Meteen naar de inhoud
ISMS.online

ISO 27002:2022 – Controle 5.18 – Toegangsrechten

ISO 27002 Control 5.18 schetst best practices voor het beheren van toegangsrechten, en zorgt ervoor dat deze worden verleend, gewijzigd en ingetrokken op basis van zakelijke behoeften en beveiligingsbeleid. Het benadrukt autorisatie, scheiding van taken, tijdige intrekking en regelmatige beoordelingen om ongeautoriseerde toegang te voorkomen.

Auteur
Sam Peters
Bijgewerkt juli 25, 2025
4 / 5 sterren

Zorgen voor veilige toegang: ISO 27002 Control 5.18 uitgelegd

Elke medewerker binnen uw organisatie heeft toegang nodig tot bepaalde computers, databases, informatiesystemen en applicaties om zijn taken uit te voeren.

Hoewel HR-personeel mogelijk toegang nodig heeft tot gevoelige gezondheidsgegevens van werknemers, kan uw financiële afdeling bijvoorbeeld afhankelijk zijn van de toegang tot en het gebruik van databases met salarisgegevens van werknemers.

Deze toegangsrechten moeten echter worden verstrekt, gewijzigd en ingetrokken in overeenstemming met het toegangscontrolebeleid en de toegangscontroles van uw organisatie, zodat u ongeoorloofde toegang tot, wijziging van en vernietiging van informatiemiddelen kunt voorkomen.

Als u bijvoorbeeld de toegangsrechten van een voormalige werknemer niet intrekt, kan die werknemer gevoelige informatie stelen.

Controle 5.18 behandelt hoe organisaties toegangsrechten moeten toewijzen, wijzigen en intrekken, rekening houdend met zakelijke vereisten.

Doel van de controle 5.18

Controle 5.18 stelt een organisatie in staat passende procedures en controles vast te stellen en te implementeren voor het toewijzen, wijzigen en intrekken van toegangsrechten tot informatiesystemen in overeenstemming met het toegangscontrolebeleid en de toegangscontroles van de organisatie.

Kenmerken van controle 5.18

Controle 5.18 is een preventieve controle die organisaties verplicht het risico van ongeautoriseerde toegang tot informatiesystemen te elimineren door robuuste regels, procedures en controles in te voeren.

controle Type Eigenschappen voor informatiebeveiliging Cyberbeveiligingsconcepten Operationele mogelijkheden Beveiligingsdomeinen
#Preventief #Vertrouwelijkheid #Beschermen #Identiteits- en toegangsbeheer #Bescherming
#Integriteit
#Beschikbaarheid


ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Eigendom van zeggenschap 5.18

Een informatiebeveiligingsfunctionaris moet verantwoordelijk zijn voor het vaststellen, implementeren en beoordelen van passende regels, processen en controles voor het verstrekken, wijzigen en intrekken van toegangsrechten tot informatiesystemen.

Bij het toewijzen, wijzigen en intrekken van toegangsrechten moet de informatiebeveiligingsfunctionaris rekening houden met de bedrijfsbehoeften en nauw samenwerken met de eigenaren van informatiemiddelen om ervoor te zorgen dat de regels en processen worden nageleefd.

Leidraad voor het verlenen en intrekken van toegangsrechten

Organisaties moeten de volgende regels en controles opnemen in het proces voor het toewijzen en intrekken van toegangsrechten aan een geauthenticeerde persoon:

  • De eigenaar van informatiemiddelen moet toestemming geven voor toegang tot en gebruik van relevante informatiemiddelen. Bovendien moeten organisaties ook overwegen om aparte goedkeuring van het management te vragen voor het verlenen van toegangsrechten.
  • Er moet rekening worden gehouden met de zakelijke behoeften van de organisatie en haar beleid op het gebied van toegangscontrole.
  • Organisaties moeten overwegen om taken te scheiden. Zo kunnen de goedkeuringstaak en de implementatie van toegangsrechten door afzonderlijke personen worden uitgevoerd.
  • Wanneer een individu geen toegang meer nodig heeft tot informatiemiddelen, vooral wanneer hij of zij geen deel meer uitmaakt van de organisatie, moeten zijn toegangsrechten onmiddellijk worden ingetrokken.
  • Aan personeel of ander personeel dat tijdelijk voor de organisatie werkt, kunnen tijdelijke toegangsrechten worden verleend. Deze rechten moeten worden ingetrokken wanneer ze niet langer voor de organisatie werken.
  • Het toegangsniveau dat aan een individu wordt verleend, moet in overeenstemming zijn met het toegangscontrolebeleid van de organisatie en moet regelmatig worden beoordeeld en geverifieerd. Bovendien moet het ook in overeenstemming zijn met andere eisen op het gebied van informatiebeveiliging, zoals de scheiding van taken zoals uiteengezet in Controle 5.3.
  • Organisaties moeten ervoor zorgen dat toegangsrechten pas worden geactiveerd als de juiste autorisatieprocedure is voltooid.
  • Toegangsrechten die aan elke individuele identificatiecode worden verleend, zoals ID of fysiek, moeten worden aangemeld bij een centraal toegangscontrolebeheersysteem en dit systeem moet worden onderhouden.
  • Als de rol of taken van een persoon veranderen, moet het niveau van de toegangsrechten worden bijgewerkt.
  • Het verwijderen of wijzigen van fysieke of logische toegangsrechten kan op de volgende manieren worden uitgevoerd: Verwijderen of vervangen van sleutels, ID-kaarten of authenticatie-informatie.
  • Wijzigingen in de fysieke en logische toegangsrechten van een gebruiker moeten op een systeem worden aangemeld en worden onderhouden.


beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


Aanvullend richtsnoer voor de beoordeling van toegangsrechten

Fysieke en logische toegangsrechten moeten periodiek worden beoordeeld, waarbij rekening wordt gehouden met:

  • Wijzigingen in de toegangsrechten van elke gebruiker nadat deze binnen dezelfde organisatie zijn gepromoveerd of gedegradeerd, of nadat hun dienstverband is beëindigd.
  • Autorisatieprocedure voor het verlenen van bevoorrechte toegangsrechten.

Begeleiding bij verandering of beëindiging van dienstverband

Voordat een werknemer binnen dezelfde organisatie wordt gepromoveerd of gedegradeerd of wanneer zijn/haar dienstverband wordt beëindigd, moeten zijn/haar toegangsrechten tot informatieverwerkingssystemen worden geëvalueerd en aangepast, waarbij rekening wordt gehouden met de volgende risicofactoren:

  • Of het beëindigingsproces wordt geïnitieerd door de werknemer of door de organisatie en de reden voor beëindiging.
  • Huidige verantwoordelijkheden van de medewerker binnen de organisatie.
  • Kritiek en waarde van informatiemiddelen die toegankelijk zijn voor de werknemer.

Aanvullende begeleiding

Organisaties moeten overwegen om gebruikerstoegangsrollen in te stellen op basis van hun zakelijke vereisten. Deze rollen moeten de typen en het aantal toegangsrechten omvatten die aan elke gebruikersgroep moeten worden verleend.

Door dergelijke rollen te creëren, wordt het eenvoudiger om toegangsaanvragen en rechten te beheren en te beoordelen.

Organisaties moeten contractuele bepalingen voor ongeoorloofde toegang en sancties voor dergelijke toegang opnemen in hun arbeids-/dienstencontracten met hun personeel. Dit moet in overeenstemming zijn met de controles 5.20, 6.2, 6.4 en 6.6.

Organisaties moeten voorzichtig zijn met ontevreden werknemers die door het management worden ontslagen omdat ze met opzet informatiesystemen kunnen beschadigen.

Als organisaties besluiten de kloontechnieken te gebruiken om toegangsrechten te verlenen, moeten ze dit uitvoeren op basis van verschillende rollen die door de organisatie zijn vastgesteld.

