Jokaisella organisaatiosi työntekijällä on oltava pääsy tiettyihin tietokoneisiin, tietokantoihin, tietojärjestelmiin ja sovelluksiin tehtäviensä suorittamiseksi.
Vaikka henkilöstöhenkilöstö saattaa esimerkiksi tarvita pääsyn työntekijöiden arkaluonteisiin terveystietoihin, talousosastosi voi luottaa työntekijöiden palkkatiedot sisältävien tietokantojen käyttöön ja käyttämiseen.
Nämä käyttöoikeudet tulee kuitenkin tarjota, muokata ja peruuttaa organisaatiosi kulunvalvontakäytännön ja sen pääsynvalvontatoimintojen mukaisesti, jotta voit estää tietovarallisuuden luvattoman käytön, muuttamisen ja tuhoamisen.
Jos et esimerkiksi peruuta entisen työntekijän käyttöoikeuksia, hän saattaa varastaa arkaluonteisia tietoja.
Ohjaus 5.18 käsittelee sitä, kuinka organisaatioiden tulee antaa, muokata ja peruuttaa käyttöoikeuksia liiketoiminnan vaatimukset huomioon ottaen.
Ohjaus 5.18 antaa organisaatiolle mahdollisuuden luoda ja toteuttaa asianmukaiset menettelyt ja valvontatoimenpiteet tietojärjestelmien käyttöoikeuksien myöntämiseksi, muokkaamiseksi ja peruuttamiseksi organisaation kulunvalvontapolitiikan ja sen kulunvalvontamenetelmien mukaisesti.
Control 5.18 on ennaltaehkäisevä valvonta, joka vaatii organisaatioita poistamaan tietojärjestelmien luvattoman käytön riskit ottamalla käyttöön vankat säännöt, menettelyt ja valvontatoimenpiteet.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Identiteetti- ja käyttöoikeushallinta | #Suojaus |
Tietoturvavastaavan tulee olla vastuussa asianmukaisten sääntöjen, prosessien ja valvonnan laatimisesta, täytäntöönpanosta ja tarkistamisesta tietojärjestelmien käyttöoikeuksien tarjoamiseksi, muuttamiseksi ja peruuttamiseksi.
Käyttöoikeuksia luovuttaessaan, muutettaessa ja peruuttaessaan tietoturvavastaavan tulee ottaa huomioon liiketoiminnan tarpeet ja tehdä tiivistä yhteistyötä tietovarojen omistajien kanssa varmistaakseen, että sääntöjä ja prosesseja noudatetaan.
Organisaatioiden tulee sisällyttää seuraavat säännöt ja hallintalaitteet käyttöoikeuksien luovutus- ja peruutusprosessiin todennetulle henkilölle:
Fyysiset ja loogiset käyttöoikeudet tulee käydä läpi säännöllisin väliajoin ottaen huomioon:
Ennen kuin työntekijä ylennetään tai alennetaan samassa organisaatiossa tai kun hänen työsuhteensa päättyy, hänen pääsyoikeuksiaan tietojenkäsittelyjärjestelmiin tulee arvioida ja muuttaa ottaen huomioon seuraavat riskitekijät:
Organisaatioiden tulisi harkita käyttöoikeusroolien perustamista liiketoimintavaatimustensa perusteella. Näihin rooleihin tulee sisältyä kullekin käyttäjäryhmälle myönnettävien käyttöoikeuksien tyypit ja määrä.
Tällaisten roolien luominen helpottaa käyttöoikeuspyyntöjen ja -oikeuksien hallintaa ja tarkastelua.
Organisaatioiden olisi sisällytettävä henkilöstönsä kanssa tekemiinsä työ- tai palvelusopimuksiin sopimusmääräykset luvatonta pääsyä ja pääsyä koskeviin seuraamuksiin. Tämän tulee olla ohjaimien 5.20, 6.2, 6.4 ja 6.6 mukainen.
Organisaatioiden tulee olla varovaisia johdon irtisanomien tyytymättömien työntekijöiden suhteen, koska he voivat vahingoittaa tietojärjestelmiä tarkoituksella.
Jos organisaatiot päättävät käyttää kloonaustekniikoita käyttöoikeuksien myöntämiseen, niiden olisi suoritettava se organisaation määrittelemien erillisten roolien perusteella.
On huomattava, että kloonaukseen liittyy luontainen riski liiallisten käyttöoikeuksien myöntämisestä.
27002:2022/5.18 korvaa 27002:2013/(9.2.2, 9.2.5, 9.2.6).
Vaikka Control 9.2.2 vuoden 2013 versiossa listasi kuusi vaatimusta käyttöoikeuksien myöntämiselle ja peruuttamiselle, vuoden 5.18 version Control 2022 sisältää kolme uutta vaatimusta näiden kuuden vaatimuksen lisäksi:
Control 9.5 versiossa 2013 totesi nimenomaisesti, että organisaatioiden tulee tarkistaa etuoikeutettujen käyttöoikeuksien valtuutus useammin kuin muut käyttöoikeudet. Version 5.18 ohjaus 2022 ei päinvastoin sisältänyt tätä vaatimusta.
ISMS.online on pilvipohjainen alusta, joka tarjoaa apua ISO 2702 -standardin tehokkaassa ja kustannustehokkaassa käyttöönotossa.
Se tarjoaa organisaatioille helpon pääsyn ajantasaisiin tietoihin vaatimustenmukaisuuden tilasta aina käyttäjäystävällisen kojelautaliittymänsä kautta, jonka avulla johtajat voivat seurata edistymistään vaatimustenmukaisuuden saavuttamisessa nopeasti ja helposti.
Ota yhteyttä jo tänään varaa esittely.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |