© 2023 Lennart Piper - Framtida ledningssystem
A 9.1 styrning av åtkomst - ISO 27001
Meny 4Certifiering
Framtida ledningssystem
Artikel i Dagens Industri
Integrerade ledningssystem
Fler web sidor
Seminarium via Teams
Kontakt Lennart
Logga in/ut
Meny ISO
Ny ISO standard - ISO 45001:2018
Energi ledn sys ISO 50001:2018
Mall mandagar50003 kalkyl
Mall mandagarEKL_STEMFS kalkyl
Miljö ledn sys ISO 14001:2015
Mall mandagar27006 kalkyl
Meny Revision 27001 annex A
Nya ISO 27001:2022
Säkerhet ledn sys ISO 27001:2017
A 9.1 styrning av åtkomst - ISO 27001
A 9.2 användaråtkomst - ISO 27001
A 9.3 användaransvar - ISO 27001
A 9.4 åtkomst system - ISO 27001
ISO/IEC 27001:2017 Annex A 9.1 Styrning av åtkomst
9.1.1 Regler för styrning av åtkomst SS-ISO/IEC 27002:2014
Regler för styrning av åtkomst skall upprättas, dokumenteras och vara föremål för uppföljning utifrån verksamhets-
och informationssäkerhetskrav.
Tillgångens ägare skall fastställa lämpliga regler för styrning av åtkomst, rättigheter och begränsningar för
specifika roller. Detaljrikedomen och hur stränga säkerhetsåtgärderna är bör avspegla de säkerhetsrisker
som är förknippande med informationen.
Åtkomstkontroller är både logiska och fysiska (se avsnitt 11) och dessa skall beaktas tillsammans. Användare
och tjänsteleverantörer skall ges ett tydligt besked om vilka verksamhetsmässiga krav som skall uppfyllas genom
åtkomstkontroller.
Reglerna skall ta hänsyn till följande:
a) säkerhetskrav för verksamhetstillämpningar;
b) regler för informationsspridning och auktorisering, exempelvis utgående från principen om vad individen
behöver veta, informationssäkerhetsnivåer och klassning av information (se 8.2);
c) överensstämmelse mellan åtkomsträttigheter och regler för informationsklassning för olika system och nätverk;
d) relevant lagstiftning och alla avtalsenliga skyldigheter när det gäller begränsning av tillgång till data eller tjänster (se 18.1);
e) förvaltning av åtkomsträttigheter i en distribuerad och nätverksansluten miljö som känner igen alla typer
av tillgängliga anslutningar
f) uppdelning av roller för åtkomst, t.ex. begäran om åtkomst, tillstånd till åtkomst, behörighetsadministration;
g) krav för formellt godkännande av begäran om åtkomst (se 9.2.1);
h) krav för regelbunden översyn av åtkomsträttigheter (se 9.2.5);
i) borttagande av behörigheter (se 9.2.6);
j) arkivering av dokumenterad information över alla viktiga händelser rörande användning och hantering av
användaridentiteter och hemlig autentiseringsinformation;
k) roller med privilegierad åtkomst (se 9.2.3).
Försiktighet skall iakttas vid angivande av regler för styrning av åtkomst med hänsyn tagen till:
a) att upprätta regler som baseras på förutsättningen “allt är generellt förbjudet om det inte uttryckligen tillåts”
snarare än den svagare regeln “allt är generellt tillåtet såvida det inte är uttryckligen förbjudet”;
b) ändringar i klassningsmärkning (se 8.2.2) som initieras automatiskt av resurser för informationsbearbetning
och de som initieras efter användares eget gottfinnande;
c) förändringar i användarbehörigheter som initieras automatiskt av systemet och de som initieras av en administratör;
d) regler som kräver särskilt godkännande innan tillämpning och sådana som inte gör det.
Regler för styrning av åtkomst bör ha stöd i formella rutiner (se 9.2, 9.3, 9.4) och definierade ansvarsområden
(se 6.1.1, 9.2, 15,1).
Rollbaserad åtkomstkontroll är ett angreppssätt som används framgångsrikt av många organisationer
för att länka åtkomsträttigheter med roller i verksamheten.
Två återkommande principer för styrning av åtkomst är:
a) Behöver veta (need-to-know): du beviljas bara tillgång till den information som du behöver för att utföra dina uppgifter
(olika aktiviteter/roller innebär olika behöver-veta och därmed olika åtkomstprofil);
b) Behöver använda: du beviljas endast tillgång till de informationsbehandlingsresurser (IT-utrustning, program,
rutiner, utrymmen) du behöver för att utföra din uppgift, ditt arbete eller din roll.
Invalid Input
9.1.1 styrning av åtkomst
(*)
ok
avvikelse
förbättring
välj
9.1.1 anteckn
Invalid Input
9.1.2 Tillgång till nätverk och nätverkstjänster SS-ISO/IEC 27002:2014
Användare skall endast ges tillgång till nätverk och nätverkstjänster som de specifikt beviljats tillstånd för.
Regler skall formuleras om användning av nät och tjänster. Dessa regler skall omfatta:
a) de nätverk och nätverkstjänster som får nås;
b) tillståndsrutiner för att bestämma vem som får tillgång till nätverk och nätverksanslutna tjänster;
c) hantering av säkerhetsåtgärder och rutiner för att skydda åtkomst till nätverksanslutningar och nättjänster;
d) de medel som används för åtkomst till nätverk och nätverkstjänster (t.ex. till VPN eller trådlösa nätverk);
e) autentiseringskrav för användare för åtkomst till olika nättjänster;
f) övervakning av användning av nättjänster.
Principer för användning av nättjänster skall vara förenliga med organisationens principer för styrning av åtkomst (se 9.1.1).
Otillåtna och osäkra anslutningar till nättjänster kan påverka hela organisationen. Denna säkerhetsåtgärd är
särskilt viktigt för nätverksanslutningar till känsliga eller kritiska verksamhetsprogram eller användare på riskfyllda platser,
exempelvis offentliga eller yttre områden som ligger utanför organisationens kontroll och informationssäkerhetsarbete.
Invalid Input
9.1.2 Tillgång till nätverk
(*)
ok
avvikelse
förbättring
välj
9.1.2 anteck
Invalid Input
Skickas till Lennart
Meny Revision
Rev anteckn - förutsättn
Rev anteckn - ledarskap
Rev anteckn - planering
Rev anteckn - stöd
Rev anteckn - processerna
Rev anteckn - prestanda
Rev anteckn - avvik-förb
Ändring revisionsplan
Deltagare i dagens revision
Meny Brev
Brev - vägledning 2023
Brev 1 - Integr ledn sys - fragment
Brev 2 - Integr ledn sys - intro
Brev 3 - Integr ledn sys - analys
Brev 4 - Integr ledn sys - ett exempel
Brev 5 - Integr ledn sys - kommunikation
Seminarier Teams
