ISO 27002:2022, Beheer 5.18 - Toegangsregte

ISO 27002:2022 – Beheer 5.18 – Toegangsregte

ISO 27002 Beheer 5.18 skets beste praktyke vir die bestuur van toegangsregte, om te verseker dat dit toegestaan, gewysig en herroep word op grond van besigheidsbehoeftes en sekuriteitsbeleide. Dit beklemtoon magtiging, skeiding van pligte, tydige herroeping en gereelde hersiening om ongemagtigde toegang te voorkom.

Verseker veilige toegang: ISO 27002 Beheer 5.18 Verduidelik

Elke werknemer binne jou organisasie sal toegang tot sekere rekenaars, databasisse, inligtingstelsels en toepassings moet hê om hul take uit te voer.

Byvoorbeeld, terwyl mensehulpbronpersoneel dalk toegang tot sensitiewe gesondheidsdata van werknemers benodig, kan jou finansiële departement staatmaak op toegang tot en gebruik van databasisse wat werknemerssalarisbesonderhede bevat.

Hierdie toegangsregte moet egter verskaf, gewysig en herroep word in ooreenstemming met jou organisasie se toegangsbeheerbeleid en sy toegangskontroles sodat jy ongemagtigde toegang tot, wysiging van en vernietiging van inligtingsbates kan voorkom.

Byvoorbeeld, as jy versuim om die toegangsregte van 'n voormalige werknemer te herroep, kan daardie werknemer sensitiewe inligting steel.

Beheer 5.18 handel oor hoe organisasies toegangsregte moet toeken, wysig en herroep met inagneming van besigheidsvereistes.

Doel van beheer 5.18

Beheer 5.18 stel 'n organisasie in staat om toepaslike prosedures en kontroles daar te stel en te implementeer om toegangsregte tot inligtingstelsels toe te ken, te wysig en te herroep in ooreenstemming met die organisasie se toegangsbeheerbeleid en sy toegangskontroles.

Eienskappe van beheer 5.18

Beheer 5.18 is 'n voorkomende beheer wat vereis dat organisasies die risiko van ongemagtigde toegang tot inligtingstelsels uitskakel deur robuuste reëls, prosedures en kontroles in plek te stel.

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Vertroulikheid	#Beskerm	# Identiteit en toegangsbestuur	#Beskerming
	#Integriteit
	#Beskikbaarheid

ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin

Eienaarskap van beheer 5.18

'n Inligtingsekuriteitsbeampte moet verantwoordelik wees om toepaslike reëls, prosesse en kontroles vir die voorsiening, wysiging en herroeping van toegangsregte tot inligtingstelsels daar te stel, te implementeer en te hersien.

Wanneer toegangsregte toegeken, gewysig en herroep word, moet die inligtingsekuriteitsbeampte besigheidsbehoeftes in ag neem en moet nou saamwerk met inligtingsbate-eienaars om te verseker dat reëls en prosesse nagekom word.

Riglyne oor die toekenning en herroeping van toegangsregte

Organisasies moet die volgende reëls en kontroles in die proses vir die toewysing en herroeping van toegangsregte aan 'n geverifieerde individu insluit:

Inligtingsbate-eienaar moet sy magtiging verskaf vir toegang tot en gebruik van relevante inligtingsbates. Verder moet organisasies dit ook oorweeg om afsonderlike goedkeuring van die bestuur te soek vir die toekenning van toegangsregte.
Besigheidsbehoeftes van die organisasie en sy beleid oor toegangsbeheer moet in ag geneem word.
Organisasies moet dit oorweeg om pligte te skei. Die goedkeuringstaak en die implementering van toegangsregte kan byvoorbeeld deur afsonderlike individue uitgevoer word.
Wanneer 'n individu nie meer toegang tot inligtingsbates benodig nie, veral wanneer hulle nie meer deel van die organisasie is nie, moet hul toegangsregte onmiddellik herroep word.
Personeel of ander personeel wat tydelik vir die organisasie werk, kan van tydelike toegangsregte voorsien word. Hierdie regte moet herroep word wanneer hulle nie meer vir die organisasie werk nie.
Vlak van toegang wat aan 'n individu verskaf word, moet in lyn wees met die organisasie se toegangsbeheerbeleid en moet gereeld hersien en geverifieer word. Verder moet dit ook in ooreenstemming wees met ander inligtingsekuriteitsvereistes soos skeiding van pligte soos uiteengesit in Beheer 5.3.
Organisasies moet verseker dat toegangsregte nie geaktiveer word totdat die toepaslike magtigingsprosedure voltooi is nie.
Toegangsregte wat aan elke individuele identifiseerder verskaf word, soos ID of fisies, moet op 'n sentrale toegangsbeheerbestuurstelsel aangemeld word en hierdie stelsel moet in stand gehou word.
As 'n individu se rol of pligte verander, moet hul vlak van toegangsregte opgedateer word.
Verwydering of wysiging van fisiese of logiese toegangsregte kan deur die volgende metodes uitgevoer word: Verwydering of vervanging van sleutels, ID-kaarte of stawinginligting.
Veranderinge aan 'n gebruiker se fisiese en logiese toegangsregte moet op 'n stelsel aangemeld word en moet in stand gehou word.

