ISO 27001:2022 Bijlage A 8.2 – Bevoorrechte toegangsrechten

• Bekijk ISO 27002:2022 Controle 8.2 voor meer informatie.
• Bekijk ISO 27001:2013 Bijlage A 9.2.3 voor meer informatie.

Wat is het doel van ISO 27001:2022 bijlage A 8.2?

In commerciële netwerken over de hele wereld is misbruik of misbruik van verhoogde rechten van systeembeheerders een belangrijke oorzaak van ICT-verstoring.

Door gebruik te maken van bevoorrechte toegangsrechten kunnen organisaties dat doen controle toegang aan hun infrastructuur, applicaties, assets en data.

ISO 27001:2022 Bijlage A 8.2 stelt een autorisatieproces vast voor het afhandelen van alle verzoeken om toegang tot de ICT-netwerken en -middelen van een organisatie. Het is een preventieve controle met risico behouden.

Wie is eigenaar van bijlage A 8.2?

Een organisatie kan de toegang tot gegevens controleren via verbeterde toegangsrechten die zijn gekoppeld aan gebruikersaccounts, zoals in bijlage A 8.6.

Dit betekent dat het vermogen van de organisatie om geprivilegieerde domein- of applicatiegebruikersaccounts te beheren en te monitoren de verantwoordelijkheid moet zijn van de Hoofd informatietechnologie (of gelijkwaardig).

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.2

ISO 27001:2022 Bijlage A 8.2 schetst twaalf belangrijke richtlijnen die bedrijven moeten volgen op basis van een “onderwerpspecifiek” beleid inzake toegangscontrole (zie Bijlage A 12) dat gericht is op specifieke bedrijfsfuncties.

Voor organisaties is het van cruciaal belang om:

1. Stel een lijst op van gebruikers die enige mate van geprivilegieerde toegang nodig hebben, of het nu gaat om een ​​individueel systeem, een applicatie of het onderliggende besturingssysteem.
2. Zorg ervoor dat bevoorrechte toegangsrechten per gebeurtenis aan gebruikers worden toegewezen. Gebruikers moeten toegangsrechten krijgen op basis van het absolute minimum dat ze nodig hebben om hun taken uit te voeren.
3. Houd een register bij van alle verleende toegangsrechten en schets een eenvoudig autorisatieproces voor alle verzoeken om bevoorrechte toegang.
4. Toegangsrechten moeten onderworpen zijn aan relevante vervaldata.
5. Gebruikers moeten expliciet worden geïnformeerd wanneer zij met bevoorrechte toegang tot een systeem werken.
6. Indien relevant wordt gebruikers gevraagd zich opnieuw te authenticeren voordat zij bevoorrechte toegangsrechten gebruiken om de beveiliging van informatie en gegevens te verbeteren.
7. Periodiek auditeren bevoorrechte toegangsrechten, vooral na een periode van organisatorische veranderingen. Toegangsrechten moeten worden beoordeeld op basis van de “plichten, rollen, verantwoordelijkheden en bevoegdheden” van gebruikers (zie bijlage A 5.18).
8. Overweeg een 'breekglas'-procedure, dat wil zeggen het verlenen van geprivilegieerde toegangsrechten binnen strak gecontroleerde tijdsbestekken die voldoen aan de minimale vereisten voor het voltooien van een operatie (kritieke wijzigingen, systeembeheer, enz.).
9. Zorg ervoor dat alle activiteiten waarbij bevoorrechte toegang betrokken is, worden geregistreerd.
10. Gestandaardiseerde gebruikersnamen en wachtwoorden (zie bijlage A 5.17) mogen niet worden gebruikt voor systeemaanmeldingen.
11. Handhaaf een beleid van het toewijzen van gebruikers met afzonderlijke identiteiten om geprivilegieerde toegangsrechten beter te kunnen controleren. Als gevolg hiervan kunnen deze identiteiten worden gegroepeerd, waarbij verschillende toegangsniveaus worden verleend aan de bijbehorende groep.
12. Zorg ervoor dat geprivilegieerde toegangsrechten worden gereserveerd voor taken die cruciaal zijn voor het goed functioneren van een ICT-netwerk, zoals netwerkbeheer en -onderhoud.

Bijbehorende bijlage A-controles

• ISO 27001:2022 Bijlage A 5.15

Wat zijn de veranderingen ten opzichte van ISO 27001:2013?

ISO 27001:2022 bijlage A 8.2 vervangt ISO 27001:2013 Bijlage A 9.2.3 ('Beheer van bevoorrechte toegangsrechten').

Bijlage A 8.2 van ISO 27001:2022 bevat vijf belangrijke richtlijnen die niet waren opgenomen in de tegenhanger van 2013:

1. Bijlage A 8.2 vereist niet expliciet een ander gebruikers-ID voor bevoorrechte toegang.
2. Bijlage A 8.2 benadrukt de noodzaak om opnieuw te authenticeren voordat u bevoorrechte toegangsrechten ontvangt.
3. Bij het uitvoeren van kritische onderhoudstaken wordt een breekglasaanpak voorgesteld op basis van strak gecontroleerde tijdvensters in bijlage A 8.2.
4. Bijlage A 8.2 vereist dat organisaties gedetailleerde geprivilegieerde toegangslogboeken bijhouden voor auditdoeleinden.
5. Bijlage A 8.2 vereist dat organisaties geprivilegieerde toegangsrechten tot administratieve taken beperken.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

Hoe ISMS.online helpt

Met behulp van ons cloudgebaseerde platform en onze tools kunnen organisaties een informatiebeveiligingsbeheersysteem (ISMS) in overeenstemming met ISO 27001:2022.

Tot deze hulpmiddelen behoren:

1. Sjablonen voor algemene bedrijfsdocumenten.
2. Beleid en procedures die vooraf zijn gedefinieerd.
3. Ondersteunen van interne audits met een audittool.
4. Een goedkeuringsworkflow voor alle wijzigingen in beleid en procedures.
5. Controlelijst om ervoor te zorgen dat uw informatiebeveiligingsbeleid en processen volgen internationale normen.

Ontdek het volledige scala aan functies in onze toolkit door een demo boeken.