeheerbeleid en moet gereeld hersien en geverifieer word. Verder moet dit ook in ooreenstemming wees met ander inligtingsekuriteitsvereistes soos skeiding van pligte soos uiteengesit in Beheer 5.3.
  • Organisasies moet verseker dat toegangsregte nie geaktiveer word totdat die toepaslike magtigingsprosedure voltooi is nie.
  • Toegangsregte wat aan elke individuele identifiseerder verskaf word, soos ID of fisies, moet op 'n sentrale toegangsbeheerbestuurstelsel aangemeld word en hierdie stelsel moet in stand gehou word.
  • As 'n individu se rol of pligte verander, moet hul vlak van toegangsregte opgedateer word.
  • Verwydering of wysiging van fisiese of logiese toegangsregte kan deur die volgende metodes uitgevoer word: Verwydering of vervanging van sleutels, ID-kaarte of stawinginligting.
  • Veranderinge aan 'n gebruiker se fisiese en logiese toegangsregte moet op 'n stelsel aangemeld word en moet in stand gehou word.


Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


Aanvullende leiding oor hersiening van toegangsregte

Fisiese en logiese toegangsregte moet periodieke hersiening deurgaan met inagneming van:

  • Veranderinge in elke gebruiker se toegangsregte nadat hulle bevorder of gedegradeer is binne dieselfde organisasie, of nadat hul diens beëindig is.
  • Magtigingsprosedure vir die toekenning van bevoorregte toegangsregte.

Riglyne oor verandering of beëindiging van diens

Voordat 'n werknemer bevorder of gedegradeer word binne dieselfde organisasie of wanneer sy/haar diens beëindig word, moet sy/haar toegangsregte tot inligtingverwerkingstelsels geëvalueer en gewysig word deur die volgende risikofaktore in ag te neem:

  • Of die beëindigingsproses deur die werknemer of deur die organisasie geïnisieer word en die rede vir beëindiging.
  • Huidige verantwoordelikhede van die werknemer binne die organisasie.
  • Kritiek en waarde van inligtingsbates wat vir die werknemer toeganklik is.

Aanvullende leiding

Organisasies moet dit oorweeg om gebruikerstoegangsrolle te vestig op grond van hul besigheidsvereistes. Hierdie rolle moet die tipes en aantal toegangsregte insluit wat aan elke gebruikergroep toegeken moet word.

Die skep van sulke rolle sal dit makliker maak om toegangsversoeke en regte te bestuur en te hersien.

Organisasies moet kontraktuele bepalings vir ongemagtigde toegang en sanksies vir sodanige toegang in hul diens-/dienskontrakte met hul personeel insluit. Dit moet in ooreenstemming met die kontroles 5.20, 6.2, 6.4 en 6.6 wees.

Organisasies moet versigtig wees teen ontevrede werknemers wat deur die bestuur afgelê word omdat hulle inligtingstelsels doelbewus kan beskadig.

Indien organisasies besluit om die kloningstegnieke te gebruik om toegangsregte toe te ken, moet hulle dit uitvoer op grond van afsonderlike rolle wat deur die organisasie vasgestel is.

Daar moet kennis geneem word dat kloning die inherente risiko inhou om buitensporige toegangsregte toe te staan.



Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/5.18 vervang 27002:2013/(9.2.2, 9.2.5, 9.2.6).

2022-weergawe bevat meer omvattende vereistes vir die toekenning en herroeping van toegangsregte

Alhoewel Beheer 9.2.2 in die 2013-weergawe ses vereistes gelys het vir die toekenning en herroeping van toegangsregte, stel Beheer 5.18 in 2022-weergawe drie nuwe vereistes in bykomend tot hierdie ses vereistes:

  • Personeel of ander personeel wat tydelik vir die organisasie werk, kan van tydelike toegangsregte voorsien word. Hierdie regte moet herroep word wanneer hulle nie meer werk vir die organisasie verrig nie.
  • Verwydering of wysiging van fisiese of logiese toegangsregte kan deur die volgende metodes uitgevoer word: Verwydering of vervanging van sleutels, ID-kaarte of stawinginligting.
  • Veranderinge aan 'n gebruiker se fisiese en logiese toegangsregte moet aangeteken en in stand gehou word.

2013-weergawe bevat meer gedetailleerde vereistes vir bevoorregte toegangsregte

Beheer 9.5 in weergawe 2013 het uitdruklik gestel dat organisasies die magtiging vir bevoorregte toegangsregte met meer gereelde tussenposes as ander toegangsregte moet hersien. Beheer 5.18 in Weergawe 2022 het inteendeel nie hierdie vereiste bevat nie.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.1208.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.1709.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISMS.online is 'n wolk-gebaseerde platform wat hulp bied om die ISO 2702-standaard doeltreffend en koste-effektief te implementeer.

Dit bied organisasies te alle tye maklike toegang tot bygewerkte inligting oor hul voldoeningstatus deur middel van sy gebruikersvriendelike dashboard-koppelvlak wat bestuurders in staat stel om hul vordering met die bereiking van voldoening vinnig en maklik te monitor.

Kontak vandag nog om bespreek 'n demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!