Elke medewerker binnen uw organisatie heeft toegang nodig tot bepaalde computers, databases, informatiesystemen en applicaties om zijn taken uit te voeren.
Hoewel HR-personeel mogelijk toegang nodig heeft tot gevoelige gezondheidsgegevens van werknemers, kan uw financiële afdeling bijvoorbeeld afhankelijk zijn van de toegang tot en het gebruik van databases met salarisgegevens van werknemers.
Deze toegangsrechten moeten echter worden verstrekt, gewijzigd en ingetrokken in overeenstemming met het toegangscontrolebeleid en de toegangscontroles van uw organisatie, zodat u ongeoorloofde toegang tot, wijziging van en vernietiging van informatiemiddelen kunt voorkomen.
Als u bijvoorbeeld de toegangsrechten van een voormalige werknemer niet intrekt, kan die werknemer gevoelige informatie stelen.
Controle 5.18 behandelt hoe organisaties toegangsrechten moeten toewijzen, wijzigen en intrekken, rekening houdend met zakelijke vereisten.
Controle 5.18 stelt een organisatie in staat passende procedures en controles vast te stellen en te implementeren voor het toewijzen, wijzigen en intrekken van toegangsrechten tot informatiesystemen in overeenstemming met het toegangscontrolebeleid en de toegangscontroles van de organisatie.
Controle 5.18 is een preventieve controle die organisaties verplicht het risico van ongeautoriseerde toegang tot informatiesystemen te elimineren door robuuste regels, procedures en controles in te voeren.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- en toegangsbeheer | #Bescherming |
Een informatiebeveiligingsfunctionaris moet verantwoordelijk zijn voor het vaststellen, implementeren en beoordelen van passende regels, processen en controles voor het verstrekken, wijzigen en intrekken van toegangsrechten tot informatiesystemen.
Bij het toewijzen, wijzigen en intrekken van toegangsrechten moet de informatiebeveiligingsfunctionaris rekening houden met de bedrijfsbehoeften en nauw samenwerken met de eigenaren van informatiemiddelen om ervoor te zorgen dat de regels en processen worden nageleefd.
Organisaties moeten de volgende regels en controles opnemen in het proces voor het toewijzen en intrekken van toegangsrechten aan een geauthenticeerde persoon:
Fysieke en logische toegangsrechten moeten periodiek worden beoordeeld, waarbij rekening wordt gehouden met:
Voordat een werknemer binnen dezelfde organisatie wordt gepromoveerd of gedegradeerd of wanneer zijn/haar dienstverband wordt beëindigd, moeten zijn/haar toegangsrechten tot informatieverwerkingssystemen worden geëvalueerd en aangepast, waarbij rekening wordt gehouden met de volgende risicofactoren:
Organisaties moeten overwegen om gebruikerstoegangsrollen in te stellen op basis van hun zakelijke vereisten. Deze rollen moeten de typen en het aantal toegangsrechten omvatten die aan elke gebruikersgroep moeten worden verleend.
Door dergelijke rollen te creëren, wordt het eenvoudiger om toegangsaanvragen en rechten te beheren en te beoordelen.
Organisaties moeten contractuele bepalingen voor ongeoorloofde toegang en sancties voor dergelijke toegang opnemen in hun arbeids-/dienstencontracten met hun personeel. Dit moet in overeenstemming zijn met de controles 5.20, 6.2, 6.4 en 6.6.
Organisaties moeten voorzichtig zijn met ontevreden werknemers die door het management worden ontslagen omdat ze met opzet informatiesystemen kunnen beschadigen.
Als organisaties besluiten de kloontechnieken te gebruiken om toegangsrechten te verlenen, moeten ze dit uitvoeren op basis van verschillende rollen die door de organisatie zijn vastgesteld.
Opgemerkt moet worden dat klonen het inherente risico met zich meebrengt dat er buitensporige toegangsrechten worden verleend.
27002:2022/5.18 vervangt 27002:2013/(9.2.2, 9.2.5, 9.2.6).
Hoewel Control 9.2.2 in de versie van 2013 zes vereisten vermeldde voor het toewijzen en intrekken van toegangsrechten, introduceert Control 5.18 in de versie van 2022 drie nieuwe vereisten naast deze zes vereisten:
In Control 9.5 in versie 2013 werd expliciet aangegeven dat organisaties de autorisatie voor geprivilegieerde toegangsrechten met frequentere tussenpozen moeten beoordelen dan voor andere toegangsrechten. Controle 5.18 in versie 2022 bevatte deze vereiste daarentegen niet.
ISMS.online is een cloudgebaseerd platform dat ondersteuning biedt bij het efficiënt en kosteneffectief implementeren van de ISO 2702-standaard.
Het biedt organisaties te allen tijde eenvoudig toegang tot actuele informatie over hun nalevingsstatus via de gebruiksvriendelijke dashboardinterface waarmee managers hun voortgang op het gebied van het bereiken van naleving snel en eenvoudig kunnen volgen.
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |