ISO 27002:2022, Controle 5.18 – Toegangsrechten

ISO 27002:2022 herziene controles

Boek een demo

collega's,werk,modern,studio.productie,managers,team,werken,nieuw,project.young,bedrijf

Elke medewerker binnen uw organisatie heeft toegang nodig tot bepaalde computers, databases, informatiesystemen en applicaties om zijn taken uit te voeren.

Hoewel HR-personeel mogelijk toegang nodig heeft tot gevoelige gezondheidsgegevens van werknemers, kan uw financiële afdeling bijvoorbeeld afhankelijk zijn van de toegang tot en het gebruik van databases met salarisgegevens van werknemers.

Deze toegangsrechten moeten echter worden verstrekt, gewijzigd en ingetrokken in overeenstemming met het toegangscontrolebeleid en de toegangscontroles van uw organisatie, zodat u ongeoorloofde toegang tot, wijziging van en vernietiging van informatiemiddelen kunt voorkomen.

Als u bijvoorbeeld de toegangsrechten van een voormalige werknemer niet intrekt, kan die werknemer gevoelige informatie stelen.

Controle 5.18 behandelt hoe organisaties toegangsrechten moeten toewijzen, wijzigen en intrekken, rekening houdend met zakelijke vereisten.

Doel van de controle 5.18

Controle 5.18 stelt een organisatie in staat passende procedures en controles vast te stellen en te implementeren voor het toewijzen, wijzigen en intrekken van toegangsrechten tot informatiesystemen in overeenstemming met het toegangscontrolebeleid en de toegangscontroles van de organisatie.

Attributentabel

Controle 5.18 is een preventieve controle die organisaties verplicht het risico van ongeautoriseerde toegang tot informatiesystemen te elimineren door robuuste regels, procedures en controles in te voeren.

controle Type Eigenschappen voor informatiebeveiligingCyberbeveiligingsconceptenOperationele mogelijkhedenBeveiligingsdomeinen
#Preventief#Vertrouwelijkheid
#Integriteit
#Beschikbaarheid		#Beschermen #Identiteits- en toegangsbeheer#Bescherming
Ga naar onderwerp
Krijg een voorsprong op ISO 27001
  • Allemaal bijgewerkt met de 2022-besturingsset
  • Boek 81% vooruitgang vanaf het moment dat u inlogt
  • Eenvoudig en makkelijk te gebruiken
Boek uw demo
img

Eigendom van zeggenschap 5.18

Een informatiebeveiligingsfunctionaris moet verantwoordelijk zijn voor het vaststellen, implementeren en beoordelen van passende regels, processen en controles voor het verstrekken, wijzigen en intrekken van toegangsrechten tot informatiesystemen.

Bij het toewijzen, wijzigen en intrekken van toegangsrechten moet de informatiebeveiligingsfunctionaris rekening houden met de bedrijfsbehoeften en nauw samenwerken met de eigenaren van informatiemiddelen om ervoor te zorgen dat de regels en processen worden nageleefd.

Leidraad voor het verlenen en intrekken van toegangsrechten

Organisaties moeten de volgende regels en controles opnemen in het proces voor het toewijzen en intrekken van toegangsrechten aan een geauthenticeerde persoon:

  • De eigenaar van informatiemiddelen moet toestemming geven voor toegang tot en gebruik van relevante informatiemiddelen. Bovendien moeten organisaties ook overwegen om aparte goedkeuring van het management te vragen voor het verlenen van toegangsrechten.

  • Er moet rekening worden gehouden met de zakelijke behoeften van de organisatie en haar beleid op het gebied van toegangscontrole.

  • Organisaties moeten overwegen om taken te scheiden. Zo kunnen de goedkeuringstaak en de implementatie van toegangsrechten door afzonderlijke personen worden uitgevoerd.

  • Wanneer een individu geen toegang meer nodig heeft tot informatiemiddelen, vooral wanneer hij of zij geen deel meer uitmaakt van de organisatie, moeten zijn toegangsrechten onmiddellijk worden ingetrokken.

  • Aan personeel of ander personeel dat tijdelijk voor de organisatie werkt, kunnen tijdelijke toegangsrechten worden verleend. Deze rechten moeten worden ingetrokken wanneer ze niet langer voor de organisatie werken.

  • Het toegangsniveau dat aan een individu wordt verleend, moet in overeenstemming zijn met het toegangscontrolebeleid van de organisatie en moet regelmatig worden beoordeeld en geverifieerd. Bovendien moet het ook in overeenstemming zijn met andere eisen op het gebied van informatiebeveiliging, zoals de scheiding van taken zoals uiteengezet in Controle 5.3.

  • Organisaties moeten ervoor zorgen dat toegangsrechten pas worden geactiveerd als de juiste autorisatieprocedure is voltooid.

  • Toegangsrechten die aan elke individuele identificatiecode worden verleend, zoals ID of fysiek, moeten worden aangemeld bij een centraal toegangscontrolebeheersysteem en dit systeem moet worden onderhouden.

  • Als de rol of taken van een persoon veranderen, moet het niveau van de toegangsrechten worden bijgewerkt.

  • Het verwijderen of wijzigen van fysieke of logische toegangsrechten kan op de volgende manieren worden uitgevoerd: Verwijderen of vervangen van sleutels, ID-kaarten of authenticatie-informatie.

  • Wijzigingen in de fysieke en logische toegangsrechten van een gebruiker moeten op een systeem worden aangemeld en worden onderhouden.

Aanvullend richtsnoer voor de beoordeling van toegangsrechten

Fysieke en logische toegangsrechten moeten periodiek worden beoordeeld, waarbij rekening wordt gehouden met:

  • Wijzigingen in de toegangsrechten van elke gebruiker nadat deze binnen dezelfde organisatie zijn gepromoveerd of gedegradeerd, of nadat hun dienstverband is beëindigd.

  • Autorisatieprocedure voor het verlenen van bevoorrechte toegangsrechten.

Krijg een voorsprong
op ISO 27002

De enige naleving
oplossing die u nodig heeft
Boek uw demo

Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

Begeleiding bij verandering of beëindiging van dienstverband

Voordat een werknemer binnen dezelfde organisatie wordt gepromoveerd of gedegradeerd of wanneer zijn/haar dienstverband wordt beëindigd, moeten zijn/haar toegangsrechten tot informatieverwerkingssystemen worden geëvalueerd en aangepast, waarbij rekening wordt gehouden met de volgende risicofactoren:

  • Of het beëindigingsproces wordt geïnitieerd door de werknemer of door de organisatie en de reden voor beëindiging.

  • Huidige verantwoordelijkheden van de medewerker binnen de organisatie.

  • Kritiek en waarde van informatiemiddelen die toegankelijk zijn voor de werknemer.

Aanvullende begeleiding

Organisaties moeten overwegen om gebruikerstoegangsrollen in te stellen op basis van hun zakelijke vereisten. Deze rollen moeten de typen en het aantal toegangsrechten omvatten die aan elke gebruikersgroep moeten worden verleend.

Door dergelijke rollen te creëren, wordt het eenvoudiger om toegangsaanvragen en rechten te beheren en te beoordelen.

Organisaties moeten contractuele bepalingen voor ongeoorloofde toegang en sancties voor dergelijke toegang opnemen in hun arbeids-/dienstencontracten met hun personeel. Dit moet in overeenstemming zijn met de controles 5.20, 6.2, 6.4 en 6.6.

Organisaties moeten voorzichtig zijn met ontevreden werknemers die door het management worden ontslagen omdat ze met opzet informatiesystemen kunnen beschadigen.

Als organisaties besluiten de kloontechnieken te gebruiken om toegangsrechten te verlenen, moeten ze dit uitvoeren op basis van verschillende rollen die door de organisatie zijn vastgesteld.

Opgemerkt moet worden dat klonen het inherente risico met zich meebrengt dat er buitensporige toegangsrechten worden verleend.

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/5.18 vervangt 27002:2013/(9.2.2, 9.2.5, 9.2.6).

Versie 2022 bevat uitgebreidere vereisten voor het verlenen en intrekken van toegangsrechten

Hoewel Control 9.2.2 in de versie van 2013 zes vereisten vermeldde voor het toewijzen en intrekken van toegangsrechten, introduceert Control 5.18 in de versie van 2022 drie nieuwe vereisten naast deze zes vereisten:

  • Aan personeel of ander personeel dat tijdelijk voor de organisatie werkt, kunnen tijdelijke toegangsrechten worden verleend. Deze rechten moeten worden ingetrokken wanneer zij geen werkzaamheden meer verrichten voor de organisatie.

  • Het verwijderen of wijzigen van fysieke of logische toegangsrechten kan op de volgende manieren worden uitgevoerd: Verwijderen of vervangen van sleutels, ID-kaarten of authenticatie-informatie.

  • Wijzigingen in de fysieke en logische toegangsrechten van een gebruiker moeten worden geregistreerd en onderhouden.

Versie 2013 bevat meer gedetailleerde vereisten voor geprivilegieerde toegangsrechten

In Control 9.5 in versie 2013 werd expliciet aangegeven dat organisaties de autorisatie voor geprivilegieerde toegangsrechten met frequentere tussenpozen moeten beoordelen dan voor andere toegangsrechten. Controle 5.18 in versie 2022 bevatte deze vereiste daarentegen niet.

Hoe ISMS.online helpt

ISMS.online is een cloudgebaseerd platform dat ondersteuning biedt bij het efficiënt en kosteneffectief implementeren van de ISO 2702-standaard.

Het biedt organisaties te allen tijde eenvoudig toegang tot actuele informatie over hun nalevingsstatus via de gebruiksvriendelijke dashboardinterface waarmee managers hun voortgang op het gebied van het bereiken van naleving snel en eenvoudig kunnen volgen.

Neem vandaag nog contact op met boek een demo.

