Hyppää sisältöön
ISMS.online

ISO 27002:2022 – Ohjaus 8.2 – Etuoikeutetut käyttöoikeudet

ISO 27002:2022 Control 8.2 – Privileged Access Rights korostaa etuoikeutetun pääsyn rajoittamisen, valvonnan ja säännöllisen tarkistamisen tärkeyttä välttämättömien vähimmäisoikeuksien varmistamiseksi ja tietoturvan turvaamiseksi.

kirjailija
Sam Peters
Päivitetty heinäkuu 25, 2025
4/5 tähteä

Valvonnan tarkoitus 8.2

Haitallinen tai virheellinen korotettujen järjestelmänvalvojan oikeuksien käyttö on yksi tärkeimmistä ICT-häiriöiden syistä kaupallisissa verkoissa kaikkialla maailmassa.

Etuoikeutettujen käyttöoikeuksien avulla organisaatiot voivat hallita pääsyä infrastruktuuriinsa, sovelluksiinsa, omaisuutensa ja säilyttää kaikkien tallennettujen tietojen ja järjestelmien eheyden.

Ohjaus 8.2 on a ennaltaehkäisevä valvonta että ylläpitää riskiä perustamalla valtuutuksen prosessi, joka käsittelee kaikki käyttöoikeuspyynnöt organisaation ICT-verkon ja siihen liittyvien resurssien yli.

Attribuuttien ohjaustaulukko 8.2

Ohjaus Tietoturvaominaisuudet Kyberturvallisuuden käsitteet Toiminnalliset valmiudet Turvallisuus Domains
#Ennaltaehkäisevä #Luottamuksellisuus #Suojella #Identiteetti- ja käyttöoikeushallinta #Suojaus
#Integrity
#Saatavuus

Määräysvallan omistus 8.2

Ohjaus 8.6 käsittelee an organisaation kyky hallita pääsyä tietoihin käyttäjätilien kautta, joilla on parannetut käyttöoikeudet.

Sellaisenaan omistusoikeuden tulisi olla IT-päälliköllä (tai vastaavalla organisaatiolla), joka omistaa vastuuta organisaatiosta kyky hallita ja valvoa etuoikeutettuja verkkotunnuksen tai sovelluksen käyttäjätilejä.



ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

81 %:n etumatka ensimmäisestä päivästä lähtien

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita


Yleiset valvontaohjeet 8.2

Ohjaus 8.2 sisältää 12 pääohjetta organisaatiot tarvitsevat noudatettava "aihekohtaisen" kulunvalvontapolitiikan mukaisesti (katso Ohjaus 5.15), joka kohdistuu yksittäisiin liiketoimintatoimintoihin.

Organisaatioiden tulee:

  1. Tunnista luettelo käyttäjistä, jotka tarvitsevat jonkin verran etuoikeutettuja käyttöoikeuksia joko yksittäiselle järjestelmälle, kuten tietokantasovellukselle tai taustalla olevalle käyttöjärjestelmälle.
  2. Ylläpidä käytäntöä, joka jakaa käyttäjille etuoikeutetut käyttöoikeudet niin sanotun "tapahtumakohtaisesti" – käyttäjille on myönnettävä käyttöoikeustasot sen vähimmäismäärän perusteella, mitä he tarvitsevat tehtävänsä suorittamiseksi.
  3. Selkeän valtuutusprosessin hahmottaminen, joka käsittelee kaikki etuoikeutettuja käyttöoikeuksia koskevat pyynnöt, mukaan lukien kirjaaminen kaikista toteutetuista käyttöoikeuksista.
  4. Varmista, että käyttöoikeuksilla on asianmukainen voimassaoloaika.
  5. Varmista, että käyttäjät ovat nimenomaisesti tietoinen mistä tahansa ajanjaksosta, jolloin he toimivat etuoikeutetulla pääsyllä järjestelmään.
  6. Tarvittaessa käyttäjiä pyydetään todentamaan uudelleen ennen etuoikeutettujen käyttöoikeuksien käyttöä parantaakseen tieto-/tietoturvallisuutta.
  7. Suorita säännöllisiä tarkastuksia etuoikeutetuista käyttöoikeuksista, erityisesti organisaatiomuutosten jälkeen. Käyttäjien käyttöoikeuksia tulisi tarkastella heidän "tehtäviensä, roolien, vastuiden ja pätevyyden" perusteella (katso Valvonta 5.18).
  8. Harkitse ns. lasinmurtomenettelyä – eli varmista, että etuoikeutetut käyttöoikeudet myönnetään tiukasti kontrolloiduissa aikaikkunoissa, jotka täyttävät suoritettavan toiminnon vähimmäisvaatimukset (kriittiset muutokset, järjestelmän hallinta jne.).
  9. Varmista, että kaikki etuoikeutetut käyttöoikeudet kirjataan lokiin.
  10. Estä yleisten järjestelmän kirjautumistietojen (etenkin standardoitujen käyttäjätunnusten ja salasanojen) käyttö (katso Ohjaus 5.17).
  11. Noudata käytäntöä määrittää käyttäjille erillinen identiteetti, mikä mahdollistaa etuoikeutettujen käyttöoikeuksien tiukemman hallinnan. Tällaiset identiteetit voidaan sitten ryhmitellä yhteen, jolloin liittyvälle ryhmälle tarjotaan eritasoisia käyttöoikeuksia.
  12. Varmista, että etuoikeutetut käyttöoikeudet on varattu vain kriittisiin tehtäviin, jotka liittyvät toimivan ICT-verkon jatkuvaan toimintaan – kuten järjestelmänhallinta ja verkon ylläpito.

