De herziene ISO 27001:2022 Bijlage A 5.16 Identiteitsbeheer vormt een raamwerk voor het goedkeuren, registreren en beheren van menselijke en niet-menselijke identiteiten op elk netwerk – gedefinieerd als de “volledige levenscyclus.
Computernetwerken gebruiken identiteiten om het onderliggende vermogen van een entiteit (een gebruiker, groep gebruikers, apparaat of IT-middel) te identificeren om toegang te krijgen tot een reeks hardware- en softwarebronnen.
Het doel van bijlage A 5.16 is te beschrijven hoe een organisatie kan identificeren wie (gebruikers, groepen gebruikers) of wat (toepassingen, systemen en apparaten) op een bepaald moment toegang heeft tot gegevens of IT-middelen, en hoe deze identiteiten toegangsrechten krijgen.
Als preventieve maatregel heeft bijlage A 5.16 tot doel risico behouden door het vaststellen van de hoofdperimeter voor alle daarmee samenhangende informatiebeveiliging en cyberbeveiligingsoperaties, evenals de primaire wijze van bestuur die het identiteits- en toegangsbeheerproces van een organisatie bepaalt.
Aangezien ISO 27001:2022 bijlage A 5.16 in de eerste plaats dient als onderhoudsfunctie, moet het eigendom worden overgedragen aan IT-personeel met Global Administrator-rechten (of gelijkwaardig voor niet-Windows-infrastructuur).
Naast andere ingebouwde rollen waarmee gebruikers identiteiten kunnen beheren (zoals Domeinbeheerder), moet Bijlage A 5.16 eigendom zijn van de persoon die verantwoordelijk is voor het gehele netwerk van de organisatie, inclusief alle subdomeinen en Active Directory-tenants.
Naleving van bijlage A 5.16 wordt bereikt door op identiteit gebaseerde procedures helder uit te drukken in beleidsdocumenten en door dagelijks toezicht te houden op de naleving door het personeel.
In bijlage A 5.16 zijn zes procedures opgesomd om ervoor te zorgen dat een organisatie voldoet aan de vereiste normen op het gebied van infosec en cybersecurity-governance:
Het bereiken van compliance betekent dat het IT-beleid duidelijk moet bepalen dat gebruikers geen inloggegevens mogen delen, of andere gebruikers mogen toestaan op het netwerk te zwerven met een andere identiteit dan de identiteit die zij hebben gekregen.
Om naleving te bereiken moet de registratie van gedeelde identiteiten afzonderlijk worden afgehandeld van de registratie van één gebruiker, met een speciaal goedkeuringsproces.
Een niet-menselijke identiteit moet ook een eigen goedkeurings- en registratieproces hebben, waarbij het fundamentele verschil wordt erkend tussen het toekennen van een identiteit aan een persoon en het toekennen van een identiteit aan een asset, applicatie of apparaat.
De IT-afdeling moet regelmatig audits uitvoeren om te bepalen welke identiteiten worden gebruikt en welke entiteiten kunnen worden opgeschort of verwijderd. Het is belangrijk voor HR-personeel om identiteitsbeheer op te nemen in offboarding-procedures, en om IT-personeel onmiddellijk te informeren wanneer een vertrekkende medewerker vertrekt.
Om hieraan te voldoen moet IT-personeel ervoor zorgen dat entiteiten geen toegangsrechten krijgen op basis van meer dan één identiteit bij het toewijzen van rollen binnen een netwerk.
Het is mogelijk om de term ‘significante gebeurtenis’ anders te interpreteren, maar op een fundamenteel niveau moeten organisaties ervoor zorgen dat hun governance-procedures op elk moment een uitgebreide lijst van toegewezen identiteiten omvatten, robuuste protocollen voor wijzigingsverzoeken met de juiste goedkeuringsprocedures, en een goedgekeurd wijzigingsverzoekprotocol.
Bij het creëren van een identiteit en het verlenen van toegang tot netwerkbronnen vermeldt bijlage A 5.16 ook vier stappen die bedrijven moeten volgen (het wijzigen of verwijderen van toegangsrechten wordt weergegeven in ISO 27001:2022 Bijlage A 5.18):
Elke keer dat er een identiteit wordt gecreëerd, wordt identiteitsbeheer exponentieel uitdagender. Het is raadzaam dat organisaties alleen nieuwe identiteiten creëren als dit duidelijk noodzakelijk is.
Procedures voor identiteits- en toegangsbeheer moeten ervoor zorgen dat, zodra de business case is goedgekeurd, een individu of asset die een nieuwe identiteit ontvangt, de vereiste autoriteit heeft voordat een identiteit wordt gecreëerd.
Uw IT-personeel zou dat moeten doen een identiteit opbouwen die aansluit bij de business case en moet beperkt blijven tot wat wordt beschreven in de documentatie van eventuele wijzigingsverzoeken.
Als laatste stap in het proces wordt een identiteit toegewezen aan elk van de op toegang gebaseerde machtigingen en rollen (RBAC) en aan eventuele vereiste authenticatieservices.
ISO 27001:2022 Bijlage A 5.16 vervangt ISO 27001:2013 A.9.2.1 (voorheen bekend als 'Gebruikersregistratie en uitschrijving').
Hoewel de twee controles enkele opvallende overeenkomsten vertonen – voornamelijk wat betreft onderhoudsprotocollen en het deactiveren van overtollige ID’s – bevat bijlage A 5.16 een uitgebreide reeks richtlijnen die betrekking hebben op identiteits- en toegangsbeheer als geheel.
Er zijn enkele verschillen tussen de bijlage van 2022 en zijn voorganger, in die zin dat ondanks verschillen in registratieprocessen mensen en niet-mensen niet langer afzonderlijk worden behandeld als het gaat om algemeen netwerkbeheer.
Sinds de komst van modern identiteits- en toegangsbeheer en op Windows gebaseerde RBAC-protocollen is het in IT-governance en best practice-richtlijnen gebruikelijker geworden om door elkaar te praten over menselijke en niet-menselijke identiteiten.
In bijlage A 9.2.1 van ISO 27001:2013 staan geen richtlijnen voor het beheren van niet-menselijke identiteiten, en de tekst heeft alleen betrekking op het beheren van wat zij 'Gebruikers-ID's' noemt (dwz inloggegevens samen met een wachtwoord dat wordt gebruikt om toegang te krijgen tot een netwerk).
Bijlage A 5.16 biedt expliciete richtlijnen over zowel de algemene veiligheidsimplicaties van identiteitsbeheer, als over de manier waarop organisaties informatie moeten vastleggen en verwerken voorafgaand aan het toekennen van identiteiten, en gedurende de hele levenscyclus van de identiteit.
Ter vergelijking: ISO 27001:2013 A.9.2.1 vermeldt slechts kort de rol van IT-governance die het beheer van identiteiten omringt, en beperkt zich tot de fysieke praktijk van identiteitsbeheer.
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Zolang u de processen van uw beveiligingsbeheersysteem bijwerkt om de verbeterde controles weer te geven, voldoet u aan ISO 27001:2022. Indien u zelf niet over de benodigde middelen beschikt, kan dit door ISMS.online worden afgehandeld.
We vereenvoudigen de implementatie van ISO 27001:2022 via onze intuïtieve workflow en tools, inclusief raamwerken, beleid, controles, bruikbare documentatie en begeleiding. Met onze cloudgebaseerde software kunt u al uw ISMS-oplossingen in een plaats.
Met ons platform kunt u de reikwijdte van uw ISMS, identificeer risico's en implementeer eenvoudig controles.
Wilt u meer weten over hoe ISMS.online u kan helpen bij het behalen van uw ISO 27001-doelstellingen? Neem vandaag nog contact op om een demo te boeken.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo