Zorgen voor veilige toegang: ISO 27002 Control 5.18 uitgelegd
Elke medewerker binnen uw organisatie heeft toegang nodig tot bepaalde computers, databases, informatiesystemen en applicaties om zijn taken uit te voeren.
Hoewel HR-personeel mogelijk toegang nodig heeft tot gevoelige gezondheidsgegevens van werknemers, kan uw financiële afdeling bijvoorbeeld afhankelijk zijn van de toegang tot en het gebruik van databases met salarisgegevens van werknemers.
Deze toegangsrechten moeten echter worden verstrekt, gewijzigd en ingetrokken in overeenstemming met het toegangscontrolebeleid en de toegangscontroles van uw organisatie, zodat u ongeoorloofde toegang tot, wijziging van en vernietiging van informatiemiddelen kunt voorkomen.
Als u bijvoorbeeld de toegangsrechten van een voormalige werknemer niet intrekt, kan die werknemer gevoelige informatie stelen.
Controle 5.18 behandelt hoe organisaties toegangsrechten moeten toewijzen, wijzigen en intrekken, rekening houdend met zakelijke vereisten.
Doel van de controle 5.18
Controle 5.18 stelt een organisatie in staat passende procedures en controles vast te stellen en te implementeren voor het toewijzen, wijzigen en intrekken van toegangsrechten tot informatiesystemen in overeenstemming met het toegangscontrolebeleid en de toegangscontroles van de organisatie.
Kenmerken van controle 5.18
Controle 5.18 is een preventieve controle die organisaties verplicht het risico van ongeautoriseerde toegang tot informatiesystemen te elimineren door robuuste regels, procedures en controles in te voeren.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Identiteits- en toegangsbeheer | #Bescherming |
| #Integriteit | ||||
| #Beschikbaarheid |
Krijg een voorsprong van 81%
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Eigendom van zeggenschap 5.18
Een informatiebeveiligingsfunctionaris moet verantwoordelijk zijn voor het vaststellen, implementeren en beoordelen van passende regels, processen en controles voor het verstrekken, wijzigen en intrekken van toegangsrechten tot informatiesystemen.
Bij het toewijzen, wijzigen en intrekken van toegangsrechten moet de informatiebeveiligingsfunctionaris rekening houden met de bedrijfsbehoeften en nauw samenwerken met de eigenaren van informatiemiddelen om ervoor te zorgen dat de regels en processen worden nageleefd.
Leidraad voor het verlenen en intrekken van toegangsrechten
Organisaties moeten de volgende regels en controles opnemen in het proces voor het toewijzen en intrekken van toegangsrechten aan een geauthenticeerde persoon:
- De eigenaar van informatiemiddelen moet toestemming geven voor toegang tot en gebruik van relevante informatiemiddelen. Bovendien moeten organisaties ook overwegen om aparte goedkeuring van het management te vragen voor het verlenen van toegangsrechten.
- Er moet rekening worden gehouden met de zakelijke behoeften van de organisatie en haar beleid op het gebied van toegangscontrole.
- Organisaties moeten overwegen om taken te scheiden. Zo kunnen de goedkeuringstaak en de implementatie van toegangsrechten door afzonderlijke personen worden uitgevoerd.
- Wanneer een individu geen toegang meer nodig heeft tot informatiemiddelen, vooral wanneer hij of zij geen deel meer uitmaakt van de organisatie, moeten zijn toegangsrechten onmiddellijk worden ingetrokken.
- Aan personeel of ander personeel dat tijdelijk voor de organisatie werkt, kunnen tijdelijke toegangsrechten worden verleend. Deze rechten moeten worden ingetrokken wanneer ze niet langer voor de organisatie werken.
- Het toegangsniveau dat aan een individu wordt verleend, moet in overeenstemming zijn met het toegangscontrolebeleid van de organisatie en moet regelmatig worden beoordeeld en geverifieerd. Bovendien moet het ook in overeenstemming zijn met andere eisen op het gebied van informatiebeveiliging, zoals de scheiding van taken zoals uiteengezet in Controle 5.3.
- Organisaties moeten ervoor zorgen dat toegangsrechten pas worden geactiveerd als de juiste autorisatieprocedure is voltooid.
- Toegangsrechten die aan elke individuele identificatiecode worden verleend, zoals ID of fysiek, moeten worden aangemeld bij een centraal toegangscontrolebeheersysteem en dit systeem moet worden onderhouden.
- Als de rol of taken van een persoon veranderen, moet het niveau van de toegangsrechten worden bijgewerkt.
