© 2023 Lennart Piper - Framtida ledningssystem
A 9.2 användaråtkomst - ISO 27001
Meny 4Certifiering
Framtida ledningssystem
Artikel i Dagens Industri
Integrerade ledningssystem
Fler web sidor
Seminarium via Teams
Kontakt Lennart
Logga in/ut
Meny ISO
Ny ISO standard - ISO 45001:2018
Energi ledn sys ISO 50001:2018
Mall mandagar50003 kalkyl
Mall mandagarEKL_STEMFS kalkyl
Miljö ledn sys ISO 14001:2015
Mall mandagar27006 kalkyl
Meny Revision 27001 annex A
Nya ISO 27001:2022
Säkerhet ledn sys ISO 27001:2017
A 9.1 styrning av åtkomst - ISO 27001
A 9.2 användaråtkomst - ISO 27001
A 9.3 användaransvar - ISO 27001
A 9.4 åtkomst system - ISO 27001
ISO/IEC 27001:2017 Annex A 9.2 Användaråtkomst
9.2.1 Registrering och avregistrering av användare SS-ISO/IEC 27002:2014
En formell process för registrering och avregistrering av användare skall införas för att möjliggöra tilldelning av åtkomsträttigheter.
Processen för att hantera användarkonton skall omfatta:
a) unika användarkonton så att användarna kan vara kopplade till och hållas ansvariga för sina handlingar; användning av
delade konton tillåtas endast när de är nödvändiga för verksamheten eller av operativa skäl och skall vara godkända och dokumenterade;
b) att omedelbart avaktivera eller ta bort användarkonton för användare som har lämnat organisationen (se 9.2.5);
c) att regelbundet identifiera och ta bort eller inaktivera överflödiga användaridentifikationer;
d) att säkerställa att redundanta användarkonton inte utfärdas.
Att ge eller återkalla åtkomst till information eller resurser för informationsbehandling är vanligtvis en tvåstegsrutin:
a) tilldela och aktivera eller återkalla ett användarkonto (denna åtgärd);
b) ge eller återkalla nyttjanderätt till sådant användarkonto (se 9.2.2).
Invalid Input
9.2.1 av/registrering
(*)
ok
avvikelse
förbättring
välj
9.2.1 anteckn
Invalid Input
9.2.2 Tilldelning av användaråtkomst SS-ISO/IEC 27002:2014
En formell process för tilldelning av användaråtkomst skall införas för tilldelning och återkallande av
åtkomsträttigheter för alla typer av användare till alla system och tjänster.
Etableringsprocessen för att fördela eller återkalla åtkomsträttigheter till användarkonton skall
omfatta att
a) erhålla tillstånd från ägaren av informationssystem eller tjänsten för användning av
informationssystem eller tjänst (se säkerhetsåtgärd 8.1.2). Separat godkännande för rättigheter från
ledningen kan också vara lämpliga;
b) verifiera att åtkomstnivån som beviljats är lämplig med hänsyn tagen till regler för styrning av
åtkomst (se 9.1) och är förenlig med andra krav som uppdelning av roller (se 6.1.5);
c) se till att åtkomsträttigheter inte aktiveras (t.ex. genom tjänsteleverantörer) innan tillstånd är klara;
d) bibehålla ett centralt register över åtkomsträttigheter som beviljas till användarkonton för att få
tillgång till information och tjänster;
e) anpassa åtkomsträttigheter för användare som har bytt roller eller jobb och omedelbart ta bort
eller blockera åtkomsträttigheter för användare som har lämnat organisationen;
f) med jämna mellanrum granska åtkomsträttigheter med ägare till informationssystem eller tjänster
(se 9.2.4).
Organisationen skall överväga att skapa användarroller för åtkomst baserat på verksamhetskrav som
sammanfattar ett antal rättigheter i typiska användarprofiler för åtkomst. Förfrågningar om åtkomst
och åtkomstgranskningar (se 9.2.4) är lättare att hantera för sådana användarroller än för roller som
skapas baserat på särskilda rättigheter.
Organisationen skall överväga införande av bestämmelser i anställnings- och leverantörsavtal som
beskriver sanktioner vid försök till obehörig åtkomst som görs av anställda eller av leverantörer
(se 7.1.2, 7.2.3, 13.2.4,15.1.2).
Invalid Input
9.2.2 användaråtkomst
(*)
ok
avvikelse
förbättring
välj
9.2.2 anteckn
Invalid Input
9.2.3 Hantering av privilegierade åtkomsträttigheter SS-ISO/IEC 27002:2014
Tilldelning och användning av privilegierade åtkomsträttigheter skall begränsas och styras.
Fördelningen av privilegierade rättigheter skall styras genom ett formellt godkännande i enlighet
med de relevanta principerna för styrning av åtkomst (se säkerhetsåtgärd 9.1.1). Följande åtgärder
skall övervägas:
a) privilegierade åtkomsträttigheter för varje system eller process, t.ex. operativsystem,
databashanteringssystem och varje tillämpning samt att användarna som dessa rättigheter behöver
fördelas till skall identifieras;
b) användare skall tilldelas privilegierade åtkomsträttigheter på grundval av deras behov av åtkomst
och anpassat till situationen i enlighet med regler för styrning av åtkomst (se 9.1.1), d.v.s. baserat på
minimikravet för deras funktionella roller;
c) det skall finnas en godkännandeprocess och ett register över alla tilldelade privilegier.
Privilegierade rättigheter skall inte beviljas förrän godkännandeprocessen är klar;
d) krav på giltighetstid för privilegierade åtkomsträttigheter skall definieras;
e) privilegierade åtkomsträttigheter skall tilldelas ett användarkonto som skiljer sig från de konton
som används för ordinarie verksamhet. Ordinarie aktiviteter skall inte utföras från privilegierade
konton;
f) kompetensen hos användare med privilegierade åtkomsträttigheter skall ses över regelbundet för
att verifiera att den är i nivå med deras arbetsuppgifter;
g) särskilda rutiner skall införas och upprätthållas för att undvika obehörig användning av generella
administratörskonton i enlighet med systemets konfiguration;
h) för generella administratörskonton skall hemlig autentiseringsinformation behållas konfidentiell
när den delas (t.ex. täta byten av lösenord och så snart som möjligt när en privilegierad användare
lämnar eller byter jobb, samt kommunicera den mellan privilegierade användare genom lämpliga
mekanismer).
Otillbörlig användning av privilegier för systemadministration (någon funktion eller resurs inom ett
informationssystem som gör att användaren kan åsidosätta säkerhetsåtgärder för system eller
program) är en stor bidragande faktor till fel i eller missbruk av system.
Invalid Input
9.2.3 privilegierade åtkomsträttigheter
(*)
ok
avvikelse
förbättring
välj
9.4.3 anteckn2
Invalid Input
9.2.4 Hantering av användares konfidentiella autentiseringsinformation SS-ISO/IEC 27002:2014
Tilldelningen av konfidentiell autentiseringsinformation skall styras genom en formell hanteringsprocess.
Processen skall innehålla följande krav:
a) användare skall vara skyldiga att underteckna en försäkran om att hålla konfidentiell personlig
autentiseringsinformation konfidentiell och att hålla gruppens (vid delade användarkonton) hemliga
autentiseringsinformation enbart inom gruppen. Denna skriftliga försäkran kan ingå i anställningsvillkoren (se 7.1.2);
b) när användare är skyldiga att skapa sin egen konfidentiella autentiseringsinformation skall de
initialt få sig tilldelad säker tillfällig konfidentiell autentiseringsinformation som de är tvungna att
ändra på vid första användningen;
c) rutiner skall fastställas för att säkerställa identiteten på en användare innan konfidentiell
autentiseringsinformation tilldelas, oavsett om informationen är ny, förnyad eller tillfällig;
d) tillfällig konfidentiell autentiseringsinformation skall ges till användare på ett säkert sätt och
användning av externa parter eller oskyddade (klartext) elektroniska meddelanden skall undvikas;
e) tillfällig konfidentiell autentiseringsinformation skall vara unik för en individ och skall inte gå att gissa;
f) användare skall bekräfta mottagandet av sin konfidentiella autentiseringsinformation;
g) konfidentiell autentiseringsinformation som är grundinstallerad av leverantören skall ändras efter
installation av system eller program.
Lösenord är en vanligt förekommande typ av hemlig autentiseringsinformation och är ett vanligt sätt
att verifiera en användares identitet. Exempel på andra typer av hemlig autentiseringsinformation är
kryptografiska nycklar och andra data som lagras på maskinvarutoken eller smarta kort som
producerar autentiseringskoder.
Invalid Input
9.2.4 autentiseringsinformation
(*)
ok
avvikelse
förbättring
välj
9.2.4 anteckn
Invalid Input
9.2.5 Granskning av användares åtkomsträttigheter SS-ISO/IEC 27002:2014
Ägare av tillgångar skall med jämna mellanrum granska användarnas åtkomsträttigheter.
Vid granskning av rättigheter skall hänsyn tas till följande:
a) användarnas rättigheter skall ses över med jämna mellanrum och efter ändringar, t.ex. befordran, degradering eller uppsägning (se avsnitt 7);
b) en användares behörigheter skall ses över och omfördelas när användaren byter från en roll till en annan inom samma organisation;
c) tillstånd för privilegierade åtkomsträttigheter skall ses över oftare;
d) tilldelning av privilegier skall granskas med jämna mellanrum för att säkerställa att obehöriga privilegier inte har tilldelats;
e) ändringar av konton med priviligierade rättigheter skall loggas och granskas regelbundet.
Denna säkerhetsåtgärd kompenserar för möjliga brister i genomförandet av säkerhetsåtgärderna 9.2.1, 9.2.2 och 9.2.6.
Invalid Input
9.2.5 åtkomsträttigheter
(*)
ok
avvikelse
förbättring
välj
9.2.5 anteckn
Invalid Input
9.2.6 Borttagning eller justering av åtkomsträttigheter SS-ISO/IEC 27002:2014
Åtkomsträttigheterna för alla anställda, och externa användare, till information och informationsbehandlingsresurser skall tas bort
vid avslutande av deras anställning, avtal eller uppdrag eller justeras vid förändringar.
Vid avslutande av anställning skall individens åtkomsträttigheter till information och tillgångar som är
kopplade till informationsbehandlingsresurser och -tjänster avlägsnas eller avslutas. Detta avgör om det är nödvändigt att ta bort åtkomstbehörigheterna.
Förändringar i anställningen skall återspeglas i avlägsnande av alla rättigheter som inte är godkända för den nya rollen.
Rättigheter som skall tas bort eller justeras omfattar fysisk och logisk åtkomst. Borttagning eller justering kan göras genom borttagning,
återkallande eller utbyte av nycklar, ID-kort, informationsbehandlingsresurser eller prenumerationer.
Dokumenterad information som identifierar åtkomsträttigheter för anställda och entreprenörer skall återspegla avlägsnad eller justerad nyttjanderätt.
Om en avgående medarbetares eller en extern parts användarkonto är aktivt skall lösenordet ändras
vid uppsägning eller vid förändring av anställning, avtal eller överenskommelse.
Åtkomsträttigheter för information och tillgångar som är kopplade till informationsbehandlingsresurser skall reduceras eller tas bort innan anställningen
upphör eller ändras, beroende på utvärdering av riskfaktorer såsom:
a) om avslutande eller ändring av anställning är initierad av den anställde, den externa parten eller av ledningen och orsaken till avslutande av anställningen;
b) medarbetarens, den externa partens eller annan användares nuvarande ansvar;
c) värdet av de tillgängliga tillgångarna.
Under vissa omständigheter kan åtkomsträttigheter vara fördelade på fler personer, t.ex. genom delade användarkonton.
När en person slutar skall i dessa fall personen i fråga tas bort från gruppåtkomstlistor och
åtgärder skall vidtas för att informera övriga anställda och externa parter att de inte längre skall dela denna information med den person som slutar.
I de fall ledningen initierar uppsägningar kan missnöjda anställda eller extern part avsiktligt förvränga information eller sabotera informationsbehandlingsresurser.
När personer säger upp sig eller sägs upp kan de vara frestade att samla in information för framtida bruk.
Invalid Input
9.2.6 borttagning
(*)
ok
avvikelse
förbättring
välj
9.2.6 anteckn
Invalid Input
Skickas till Lennart
Meny Revision
Rev anteckn - förutsättn
Rev anteckn - ledarskap
Rev anteckn - planering
Rev anteckn - stöd
Rev anteckn - processerna
Rev anteckn - prestanda
Rev anteckn - avvik-förb
Ändring revisionsplan
Deltagare i dagens revision
Meny Brev
Brev - vägledning 2023
Brev 1 - Integr ledn sys - fragment
Brev 2 - Integr ledn sys - intro
Brev 3 - Integr ledn sys - analys
Brev 4 - Integr ledn sys - ett exempel
Brev 5 - Integr ledn sys - kommunikation
Seminarier Teams