Ben je klaar voor
de nieuwe ISO 27002

Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.7NewBedreigingsintelligentie
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.30NewICT gereed voor bedrijfscontinuïteit
7.4NewFysieke beveiligingsmonitoring
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.16NewMonitoring activiteiten
8.23NewWeb filtering
8.28NewVeilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.105.1.1, 05.1.2Beleid voor informatiebeveiliging
5.206.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.306.1.2Scheiding van taken
5.407.2.1Directie verantwoordelijkheden
5.506.1.3Contact met autoriteiten
5.606.1.4Contact met speciale belangengroepen
5.7NewBedreigingsintelligentie
5.806.1.5, 14.1.1Informatiebeveiliging in projectmanagement
5.908.1.1, 08.1.2Inventarisatie van informatie en andere bijbehorende activa
5.1008.1.3, 08.2.3Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.1108.1.4Teruggave van activa
5.12 08.2.1Classificatie van informatie
5.1308.2.2Etikettering van informatie
5.1413.2.1, 13.2.2, 13.2.3Informatieoverdracht
5.1509.1.1, 09.1.2Toegangscontrole
5.1609.2.1Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3Authenticatie-informatie
5.1809.2.2, 09.2.5, 09.2.6Toegangsrechten
5.1915.1.1Informatiebeveiliging in leveranciersrelaties
5.2015.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.2115.1.3Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.2215.2.1, 15.2.2Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23NewInformatiebeveiliging voor gebruik van clouddiensten
5.2416.1.1Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.2516.1.4Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.2616.1.5Reactie op informatiebeveiligingsincidenten
5.2716.1.6Leren van informatiebeveiligingsincidenten
5.2816.1.7Verzameling van bewijs
5.2917.1.1, 17.1.2, 17.1.3Informatiebeveiliging tijdens verstoring
5.30NewICT gereed voor bedrijfscontinuïteit
5.3118.1.1, 18.1.5Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.3218.1.2Intellectuele eigendomsrechten
5.3318.1.3Bescherming van documenten
5.3418.1.4Privacy en bescherming van PII
5.3518.2.1Onafhankelijke beoordeling van informatiebeveiliging
5.3618.2.2, 18.2.3Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.3712.1.1Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
6.107.1.1Doorlichting
6.207.1.2Arbeidsvoorwaarden
6.307.2.2Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.407.2.3Disciplinair proces
6.507.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.613.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.706.2.2Werken op afstand
6.816.1.2, 16.1.3Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
7.111.1.1Fysieke veiligheidsperimeters
7.211.1.2, 11.1.6Fysieke toegang
7.311.1.3Beveiligen van kantoren, kamers en faciliteiten
7.4NewFysieke beveiligingsmonitoring
7.511.1.4Bescherming tegen fysieke en ecologische bedreigingen
7.611.1.5Werken in beveiligde ruimtes
7.711.2.9Overzichtelijk bureau en helder scherm
7.811.2.1Locatie en bescherming van apparatuur
7.911.2.6Beveiliging van activa buiten het terrein
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Opslag media
7.1111.2.2Ondersteunende nutsvoorzieningen
7.1211.2.3Beveiliging van de bekabeling
7.1311.2.4Apparatuuronderhoud
7.1411.2.7Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
8.106.2.1, 11.2.8Eindpuntapparaten van gebruikers
8.209.2.3Bevoorrechte toegangsrechten
8.309.4.1Beperking van toegang tot informatie
8.409.4.5Toegang tot broncode
8.509.4.2Veilige authenticatie
8.612.1.3Capaciteitsmanagement
8.712.2.1Bescherming tegen malware
8.812.6.1, 18.2.3Beheer van technische kwetsbaarheden
8.9NewConfiguratiebeheer
8.10NewVerwijdering van informatie
8.11NewGegevensmaskering
8.12NewPreventie van gegevenslekken
8.1312.3.1Informatie back-up
8.1417.2.1Redundantie van informatieverwerkingsfaciliteiten
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NewMonitoring activiteiten
8.1712.4.4klok synchronisatie
8.1809.4.4Gebruik van bevoorrechte hulpprogramma's
8.1912.5.1, 12.6.2Installatie van software op operationele systemen
8.2013.1.1Netwerkbeveiliging
8.2113.1.2Beveiliging van netwerkdiensten
8.2213.1.3Segregatie van netwerken
8.23NewWeb filtering
8.2410.1.1, 10.1.2Gebruik van cryptografie
8.2514.2.1Veilige ontwikkelingslevenscyclus
8.2614.1.2, 14.1.3Beveiligingsvereisten voor applicaties
8.2714.2.5Veilige systeemarchitectuur en engineeringprincipes
8.28NewVeilige codering
8.2914.2.8, 14.2.9Beveiligingstesten in ontwikkeling en acceptatie
8.3014.2.7Uitbestede ontwikkeling
8.3112.1.4, 14.2.6Scheiding van ontwikkel-, test- en productieomgevingen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Wijzig beheer
8.3314.3.1Test informatie
8.3412.7.1Bescherming van informatiesystemen tijdens audittests
Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie