ISO 27001:2022 Bijlage A 5.18 – Toegangsrechten

Wat is het doel van ISO 27001:2022 bijlage A 5.18?

Volgens Bijlage A Controle 5.18 kan een organisatie procedures en controles implementeren om toegangsrechten tot informatiesystemen toe te wijzen, te wijzigen en in te trekken, in overeenstemming met haar toegangscontrolebeleid.

Wie is eigenaar van bijlage A 5.18?

De Information Security Officer moet verantwoordelijk zijn voor het vaststellen, implementeren en beoordelen van de passende regels, processen en controles voor het verlenen, wijzigen en intrekken van toegangsrechten tot informatiesystemen.

Het is de verantwoordelijkheid van de informatiebeveiligingsfunctionaris om zorgvuldig rekening te houden met de zakelijke behoeften bij het toewijzen, wijzigen en intrekken van toegangsrechten. Daarnaast de informatiebeveiligingsfunctionaris nauw moeten samenwerken met eigenaren van informatiemiddelen om ervoor te zorgen dat het beleid en de procedures worden gevolgd.

Toegangsrechten – Richtlijnen voor het verlenen en intrekken

Om toegangsrechten voor alle soorten gebruikers tot alle systemen en diensten toe te wijzen of in te trekken, moet een proces worden geïmplementeerd (hoe eenvoudig en gedocumenteerd dit ook is). Idealiter zou het aansluiten bij de bovenstaande punten en het bredere HR-beveiligingsinitiatief.

Een informatiesysteem of -dienst moet worden ingericht of ingetrokken op basis van de volgende criteria: autorisatie van de eigenaar van het informatiesysteem of de dienst, verificatie dat de toegang geschikt is voor de rol die wordt uitgevoerd, en bescherming tegen inrichting die plaatsvindt voordat autorisatie is verkregen.

Gebruikers moeten altijd toegang krijgen op basis van de bedrijfsvereisten als onderdeel van een door het bedrijf geleide aanpak. Hoewel dit misschien bureaucratisch klinkt, hoeft dat niet zo te zijn. Door effectieve procedures te implementeren met op rollen gebaseerde toegang tot systemen en diensten kan dit probleem effectief worden aangepakt.

Herziening van gebruikerstoegangsrechten

Eigenaren van bedrijfsmiddelen moeten de toegangsrechten van gebruikers regelmatig beoordelen tijdens individuele wijzigingen (on-boarding, rolwijzigingen en exits) en tijdens bredere audits van systeemtoegang.

Vergunningen moeten vaker worden herzien in het licht van het hogere risico dat daarmee gepaard gaat bevoorrechte toegangsrechten. Net als bij 9.2 moet dit ten minste jaarlijks worden gedaan of telkens wanneer er significante wijzigingen zijn aangebracht.

Toegangsrechten verwijderen of aanpassen

Het is noodzakelijk om de toegangsrechten van alle werknemers en externe gebruikers tot informatie en informatieverwerkingsfaciliteiten te verwijderen bij de beëindiging van hun dienstverband, contract of overeenkomst (of om hun toegangsrechten aan te passen bij verandering van rol indien nodig).

Als het exitbeleid en de exitprocedures goed zijn ontworpen en zijn afgestemd op A.7, zal dit ook worden bereikt aangetoond voor auditdoeleinden als medewerkers vertrekken.

Voor de toewijzing en intrekking van toegangsrechten aan geauthenticeerde personen moeten organisaties de volgende regels en controles inbouwen:

• Om toegang te krijgen tot en gebruik te maken van relevante informatiemiddelen, moet de eigenaar van de informatiemiddelen toegang en gebruik autoriseren. Bovendien moeten organisaties overwegen om afzonderlijke goedkeuring van het management te vragen voordat zij toegangsrechten verlenen.
• Er moet rekening worden gehouden met de zakelijke behoeften van de organisatie en haar beleid op het gebied van toegangscontrole.
• Organisaties moeten nadenken over de scheiding van taken. De goedkeuring en implementatie van toegangsrechten kunnen bijvoorbeeld door afzonderlijke personen worden afgehandeld.
• De toegangsrechten van een persoon moeten onmiddellijk worden ingetrokken wanneer hij of zij geen toegang meer nodig heeft tot informatiemiddelen, vooral als hij/zij de organisatie heeft verlaten.
• Aan medewerkers of ander personeel dat tijdelijk voor de organisatie werkzaam is, kan een tijdelijk toegangsrecht worden verleend. Wanneer zij niet langer in dienst zijn bij de organisatie, moeten hun rechten worden ingetrokken.
• Het toegangscontrolebeleid van de organisatie moet het toegangsniveau van een individu bepalen en regelmatig worden herzien en geverifieerd. Verder moet het zich houden aan andere eisen op het gebied van informatiebeveiliging, zoals ISO 27001:2022 Control 5.3, waarin de scheiding van taken wordt gespecificeerd.
• De organisatie moet ervoor zorgen dat toegangsrechten worden geactiveerd zodra het juiste autorisatieproces is voltooid.
• De toegangsrechten die aan elke identificatie zijn gekoppeld, zoals een ID of fysiek, moeten worden onderhouden in een centraal toegangscontrolebeheersysteem.
• Het is absoluut noodzakelijk om het niveau van de toegangsrechten van een individu bij te werken als zijn of haar rol of plichten veranderen.
• De volgende methoden kunnen worden gebruikt om fysieke of logische toegangsrechten te verwijderen of te wijzigen: Verwijdering of vervanging van sleutels, ID-kaarten of authenticatie-informatie.
• Het registreren en bijhouden van wijzigingen in de fysieke en logische toegangsrechten van een gebruiker is verplicht.

Aanvullende richtlijnen voor de beoordeling van toegangsrechten

Bij periodieke beoordelingen van fysieke en logische toegangsrechten moet rekening worden gehouden met het volgende:

• Wanneer een gebruiker binnen dezelfde organisatie wordt gepromoveerd of gedegradeerd of wanneer zijn dienstverband eindigt, kunnen zijn toegangsrechten veranderen.
• Autorisatieprocedure voor toegang tot bevoegdheden.

Begeleiding bij veranderingen in dienstverband of beëindiging van dienstverband

Er moet rekening worden gehouden met risicofactoren bij het evalueren en wijzigen van de toegangsrechten van een werknemer tot informatieverwerkingssystemen. Dit is voordat ze binnen dezelfde organisatie worden gepromoveerd of gedegradeerd:

• Dit omvat onder meer het bepalen of de werknemer het ontslagproces heeft gestart of dat de organisatie dit heeft geïnitieerd, en wat de reden voor de beëindiging is.
• Een beschrijving van de huidige verantwoordelijkheden van de medewerker binnen de organisatie.
• De toegang van werknemers tot informatiemiddelen en hun belang en waarde.

Verdere aanvullingsrichtlijnen

Het wordt aanbevolen dat organisaties gebruikerstoegangsrollen instellen in overeenstemming met hun zakelijke vereisten. Naast de soorten en aantallen toegangsrechten die aan elke gebruikersgroep moeten worden verleend, moeten deze rollen het type toegangsrechten specificeren.

Het creëren van dergelijke rollen zal maken toegangsverzoeken en rechten kunnen eenvoudiger worden beheerd en beoordeeld.

Het wordt aanbevolen dat organisaties in hun arbeids-/dienstencontracten met hun personeel bepalingen opnemen die ongeautoriseerde toegang tot hun systemen aanpakken en sancties opleggen voor dergelijke toegang. Controles 5.20, 6.2, 6.4 en 6.6 van bijlage A moeten worden gevolgd.

Organisaties moeten voorzichtig zijn als ze te maken krijgen met ontevreden werknemers die door het management zijn ontslagen, omdat ze opzettelijk informatiesystemen kunnen beschadigen.

Organisaties die besluiten kloontechnieken te gebruiken om toegangsrechten te verlenen, moeten dit doen op basis van de rollen die de organisatie heeft gedefinieerd.

Er is een risico verbonden aan klonen, omdat er buitensporige toegangsrechten kunnen worden verleend.

Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?

ISO 27001:2022 bijlage A 5.18 vervangt ISO 27001:2013 Bijlage A Controles 9.2.2, 9.2.5 en 9.2.6.

De versie 2022 bevat uitgebreidere vereisten voor het verlenen en intrekken van toegangsrechten

In de 2013-versie van bijlage A Controle 9.2.2 werden zes vereisten beschreven voor het toewijzen en intrekken van toegangsrechten; Bijlage A Controle 5.18 introduceert echter drie aanvullende vereisten naast deze zes:

1. Tijdelijke toegangsrechten kunnen tijdelijk worden verleend aan werknemers of ander personeel werkzaam voor de organisatie. Zodra zij niet langer voor de organisatie werken, moeten deze rechten worden ingetrokken.
2. Het verwijderen of wijzigen van fysieke of logische toegangsrechten kan op de volgende manieren worden bereikt: Het verwijderen of vervangen van sleutels, identificatiekaarten of authenticatie-informatie.
3. Het wijzigen van de fysieke of logische toegangsrechten van een gebruiker moet worden geregistreerd en gedocumenteerd.

Vereisten voor geprivilegieerde toegangsrechten zijn gedetailleerder in de versie van 2013

Volgens ISO 27001:2013 stelt Annex A Controle 9.5 expliciet dat organisaties de autorisatie voor bevoorrechte toegangsrechten vaker moeten beoordelen dan voor andere toegangsrechten. Deze eis was niet opgenomen in bijlage A Controle 5.18 in versie 2022.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

Hoe ISMS.online helpt

ISO 27001:2022, Annex A 5.18, is een van de meest besproken clausules. Velen beweren dat dit de belangrijkste clausule in het hele document is.

Dit komt omdat het geheel Informatiebeveiligingsbeheersysteem (ISMS) is erop gericht ervoor te zorgen dat de juiste mensen op het juiste moment toegang hebben tot de juiste informatie. Om succes te behalen, moet je het goed doen, maar het kan ernstige gevolgen hebben voor uw bedrijf.

Stel u bijvoorbeeld voor dat u per ongeluk vertrouwelijke werknemersinformatie aan de verkeerde persoon openbaart, zoals het loon van elke werknemer.

Een fout hier kan aanzienlijke gevolgen hebben, dus het is de moeite waard om de tijd te nemen om er goed over na te denken.

Onze platform kan zeer nuttig zijn in dit verband. Als gevolg hiervan houdt het zich aan de hele structuur van ISO 27001 en stelt u in staat de inhoud die wij aanbieden over te nemen, aan te passen en toe te voegen. Dit geeft u een aanzienlijk voordeel. Waarom niet plan een demo voor meer informatie?