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo

Aanvullende leiding oor hersiening van toegangsregte

Fisiese en logiese toegangsregte moet periodieke hersiening deurgaan met inagneming van:

Veranderinge in elke gebruiker se toegangsregte nadat hulle bevorder of gedegradeer is binne dieselfde organisasie, of nadat hul diens beëindig is.
Magtigingsprosedure vir die toekenning van bevoorregte toegangsregte.

Riglyne oor verandering of beëindiging van diens

Voordat 'n werknemer bevorder of gedegradeer word binne dieselfde organisasie of wanneer sy/haar diens beëindig word, moet sy/haar toegangsregte tot inligtingverwerkingstelsels geëvalueer en gewysig word deur die volgende risikofaktore in ag te neem:

Of die beëindigingsproses deur die werknemer of deur die organisasie geïnisieer word en die rede vir beëindiging.
Huidige verantwoordelikhede van die werknemer binne die organisasie.
Kritiek en waarde van inligtingsbates wat vir die werknemer toeganklik is.

Aanvullende leiding

Organisasies moet dit oorweeg om gebruikerstoegangsrolle te vestig op grond van hul besigheidsvereistes. Hierdie rolle moet die tipes en aantal toegangsregte insluit wat aan elke gebruikergroep toegeken moet word.

Die skep van sulke rolle sal dit makliker maak om toegangsversoeke en regte te bestuur en te hersien.

Organisasies moet kontraktuele bepalings vir ongemagtigde toegang en sanksies vir sodanige toegang in hul diens-/dienskontrakte met hul personeel insluit. Dit moet in ooreenstemming met die kontroles 5.20, 6.2, 6.4 en 6.6 wees.

Organisasies moet versigtig wees teen ontevrede werknemers wat deur die bestuur afgelê word omdat hulle inligtingstelsels doelbewus kan beskadig.

Indien organisasies besluit om die kloningstegnieke te gebruik om toegangsregte toe te ken, moet hulle dit uitvoer op grond van afsonderlike rolle wat deur die organisasie vasgestel is.

Daar moet kennis geneem word dat kloning die inherente risiko inhou om buitensporige toegangsregte toe te staan.

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/5.18 vervang 27002:2013/(9.2.2, 9.2.5, 9.2.6).

2022-weergawe bevat meer omvattende vereistes vir die toekenning en herroeping van toegangsregte

Alhoewel Beheer 9.2.2 in die 2013-weergawe ses vereistes gelys het vir die toekenning en herroeping van toegangsregte, stel Beheer 5.18 in 2022-weergawe drie nuwe vereistes in bykomend tot hierdie ses vereistes:

Personeel of ander personeel wat tydelik vir die organisasie werk, kan van tydelike toegangsregte voorsien word. Hierdie regte moet herroep word wanneer hulle nie meer werk vir die organisasie verrig nie.
Verwydering of wysiging van fisiese of logiese toegangsregte kan deur die volgende metodes uitgevoer word: Verwydering of vervanging van sleutels, ID-kaarte of stawinginligting.
Veranderinge aan 'n gebruiker se fisiese en logiese toegangsregte moet aangeteken en in stand gehou word.

2013-weergawe bevat meer gedetailleerde vereistes vir bevoorregte toegangsregte

Beheer 9.5 in weergawe 2013 het uitdruklik gestel dat organisasies die magtiging vir bevoorregte toegangsregte met meer gereelde tussenposes as ander toegangsregte moet hersien. Beheer 5.18 in Weergawe 2022 het inteendeel nie hierdie vereiste bevat nie.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	NUWE	Bedreigingsintelligensie
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	NUWE	IKT-gereedheid vir besigheidskontinuïteit
7.4	NUWE	Fisiese sekuriteitsmonitering
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.16	NUWE	Moniteringsaktiwiteite
8.23	NUWE	Webfiltrering
8.28	NUWE	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	NUWE	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	5.30	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	NUWE	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NUWE	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	NUWE	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	NUWE	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISMS.online is 'n wolk-gebaseerde platform wat hulp bied om die ISO 2702-standaard doeltreffend en koste-effektief te implementeer.

Dit bied organisasies te alle tye maklike toegang tot bygewerkte inligting oor hul voldoeningstatus deur middel van sy gebruikersvriendelike dashboard-koppelvlak wat bestuurders in staat stel om hul vordering met die bereiking van voldoening vinnig en maklik te monitor.

Kontak vandag nog om bespreek 'n demo.

Ons is 'n leier in ons veld