Opgemerkt moet worden dat klonen het inherente risico met zich meebrengt dat er buitensporige toegangsrechten worden verleend.



ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/5.18 vervangt 27002:2013/(9.2.2, 9.2.5, 9.2.6).

Versie 2022 bevat uitgebreidere vereisten voor het verlenen en intrekken van toegangsrechten

Hoewel Control 9.2.2 in de versie van 2013 zes vereisten vermeldde voor het toewijzen en intrekken van toegangsrechten, introduceert Control 5.18 in de versie van 2022 drie nieuwe vereisten naast deze zes vereisten:

  • Aan personeel of ander personeel dat tijdelijk voor de organisatie werkt, kunnen tijdelijke toegangsrechten worden verleend. Deze rechten moeten worden ingetrokken wanneer zij geen werkzaamheden meer verrichten voor de organisatie.
  • Het verwijderen of wijzigen van fysieke of logische toegangsrechten kan op de volgende manieren worden uitgevoerd: Verwijderen of vervangen van sleutels, ID-kaarten of authenticatie-informatie.
  • Wijzigingen in de fysieke en logische toegangsrechten van een gebruiker moeten worden geregistreerd en onderhouden.

Versie 2013 bevat meer gedetailleerde vereisten voor geprivilegieerde toegangsrechten

In Control 9.5 in versie 2013 werd expliciet aangegeven dat organisaties de autorisatie voor geprivilegieerde toegangsrechten met frequentere tussenpozen moeten beoordelen dan voor andere toegangsrechten. Controle 5.18 in versie 2022 bevatte deze vereiste daarentegen niet.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.7 NIEUW Bedreigingsintelligentie
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.30 NIEUW ICT gereed voor bedrijfscontinuïteit
7.4 NIEUW Fysieke beveiligingsmonitoring
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.16 NIEUW Monitoring activiteiten
8.23 NIEUW Web filtering
8.28 NIEUW Veilige codering
Organisatorische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.1 05.1.1, 05.1.2 Beleid voor informatiebeveiliging
5.2 06.1.1 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3 06.1.2 Scheiding van taken
5.4 07.2.1 Directie verantwoordelijkheden
5.5 06.1.3 Contact met autoriteiten
5.6 06.1.4 Contact met speciale belangengroepen
5.7 NIEUW Bedreigingsintelligentie
5.8 06.1.5, 14.1.1 Informatiebeveiliging in projectmanagement
5.9 08.1.1, 08.1.2 Inventarisatie van informatie en andere bijbehorende activa
5.10 08.1.3, 08.2.3 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11 08.1.4 Teruggave van activa
5.12 08.2.1 Classificatie van informatie
5.13 08.2.2 Etikettering van informatie
5.14 13.2.1, 13.2.2, 13.2.3 Informatieoverdracht
5.15 09.1.1, 09.1.2 Toegangscontrole
5.16 09.2.1 Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3 Authenticatie-informatie
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsrechten
5.19 15.1.1 Informatiebeveiliging in leveranciersrelaties
5.20 15.1.2 Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21 15.1.3 Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22 15.2.1, 15.2.2 Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.24 16.1.1 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25 16.1.4 Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26 16.1.5 Reactie op informatiebeveiligingsincidenten
5.27 16.1.6 Leren van informatiebeveiligingsincidenten
5.28 16.1.7 Verzameling van bewijs
5.29 17.1.1, 17.1.2, 17.1.3 Informatiebeveiliging tijdens verstoring
5.30 5.30 ICT gereed voor bedrijfscontinuïteit
5.31 18.1.1, 18.1.5 Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32 18.1.2 Intellectuele eigendomsrechten
5.33 18.1.3 Bescherming van documenten
5.34 18.1.4 Privacy en bescherming van PII
5.35 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
5.36 18.2.2, 18.2.3 Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37 12.1.1 Gedocumenteerde operationele procedures
Mensencontroles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
6.1 07.1.1 Doorlichting
6.2 07.1.2 Arbeidsvoorwaarden
6.3 07.2.2 Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4 07.2.3 Disciplinair proces
6.5 07.3.1 Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7 06.2.2 Werken op afstand
6.8 16.1.2, 16.1.3 Rapportage van informatiebeveiligingsgebeurtenissen
Fysieke controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
7.1 11.1.1 Fysieke veiligheidsperimeters
7.2 11.1.2, 11.1.6 Fysieke toegang
7.3 11.1.3 Beveiligen van kantoren, kamers en faciliteiten
7.4 NIEUW Fysieke beveiligingsmonitoring
7.5 11.1.4 Bescherming tegen fysieke en ecologische bedreigingen
7.6 11.1.5 Werken in beveiligde ruimtes
7.7 11.2.9 Overzichtelijk bureau en helder scherm
7.8 11.2.1 Locatie en bescherming van apparatuur
7.9 11.2.6 Beveiliging van activa buiten het terrein
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Opslag media
7.11 11.2.2 Ondersteunende nutsvoorzieningen
7.12 11.2.3 Beveiliging van de bekabeling
7.13 11.2.4 Apparatuuronderhoud
7.14 11.2.7 Veilige verwijdering of hergebruik van apparatuur
Technologische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
8.1 06.2.1, 11.2.8 Eindpuntapparaten van gebruikers
8.2 09.2.3 Bevoorrechte toegangsrechten
8.3 09.4.1 Beperking van toegang tot informatie
8.4 09.4.5 Toegang tot broncode
8.5 09.4.2 Veilige authenticatie
8.6 12.1.3 Capaciteitsmanagement
8.7 12.2.1 Bescherming tegen malware
8.8 12.6.1, 18.2.3 Beheer van technische kwetsbaarheden
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.13 12.3.1 Informatie back-up
8.14 17.2.1 Redundantie van informatieverwerkingsfaciliteiten
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NIEUW Monitoring activiteiten
8.17 12.4.4 klok synchronisatie
8.18 09.4.4 Gebruik van bevoorrechte hulpprogramma's
8.19 12.5.1, 12.6.2 Installatie van software op operationele systemen
8.20 13.1.1 Netwerkbeveiliging
8.21 13.1.2 Beveiliging van netwerkdiensten
8.22 13.1.3 Segregatie van netwerken
8.23 NIEUW Web filtering
8.24 10.1.1, 10.1.2 Gebruik van cryptografie
8.25 14.2.1 Veilige ontwikkelingslevenscyclus
8.26 14.1.2, 14.1.3 Beveiligingsvereisten voor applicaties
8.27 14.2.5 Veilige systeemarchitectuur en engineeringprincipes
8.28 NIEUW Veilige codering
8.29 14.2.8, 14.2.9 Beveiligingstesten in ontwikkeling en acceptatie
8.30 14.2.7 Uitbestede ontwikkeling
8.31 12.1.4, 14.2.6 Scheiding van ontwikkel-, test- en productieomgevingen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Wijzig beheer
8.33 14.3.1 Test informatie
8.34 12.7.1 Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.online is een cloudgebaseerd platform dat ondersteuning biedt bij het efficiënt en kosteneffectief implementeren van de ISO 2702-standaard.

Het biedt organisaties te allen tijde eenvoudig toegang tot actuele informatie over hun nalevingsstatus via de gebruiksvriendelijke dashboardinterface waarmee managers hun voortgang op het gebied van het bereiken van naleving snel en eenvoudig kunnen volgen.

Neem vandaag nog contact op met boek een demo.

Sam Peters

Sam is Chief Product Officer bij ISMS.online en leidt de ontwikkeling van alle producteigenschappen en functionaliteit. Sam is een expert op veel gebieden van compliance en werkt samen met klanten aan maatwerk- of grootschalige projecten.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig op kristal

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Herfst 2025
High Performer, Kleinbedrijf - Herfst 2025 VK
Regionale leider - herfst 2025 Europa
Regionale leider - herfst 2025 EMEA
Regionale leider - najaar 2025 VK
High Performer - Herfst 2025 Europa Middenmarkt

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.