Elke medewerker binnen uw organisatie moet toegang hebben tot specifieke computers, databases, informatiesystemen en applicaties om zijn taken te kunnen uitvoeren.
Bijvoorbeeld uw human resources De afdeling heeft mogelijk toegang nodig tot gevoelige gezondheidsinformatie over werknemers. Bovendien heeft uw financiële afdeling mogelijk toegang nodig tot en gebruik van databases met salarisinformatie van werknemers.
U moet toegangsrechten verlenen, wijzigen en intrekken volgens het toegangscontrolebeleid en de toegangscontrolemaatregelen van het bedrijf. Dit voorkomt ongeoorloofde toegang tot, wijziging en vernietiging van informatiemiddelen.
Als u de toegangsrechten van uw voormalige medewerker niet intrekt, kan die medewerker gevoelige gegevens stelen.
Volgens ISO 27001:2022 behandelt Bijlage A Controle 5.18 hoe toegangsrechten moeten worden toegewezen, gewijzigd en ingetrokken op basis van zakelijke vereisten.
Volgens Bijlage A Controle 5.18 kan een organisatie procedures en controles implementeren om toegangsrechten tot informatiesystemen toe te wijzen, te wijzigen en in te trekken, in overeenstemming met haar toegangscontrolebeleid.
De Information Security Officer moet verantwoordelijk zijn voor het vaststellen, implementeren en beoordelen van de passende regels, processen en controles voor het verlenen, wijzigen en intrekken van toegangsrechten tot informatiesystemen.
Het is de verantwoordelijkheid van de informatiebeveiligingsfunctionaris om zorgvuldig rekening te houden met de zakelijke behoeften bij het toewijzen, wijzigen en intrekken van toegangsrechten. Daarnaast de informatiebeveiligingsfunctionaris nauw moeten samenwerken met eigenaren van informatiemiddelen om ervoor te zorgen dat het beleid en de procedures worden gevolgd.
Om toegangsrechten voor alle soorten gebruikers tot alle systemen en diensten toe te wijzen of in te trekken, moet een proces worden geïmplementeerd (hoe eenvoudig en gedocumenteerd dit ook is). Idealiter zou het aansluiten bij de bovenstaande punten en het bredere HR-beveiligingsinitiatief.
Een informatiesysteem of -dienst moet worden ingericht of ingetrokken op basis van de volgende criteria: autorisatie van de eigenaar van het informatiesysteem of de dienst, verificatie dat de toegang geschikt is voor de rol die wordt uitgevoerd, en bescherming tegen inrichting die plaatsvindt voordat autorisatie is verkregen.
Gebruikers moeten altijd toegang krijgen op basis van de bedrijfsvereisten als onderdeel van een door het bedrijf geleide aanpak. Hoewel dit misschien bureaucratisch klinkt, hoeft dat niet zo te zijn. Door effectieve procedures te implementeren met op rollen gebaseerde toegang tot systemen en diensten kan dit probleem effectief worden aangepakt.
Eigenaren van bedrijfsmiddelen moeten de toegangsrechten van gebruikers regelmatig beoordelen tijdens individuele wijzigingen (on-boarding, rolwijzigingen en exits) en tijdens bredere audits van systeemtoegang.
Vergunningen moeten vaker worden herzien in het licht van het hogere risico dat daarmee gepaard gaat bevoorrechte toegangsrechten. Net als bij 9.2 moet dit ten minste jaarlijks worden gedaan of telkens wanneer er significante wijzigingen zijn aangebracht.
Het is noodzakelijk om de toegangsrechten van alle werknemers en externe gebruikers tot informatie en informatieverwerkingsfaciliteiten te verwijderen bij de beëindiging van hun dienstverband, contract of overeenkomst (of om hun toegangsrechten aan te passen bij verandering van rol indien nodig).
Als het exitbeleid en de exitprocedures goed zijn ontworpen en zijn afgestemd op A.7, zal dit ook worden bereikt aangetoond voor auditdoeleinden als medewerkers vertrekken.
Voor de toewijzing en intrekking van toegangsrechten aan geauthenticeerde personen moeten organisaties de volgende regels en controles inbouwen:
Bij periodieke beoordelingen van fysieke en logische toegangsrechten moet rekening worden gehouden met het volgende:
Er moet rekening worden gehouden met risicofactoren bij het evalueren en wijzigen van de toegangsrechten van een werknemer tot informatieverwerkingssystemen. Dit is voordat ze binnen dezelfde organisatie worden gepromoveerd of gedegradeerd:
Het wordt aanbevolen dat organisaties gebruikerstoegangsrollen instellen in overeenstemming met hun zakelijke vereisten. Naast de soorten en aantallen toegangsrechten die aan elke gebruikersgroep moeten worden verleend, moeten deze rollen het type toegangsrechten specificeren.
Het creëren van dergelijke rollen zal maken toegangsverzoeken en rechten kunnen eenvoudiger worden beheerd en beoordeeld.
Het wordt aanbevolen dat organisaties in hun arbeids-/dienstencontracten met hun personeel bepalingen opnemen die ongeautoriseerde toegang tot hun systemen aanpakken en sancties opleggen voor dergelijke toegang. Controles 5.20, 6.2, 6.4 en 6.6 van bijlage A moeten worden gevolgd.
Organisaties moeten voorzichtig zijn als ze te maken krijgen met ontevreden werknemers die door het management zijn ontslagen, omdat ze opzettelijk informatiesystemen kunnen beschadigen.
Organisaties die besluiten kloontechnieken te gebruiken om toegangsrechten te verlenen, moeten dit doen op basis van de rollen die de organisatie heeft gedefinieerd.
Er is een risico verbonden aan klonen, omdat er buitensporige toegangsrechten kunnen worden verleend.
ISO 27001:2022 bijlage A 5.18 vervangt ISO 27001:2013 Bijlage A Controles 9.2.2, 9.2.5 en 9.2.6.
In de 2013-versie van bijlage A Controle 9.2.2 werden zes vereisten beschreven voor het toewijzen en intrekken van toegangsrechten; Bijlage A Controle 5.18 introduceert echter drie aanvullende vereisten naast deze zes:
Volgens ISO 27001:2013 stelt Annex A Controle 9.5 expliciet dat organisaties de autorisatie voor bevoorrechte toegangsrechten vaker moeten beoordelen dan voor andere toegangsrechten. Deze eis was niet opgenomen in bijlage A Controle 5.18 in versie 2022.
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
---|---|---|---|
Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
ISO 27001:2022, Annex A 5.18, is een van de meest besproken clausules. Velen beweren dat dit de belangrijkste clausule in het hele document is.
Dit komt omdat het geheel Informatiebeveiligingsbeheersysteem (ISMS) is erop gericht ervoor te zorgen dat de juiste mensen op het juiste moment toegang hebben tot de juiste informatie. Om succes te behalen, moet je het goed doen, maar het kan ernstige gevolgen hebben voor uw bedrijf.
Stel u bijvoorbeeld voor dat u per ongeluk vertrouwelijke werknemersinformatie aan de verkeerde persoon openbaart, zoals het loon van elke werknemer.
Een fout hier kan aanzienlijke gevolgen hebben, dus het is de moeite waard om de tijd te nemen om er goed over na te denken.
Onze platform kan zeer nuttig zijn in dit verband. Als gevolg hiervan houdt het zich aan de hele structuur van ISO 27001 en stelt u in staat de inhoud die wij aanbieden over te nemen, aan te passen en toe te voegen. Dit geeft u een aanzienlijk voordeel. Waarom niet plan een demo voor meer informatie?
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo