ISO 27002:2022, ohjaus 8.2 – Etuoikeutetut käyttöoikeudet

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002:2022 tarkistettu valvonta

rento,mies,,freelance,työskentely,kannettavalla,tietokoneella,ja,napsauttamalla,langaton

casual,man,,freelance,working,on,laptop,computer,and,clicking,wireless

Valvonnan tarkoitus 8.2

Haitallinen tai virheellinen korotettujen järjestelmänvalvojan oikeuksien käyttö on yksi tärkeimmistä ICT-häiriöiden syistä kaupallisissa verkoissa kaikkialla maailmassa.

Etuoikeutettujen käyttöoikeuksien avulla organisaatiot voivat hallita pääsyä infrastruktuuriinsa, sovelluksiinsa, omaisuutensa ja säilyttää kaikkien tallennettujen tietojen ja järjestelmien eheyden.

Ohjaus 8.2 on a ennaltaehkäisevä valvonta että ylläpitää riskiä perustamalla valtuutuksen prosessi, joka käsittelee kaikki käyttöoikeuspyynnöt organisaation ICT-verkon ja siihen liittyvien resurssien yli.

Ominaisuustaulukko

Ohjaus	Tietoturvaominaisuudet	Kyberturvallisuuden käsitteet	Toiminnalliset valmiudet	Turvallisuus Domains
#Ennaltaehkäisevä	#Luottamuksellisuus #Integrity #Saatavuus	#Suojella	#Identiteetti- ja käyttöoikeushallinta	#Suojaus

Määräysvallan omistus 8.2

Ohjaus 8.6 käsittelee an organisaation kyky hallita pääsyä tietoihin käyttäjätilien kautta, joilla on parannetut käyttöoikeudet.

Sellaisenaan omistusoikeuden tulisi olla IT-päälliköllä (tai vastaavalla organisaatiolla), joka omistaa vastuuta organisaatiosta kyky hallita ja valvoa etuoikeutettuja verkkotunnuksen tai sovelluksen käyttäjätilejä.

Siirry aiheeseen

Valvonnan tarkoitus 8.2
Ohjauksen ominaisuudet 8.2
Määräysvallan omistus 8.2
Yleiset valvontaohjeet 8.2
Muutokset ja erot ISO 27002:2013:sta
Miten ISMS.online auttaa

Hanki Headstart ISO 27001 -standardilla

Kaikki päivitetty vuoden 2022 ohjaussarjalla
Edisty 81 % sisäänkirjautumisen jälkeen
Yksinkertainen ja helppokäyttöinen

Varaa esittelysi

Yleiset valvontaohjeet 8.2

Ohjaus 8.2 sisältää 12 pääohjetta organisaatiot tarvitsevat noudatettava "aihekohtaisen" kulunvalvontapolitiikan mukaisesti (katso Ohjaus 5.15), joka kohdistuu yksittäisiin liiketoimintatoimintoihin.

Organisaatioiden tulee:

Tunnista luettelo käyttäjistä, jotka tarvitsevat jonkin verran etuoikeutettuja käyttöoikeuksia joko yksittäiselle järjestelmälle, kuten tietokantasovellukselle tai taustalla olevalle käyttöjärjestelmälle.

Ylläpidä käytäntöä, joka jakaa käyttäjille etuoikeutetut käyttöoikeudet niin sanotun "tapahtumakohtaisesti" – käyttäjille on myönnettävä käyttöoikeustasot sen vähimmäismäärän perusteella, mitä he tarvitsevat tehtävänsä suorittamiseksi.

Selkeän valtuutusprosessin hahmottaminen, joka käsittelee kaikki etuoikeutettuja käyttöoikeuksia koskevat pyynnöt, mukaan lukien kirjaaminen kaikista toteutetuista käyttöoikeuksista.

Varmista, että käyttöoikeuksilla on asianmukainen voimassaoloaika.

Varmista, että käyttäjät ovat nimenomaisesti tietoinen mistä tahansa ajanjaksosta, jolloin he toimivat etuoikeutetulla pääsyllä järjestelmään.

Tarvittaessa käyttäjiä pyydetään todentamaan uudelleen ennen etuoikeutettujen käyttöoikeuksien käyttöä parantaakseen tieto-/tietoturvallisuutta.

Suorita säännöllisiä tarkastuksia etuoikeutetuista käyttöoikeuksista, erityisesti organisaatiomuutosten jälkeen. Käyttäjien käyttöoikeuksia tulisi tarkastella heidän "tehtäviensä, roolien, vastuiden ja pätevyyden" perusteella (katso Valvonta 5.18).

Harkitse ns. lasinmurtomenettelyä – eli varmista, että etuoikeutetut käyttöoikeudet myönnetään tiukasti kontrolloiduissa aikaikkunoissa, jotka täyttävät suoritettavan toiminnon vähimmäisvaatimukset (kriittiset muutokset, järjestelmän hallinta jne.).

Varmista, että kaikki etuoikeutetut käyttöoikeudet kirjataan lokiin.

Estä yleisten järjestelmän kirjautumistietojen (etenkin standardoitujen käyttäjätunnusten ja salasanojen) käyttö (katso Ohjaus 5.17).

Noudata käytäntöä määrittää käyttäjille erillinen identiteetti, mikä mahdollistaa etuoikeutettujen käyttöoikeuksien tiukemman hallinnan. Tällaiset identiteetit voidaan sitten ryhmitellä yhteen, jolloin liittyvälle ryhmälle tarjotaan eritasoisia käyttöoikeuksia.

Varmista, että etuoikeutetut käyttöoikeudet on varattu vain kriittisiin tehtäviin, jotka liittyvät toimivan ICT-verkon jatkuvaan toimintaan – kuten järjestelmänhallinta ja verkon ylläpito.

Ohjaimet tukevat

5.15

Oletko valmis
uusi ISO 27002

Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi

Päivitetty ISO 27001 2022 -standardia varten

81 % työstä on tehty puolestasi
Varmennettujen tulosten menetelmä sertifioinnin onnistumiseen
Säästä aikaa, rahaa ja vaivaa

Varaa esittelysi

Muutokset ja erot standardista ISO 27002:2013

Ohjaus 27002:2022-8.2 korvaa 27002:2013-9.2.3 (Etuoikeutettujen käyttöoikeuksien hallinta).

27002:2022-8.2 sisältää 5 tärkeintä ohjekohtaa, jotka eivät ole selkeät vuoden 2013 vastineessa:

27002:2022-8.2 ei nimenomaisesti vaadi eri käyttäjätunnusta etuoikeutetuille käyttöoikeuksille.

27002:2022-8.2 korostaa tarvetta todentaa uudelleen ennen etuoikeutettujen käyttöoikeuksien saamista.

27002:2022-8.2 kannattaa lasinmurtoa suoritettaessa kriittisiä huoltotehtäviä tiukasti valvottujen aikaikkunoiden perusteella.

27002:2022-8.2 pyytää organisaatioita pitämään perusteellisia käyttöoikeuslokeja, tilintarkastustarkoituksiin.

27002:2022-8.2 pyytää organisaatioita rajoittamaan etuoikeutettujen käyttöoikeuksien käyttöä hallinnollisiin tehtäviin.

Miten ISMS.online auttaa

ISO 27002, Control 6.6, kattaa organisaatioiden tarpeen estää luottamuksellisten tietojen vuotaminen perustamalla luottamuksellisuussopimukset asianomaisten osapuolten kanssa ja henkilöstöä.

Pilvipohjainen alustamme tarjoaa täydellisen valikoiman työkaluja, jotka auttavat organisaatioita perustamaan tietoturvan hallintajärjestelmä (ISMS) mukaan ISO 27002.

Näitä työkaluja ovat:

Kirjasto malleja yleisille yritysasiakirjoille.

Joukko ennalta määritettyjä käytäntöjä ja menettelytapoja.

Tarkastustyökalu sisäisen tarkastuksen tueksi.

Asetuskäyttöliittymä mukauttamiseen ISMS-käytännöt ja menettelyt.

Hyväksynnän työnkulku kaikille käytäntöihin ja menettelyihin tehdyille muutoksille.

Tarkistuslista varmistaaksesi, että käytäntösi ja tietoturvaprosessisi noudattavat hyväksyttyjä kansainvälisiä standardeja.

ISMS.Online antaa käyttäjille myös mahdollisuuden:

Hallitse kaikkia ISMS:n osa-alueita elinkaari helposti.

Saat reaaliaikaisia näkemyksiä heidän tietoturva-asennostaan ja vaatimustenmukaisuusaukoistaan.

Integroi muihin järjestelmiin, kuten HR-, talous- ja projektinhallintaan.

Osoita noudattavansa niitä ISMS ja ISO 27001 standardit.

ISMS.Online-työkalu opastaa myös ISMS:n parhaiten toteuttamisessa antamalla vinkkejä politiikkojen ja menettelyjen luomiseen, jotka liittyvät esimerkiksi riskienhallintaan, henkilöstön tietoturvakoulutukseen ja häiriötilanteiden hallintaan.

Hanki Headstart
ISO 27002:lla

Ainoa noudattaminen
tarvitsemasi ratkaisu
Varaa esittelysi

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.7	Uusi	Uhan älykkyys
5.23	Uusi	Tietoturva pilvipalvelujen käyttöön
5.30	Uusi	ICT-valmius liiketoiminnan jatkuvuuteen
7.4	Uusi	Fyysisen turvallisuuden valvonta
8.9	Uusi	Kokoonpanonhallinta
8.10	Uusi	Tietojen poistaminen
8.11	Uusi	Tietojen peittäminen
8.12	Uusi	Tietovuotojen esto
8.16	Uusi	Toimien seuranta
8.23	Uusi	Web-suodatus
8.28	Uusi	Turvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.1	05.1.1, 05.1.2	Tietoturvakäytännöt
5.2	06.1.1	Tietoturvaroolit ja -vastuut
5.3	06.1.2	Tehtävien eriyttäminen
5.4	07.2.1	Johdon vastuut
5.5	06.1.3	Yhteys viranomaisiin
5.6	06.1.4	Ota yhteyttä erityisiin eturyhmiin
5.7	Uusi	Uhan älykkyys
5.8	06.1.5, 14.1.1	Tietoturva projektinhallinnassa
5.9	08.1.1, 08.1.2	Tietojen ja muiden niihin liittyvien varojen luettelo
5.10	08.1.3, 08.2.3	Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11	08.1.4	Omaisuuden palautus
5.12	08.2.1	Tietojen luokitus
5.13	08.2.2	Tietojen merkitseminen
5.14	13.2.1, 13.2.2, 13.2.3	Tietojen siirto
5.15	09.1.1, 09.1.2	Kulunvalvonta
5.16	09.2.1	Identiteettihallinta
5.17	09.2.4, 09.3.1, 09.4.3	Todennustiedot
5.18	09.2.2, 09.2.5, 09.2.6	Käyttöoikeudet
5.19	15.1.1	Tietoturva toimittajasuhteissa
5.20	15.1.2	Tietoturvan huomioiminen toimittajasopimuksissa
5.21	15.1.3	Tietoturvan hallinta ICT-toimitusketjussa
5.22	15.2.1, 15.2.2	Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23	Uusi	Tietoturva pilvipalvelujen käyttöön
5.24	16.1.1	Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25	16.1.4	Tietoturvatapahtumien arviointi ja päätös
5.26	16.1.5	Tietoturvahäiriöihin reagointi
5.27	16.1.6	Tietoturvahäiriöistä oppiminen
5.28	16.1.7	Todisteiden kerääminen
5.29	17.1.1, 17.1.2, 17.1.3	Tietoturva häiriön aikana
5.30	Uusi	ICT-valmius liiketoiminnan jatkuvuuteen
5.31	18.1.1, 18.1.5	Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32	18.1.2	Immateriaalioikeudet
5.33	18.1.3	Tietueiden suojaus
5.34	18.1.4	Yksityisyys ja henkilötietojen suoja
5.35	18.2.1	Riippumaton tietoturvatarkastus
5.36	18.2.2, 18.2.3	Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37	12.1.1	Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
6.1	07.1.1	Seulonta
6.2	07.1.2	Työsuhteen ehdot
6.3	07.2.2	Tietoturvatietoisuus, koulutus ja koulutus
6.4	07.2.3	Kurinpitoprosessi
6.5	07.3.1	Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6	13.2.4	Luottamuksellisuus- tai salassapitosopimukset
6.7	06.2.2	Etätyö
6.8	16.1.2, 16.1.3	Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
7.1	11.1.1	Fyysisen turvallisuuden rajat
7.2	11.1.2, 11.1.6	Fyysinen sisääntulo
7.3	11.1.3	Toimistojen, huoneiden ja tilojen turvaaminen
7.4	Uusi	Fyysisen turvallisuuden valvonta
7.5	11.1.4	Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6	11.1.5	Työskentely turvallisilla alueilla
7.7	11.2.9	Selkeä pöytä ja selkeä näyttö
7.8	11.2.1	Laitteiden sijoitus ja suojaus
7.9	11.2.6	Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Tallennusvälineet
7.11	11.2.2	Apuohjelmia tukevat
7.12	11.2.3	Kaapeloinnin turvallisuus
7.13	11.2.4	Laitehuolto
7.14	11.2.7	Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
8.1	06.2.1, 11.2.8	Käyttäjän päätelaitteet
8.2	09.2.3	Etuoikeutetut käyttöoikeudet
8.3	09.4.1	Tiedon pääsyn rajoitus
8.4	09.4.5	Pääsy lähdekoodiin
8.5	09.4.2	Turvallinen todennus
8.6	12.1.3	Kapasiteetin hallinta
8.7	12.2.1	Suojaus haittaohjelmia vastaan
8.8	12.6.1, 18.2.3	Teknisten haavoittuvuuksien hallinta
8.9	Uusi	Kokoonpanonhallinta
8.10	Uusi	Tietojen poistaminen
8.11	Uusi	Tietojen peittäminen
8.12	Uusi	Tietovuotojen esto
8.13	12.3.1	Tietojen varmuuskopiointi
8.14	17.2.1	Tietojenkäsittelylaitteiden redundanssi
8.15	12.4.1, 12.4.2, 12.4.3	Hakkuu
8.16	Uusi	Toimien seuranta
8.17	12.4.4	Kellon synkronointi
8.18	09.4.4	Etuoikeutettujen apuohjelmien käyttö
8.19	12.5.1, 12.6.2	Ohjelmistojen asennus käyttöjärjestelmiin
8.20	13.1.1	Verkkojen turvallisuus
8.21	13.1.2	Verkkopalvelujen turvallisuus
8.22	13.1.3	Verkkojen erottelu
8.23	Uusi	Web-suodatus
8.24	10.1.1, 10.1.2	Salaustekniikan käyttö
8.25	14.2.1	Turvallinen kehityksen elinkaari
8.26	14.1.2, 14.1.3	Sovelluksen suojausvaatimukset
8.27	14.2.5	Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28	Uusi	Turvallinen koodaus
8.29	14.2.8, 14.2.9	Tietoturvatestausta kehitetään ja hyväksytään
8.30	14.2.7	Ulkoistettu kehitys
8.31	12.1.4, 14.2.6	Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Muutoksen hallinta
8.33	14.3.1	Testitiedot
8.34	12.7.1	Tietojärjestelmien suojaus auditointitestauksen aikana

Olemme kustannustehokkaita ja nopeita

Selvitä, kuinka se parantaa sijoitetun pääoman tuottoprosenttia

Hanki tarjous