- Het verwijderen of wijzigen van fysieke of logische toegangsrechten kan op de volgende manieren worden uitgevoerd: Verwijderen of vervangen van sleutels, ID-kaarten of authenticatie-informatie.
- Wijzigingen in de fysieke en logische toegangsrechten van een gebruiker moeten op een systeem worden aangemeld en worden onderhouden.
Compliance hoeft niet ingewikkeld te zijn.
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Aanvullend richtsnoer voor de beoordeling van toegangsrechten
Fysieke en logische toegangsrechten moeten periodiek worden beoordeeld, waarbij rekening wordt gehouden met:
- Wijzigingen in de toegangsrechten van elke gebruiker nadat deze binnen dezelfde organisatie zijn gepromoveerd of gedegradeerd, of nadat hun dienstverband is beëindigd.
- Autorisatieprocedure voor het verlenen van bevoorrechte toegangsrechten.
Begeleiding bij verandering of beëindiging van dienstverband
Voordat een werknemer binnen dezelfde organisatie wordt gepromoveerd of gedegradeerd of wanneer zijn/haar dienstverband wordt beëindigd, moeten zijn/haar toegangsrechten tot informatieverwerkingssystemen worden geëvalueerd en aangepast, waarbij rekening wordt gehouden met de volgende risicofactoren:
- Of het beëindigingsproces wordt geïnitieerd door de werknemer of door de organisatie en de reden voor beëindiging.
- Huidige verantwoordelijkheden van de medewerker binnen de organisatie.
- Kritiek en waarde van informatiemiddelen die toegankelijk zijn voor de werknemer.
Aanvullende begeleiding
Organisaties moeten overwegen om gebruikerstoegangsrollen in te stellen op basis van hun zakelijke vereisten. Deze rollen moeten de typen en het aantal toegangsrechten omvatten die aan elke gebruikersgroep moeten worden verleend.
Door dergelijke rollen te creëren, wordt het eenvoudiger om toegangsaanvragen en rechten te beheren en te beoordelen.
Organisaties moeten contractuele bepalingen voor ongeoorloofde toegang en sancties voor dergelijke toegang opnemen in hun arbeids-/dienstencontracten met hun personeel. Dit moet in overeenstemming zijn met de controles 5.20, 6.2, 6.4 en 6.6.
Organisaties moeten voorzichtig zijn met ontevreden werknemers die door het management worden ontslagen omdat ze met opzet informatiesystemen kunnen beschadigen.
Als organisaties besluiten de kloontechnieken te gebruiken om toegangsrechten te verlenen, moeten ze dit uitvoeren op basis van verschillende rollen die door de organisatie zijn vastgesteld.
Opgemerkt moet worden dat klonen het inherente risico met zich meebrengt dat er buitensporige toegangsrechten worden verleend.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
27002:2022/5.18 vervangt 27002:2013/(9.2.2, 9.2.5, 9.2.6).
Versie 2022 bevat uitgebreidere vereisten voor het verlenen en intrekken van toegangsrechten
Hoewel Control 9.2.2 in de versie van 2013 zes vereisten vermeldde voor het toewijzen en intrekken van toegangsrechten, introduceert Control 5.18 in de versie van 2022 drie nieuwe vereisten naast deze zes vereisten:
- Aan personeel of ander personeel dat tijdelijk voor de organisatie werkt, kunnen tijdelijke toegangsrechten worden verleend. Deze rechten moeten worden ingetrokken wanneer zij geen werkzaamheden meer verrichten voor de organisatie.
- Het verwijderen of wijzigen van fysieke of logische toegangsrechten kan op de volgende manieren worden uitgevoerd: Verwijderen of vervangen van sleutels, ID-kaarten of authenticatie-informatie.
- Wijzigingen in de fysieke en logische toegangsrechten van een gebruiker moeten worden geregistreerd en onderhouden.
Versie 2013 bevat meer gedetailleerde vereisten voor geprivilegieerde toegangsrechten
In Control 9.5 in versie 2013 werd expliciet aangegeven dat organisaties de autorisatie voor geprivilegieerde toegangsrechten met frequentere tussenpozen moeten beoordelen dan voor andere toegangsrechten. Controle 5.18 in versie 2022 bevatte deze vereiste daarentegen niet.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
ISMS.online is een cloudgebaseerd platform dat ondersteuning biedt bij het efficiënt en kosteneffectief implementeren van de ISO 2702-standaard.
Het biedt organisaties te allen tijde eenvoudig toegang tot actuele informatie over hun nalevingsstatus via de gebruiksvriendelijke dashboardinterface waarmee managers hun voortgang op het gebied van het bereiken van naleving snel en eenvoudig kunnen volgen.
Neem vandaag nog contact op met boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