Ohjaimet tukevat

  • 5.15


kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Muutokset ja erot standardista ISO 27002:2013

Ohjaus 27002:2022-8.2 korvaa 27002:2013-9.2.3 (Etuoikeutettujen käyttöoikeuksien hallinta).

27002:2022-8.2 sisältää 5 tärkeintä ohjekohtaa, jotka eivät ole selkeät vuoden 2013 vastineessa:

  • 27002:2022-8.2 ei nimenomaisesti vaadi eri käyttäjätunnusta etuoikeutetuille käyttöoikeuksille.
  • 27002:2022-8.2 korostaa tarvetta todentaa uudelleen ennen etuoikeutettujen käyttöoikeuksien saamista.
  • 27002:2022-8.2 kannattaa lasinmurtoa suoritettaessa kriittisiä huoltotehtäviä tiukasti valvottujen aikaikkunoiden perusteella.
  • 27002:2022-8.2 pyytää organisaatioita pitämään perusteellisia käyttöoikeuslokeja, tilintarkastustarkoituksiin.
  • 27002:2022-8.2 pyytää organisaatioita rajoittamaan etuoikeutettujen käyttöoikeuksien käyttöä hallinnollisiin tehtäviin.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.7 UUSI Uhan älykkyys
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.30 UUSI ICT-valmius liiketoiminnan jatkuvuuteen
7.4 UUSI Fyysisen turvallisuuden valvonta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.16 UUSI Toimien seuranta
8.23 UUSI Web-suodatus
8.28 UUSI Turvallinen koodaus
Organisaation valvonta
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.1 05.1.1, 05.1.2 Tietoturvakäytännöt
5.2 06.1.1 Tietoturvaroolit ja -vastuut
5.3 06.1.2 Tehtävien eriyttäminen
5.4 07.2.1 Johdon vastuut
5.5 06.1.3 Yhteys viranomaisiin
5.6 06.1.4 Ota yhteyttä erityisiin eturyhmiin
5.7 UUSI Uhan älykkyys
5.8 06.1.5, 14.1.1 Tietoturva projektinhallinnassa
5.9 08.1.1, 08.1.2 Tietojen ja muiden niihin liittyvien varojen luettelo
5.10 08.1.3, 08.2.3 Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11 08.1.4 Omaisuuden palautus
5.12 08.2.1 Tietojen luokitus
5.13 08.2.2 Tietojen merkitseminen
5.14 13.2.1, 13.2.2, 13.2.3 Tietojen siirto
5.15 09.1.1, 09.1.2 Kulunvalvonta
5.16 09.2.1 Identiteettihallinta
5.17 09.2.4, 09.3.1, 09.4.3 Todennustiedot
5.18 09.2.2, 09.2.5, 09.2.6 Käyttöoikeudet
5.19 15.1.1 Tietoturva toimittajasuhteissa
5.20 15.1.2 Tietoturvan huomioiminen toimittajasopimuksissa
5.21 15.1.3 Tietoturvan hallinta ICT-toimitusketjussa
5.22 15.2.1, 15.2.2 Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.24 16.1.1 Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25 16.1.4 Tietoturvatapahtumien arviointi ja päätös
5.26 16.1.5 Tietoturvahäiriöihin reagointi
5.27 16.1.6 Tietoturvahäiriöistä oppiminen
5.28 16.1.7 Todisteiden kerääminen
5.29 17.1.1, 17.1.2, 17.1.3 Tietoturva häiriön aikana
5.30 5.30 ICT-valmius liiketoiminnan jatkuvuuteen
5.31 18.1.1, 18.1.5 Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32 18.1.2 Immateriaalioikeudet
5.33 18.1.3 Tietueiden suojaus
5.34 18.1.4 Yksityisyys ja henkilötietojen suoja
5.35 18.2.1 Riippumaton tietoturvatarkastus
5.36 18.2.2, 18.2.3 Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37 12.1.1 Dokumentoidut toimintaohjeet
Ihmisten ohjaukset
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
6.1 07.1.1 Seulonta
6.2 07.1.2 Työsuhteen ehdot
6.3 07.2.2 Tietoturvatietoisuus, koulutus ja koulutus
6.4 07.2.3 Kurinpitoprosessi
6.5 07.3.1 Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6 13.2.4 Luottamuksellisuus- tai salassapitosopimukset
6.7 06.2.2 Etätyö
6.8 16.1.2, 16.1.3 Tietoturvatapahtumaraportointi
Fyysiset säätimet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
7.1 11.1.1 Fyysisen turvallisuuden rajat
7.2 11.1.2, 11.1.6 Fyysinen sisääntulo
7.3 11.1.3 Toimistojen, huoneiden ja tilojen turvaaminen
7.4 UUSI Fyysisen turvallisuuden valvonta
7.5 11.1.4 Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6 11.1.5 Työskentely turvallisilla alueilla
7.7 11.2.9 Selkeä pöytä ja selkeä näyttö
7.8 11.2.1 Laitteiden sijoitus ja suojaus
7.9 11.2.6 Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Tallennusvälineet
7.11 11.2.2 Apuohjelmia tukevat
7.12 11.2.3 Kaapeloinnin turvallisuus
7.13 11.2.4 Laitehuolto
7.14 11.2.7 Laitteiden turvallinen hävittäminen tai uudelleenkäyttö
Tekniset säädöt
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
8.1 06.2.1, 11.2.8 Käyttäjän päätelaitteet
8.2 09.2.3 Etuoikeutetut käyttöoikeudet
8.3 09.4.1 Tiedon pääsyn rajoitus
8.4 09.4.5 Pääsy lähdekoodiin
8.5 09.4.2 Turvallinen todennus
8.6 12.1.3 Kapasiteetin hallinta
8.7 12.2.1 Suojaus haittaohjelmia vastaan
8.8 12.6.1, 18.2.3 Teknisten haavoittuvuuksien hallinta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.13 12.3.1 Tietojen varmuuskopiointi
8.14 17.2.1 Tietojenkäsittelylaitteiden redundanssi
8.15 12.4.1, 12.4.2, 12.4.3 Hakkuu
8.16 UUSI Toimien seuranta
8.17 12.4.4 Kellon synkronointi
8.18 09.4.4 Etuoikeutettujen apuohjelmien käyttö
8.19 12.5.1, 12.6.2 Ohjelmistojen asennus käyttöjärjestelmiin
8.20 13.1.1 Verkkojen turvallisuus
8.21 13.1.2 Verkkopalvelujen turvallisuus
8.22 13.1.3 Verkkojen erottelu
8.23 UUSI Web-suodatus
8.24 10.1.1, 10.1.2 Salaustekniikan käyttö
8.25 14.2.1 Turvallinen kehityksen elinkaari
8.26 14.1.2, 14.1.3 Sovelluksen suojausvaatimukset
8.27 14.2.5 Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28 UUSI Turvallinen koodaus
8.29 14.2.8, 14.2.9 Tietoturvatestausta kehitetään ja hyväksytään
8.30 14.2.7 Ulkoistettu kehitys
8.31 12.1.4, 14.2.6 Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Muutoksen hallinta
8.33 14.3.1 Testitiedot
8.34 12.7.1 Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

ISO 27002, Control 6.6, kattaa organisaatioiden tarpeen estää luottamuksellisten tietojen vuotaminen perustamalla luottamuksellisuussopimukset asianomaisten osapuolten kanssa ja henkilöstöä.

Pilvipohjainen alustamme tarjoaa täydellisen valikoiman työkaluja, jotka auttavat organisaatioita perustamaan tietoturvan hallintajärjestelmä (ISMS) mukaan ISO 27002.

Näitä työkaluja ovat:

  • Kirjasto malleja yleisille yritysasiakirjoille.
  • Joukko ennalta määritettyjä käytäntöjä ja menettelytapoja.
  • Tarkastustyökalu sisäisen tarkastuksen tueksi.
  • Asetuskäyttöliittymä mukauttamiseen ISMS-käytännöt ja menettelyt.
  • Hyväksynnän työnkulku kaikille käytäntöihin ja menettelyihin tehdyille muutoksille.
  • Tarkistuslista varmistaaksesi, että käytäntösi ja tietoturvaprosessisi noudattavat hyväksyttyjä kansainvälisiä standardeja.

ISMS.Online antaa käyttäjille myös mahdollisuuden:

  • Hallitse kaikkia ISMS:n osa-alueita elinkaari helposti.
  • Saat reaaliaikaisia ​​näkemyksiä heidän tietoturva-asennostaan ​​ja vaatimustenmukaisuusaukoistaan.
  • Integroi muihin järjestelmiin, kuten HR-, talous- ja projektinhallintaan.
  • Osoita noudattavansa niitä ISMS ja ISO 27001 standardit.

ISMS.Online-työkalu opastaa myös ISMS:n parhaiten toteuttamisessa antamalla vinkkejä politiikkojen ja menettelyjen luomiseen, jotka liittyvät esimerkiksi riskienhallintaan, henkilöstön tietoturvakoulutukseen ja häiriötilanteiden hallintaan.

Sam Peters

Sam on Chief Product Officer ISMS.onlinessa ja johtaa kaikkien tuoteominaisuuksien ja toimintojen kehitystä. Sam on asiantuntija monilla vaatimustenmukaisuuden aloilla ja työskentelee asiakkaiden kanssa kaikissa mittatilaustyönä tehdyissä tai suurissa projekteissa.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.