ISO 27002, קאָנטראָל 8.2 - פּריווילעדזשד אַקסעס רעכט

ISO 27002:2022 - קאָנטראָל 8.2 - פּריווילעדזשד אַקסעס רעכט

ISO 27002:2022 קאָנטראָל 8.2 - פּריווילעדזשד אַקסעס רעכט כיילייץ די וויכטיקייט פון באַגרענעצן, מאָניטאָרינג און קעסיידער ריוויוינג פּריוולידזשד אַקסעס צו ענשור מינימום נויטיק פּערמישאַנז און באַוואָרעניש אינפֿאָרמאַציע זיכערהייט.

ציל פון קאָנטראָל 8.2

בייזע אָדער פאַלש נוצן פון עלעוואַטעד סיסטעם אַדמיניסטראַטאָר פּריווילאַדזשאַז איז איינער פון די הויפּט סיבות פון יקט דיסראַפּשאַן אַריבער געשעפט נעטוואָרקס איבער די וועלט.

פּריווילעדזשד אַקסעס רעכט אַלאַוז אָרגאַנאַזיישאַנז צו קאָנטראָלירן אַקסעס צו זייער ינפראַסטראַקטשער, אַפּלאַקיישאַנז, אַסעץ און האַלטן די אָרנטלעכקייַט פון אַלע סטאָרד דאַטן און סיסטעמען.

קאָנטראָל 8.2 איז אַ פאַרהיטנדיק קאָנטראָל אַז מיינטיינז ריזיקירן דורך גרינדן אַ דערלויבעניש פּראָצעס וואָס כאַנדאַלז אַלע ריקוועס פֿאַר אַקסעס אַריבער אַן אָרגאַניזאַציע ס יקט נעץ און פֿאַרבונדן אַסעץ.

אַטריביוץ טאַבלע פון קאָנטראָל 8.2

קאָנטראָל טיפּע	אינפֿאָרמאַציע זיכערהייט פּראָפּערטיעס	סייבערסעקוריטי קאַנסעפּס	אַפּעריישאַנאַל קייפּאַבילאַטיז	זיכערהייַט דאָומיינז
# פּרעווענטיוו	#מיט זיכערקייט	# באַשיצן	# אידענטיטעט און אַקסעס פאַרוואַלטונג	# שוץ
	# אָרנטלעכקייַט
	# אַוואַילאַביליטי

אָונערשיפּ פון קאָנטראָל 8.2

קאָנטראָל 8.6 דילז מיט אַן די פיייקייט פון דער אָרגאַניזאַציע צו קאָנטראָלירן אַקסעס צו דאַטן דורך באַניצער אַקאַונץ וואָס געניסן ימפּרוווד אַקסעס רעכט.

ווי אַזאַ, אָונערשיפּ זאָל וווינען מיט די הויפּט פון IT (אָדער אָרגאַנאַזיישאַנאַל עקוויוואַלענט), וואָס האלט פֿאַראַנטוואָרטלעכקייט פֿאַר די אָרגאַניזאַציע פיייקייט צו פירן און מאָניטאָר פּריוולידזשד פעלד אָדער אַפּלאַקיישאַן באַניצער אַקאַונץ.

ISMS.online גיט אייך א 81% פארשטארקונג פון דעם מאמענט וואס איר לאגט זיך איין

ISO 27001 געמאַכט גרינג

מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ 81% העאַדסטאַרט פון דעם מאָמענט איר קלאָץ אויף. כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.

באַקומען אנגעהויבן

אַלגעמיינע גיידאַנס אויף קאָנטראָל 8.2

קאָנטראָל 8.2 אַוטליינז 12 הויפּט גיידאַנס ווייזט אַז אָרגאַנאַזיישאַנז דאַרפֿן צו נאָכפאָלגן, אין לויט מיט אַ "טעמע ספּעציפיש" פּאָליטיק אויף אַקסעס קאָנטראָל (זען קאָנטראָל 5.15) וואָס טאַרגאַץ יחיד געשעפט פאַנגקשאַנז.

אָרגאַנאַזיישאַנז זאָל:

ידענטיפיצירן אַ רשימה פון יוזערז וואָס דאַרפן קיין גראַד פון פּריוולידזשד אַקסעס - אָדער פֿאַר אַ יחיד סיסטעם - אַזאַ ווי אַ דאַטאַבייס - אַפּלאַקיישאַן, אָדער אַנדערלייינג אַס.
אָנהאַלטן אַ פּאָליטיק וואָס אַלאַקייץ פּריוולידזשד אַקסעס רעכט צו יוזערז אויף וואָס איז באקאנט ווי אַ "געשעעניש ביי געשעעניש יקער" - יוזערז זאָל זיין דערלויבט אַקסעס לעוועלס באזירט אויף די נאַקעט מינימום וואָס איז פארלאנגט פֿאַר זיי צו דורכפירן זייער ראָלע.
אַוטליינינג אַ קלאָר דערלויבעניש פּראָצעס וואָס דילז מיט אַלע ריקוועס פֿאַר פּריוולידזשד אַקסעס, אַרייַנגערעכנט בעכעסקעם אַ רעקאָרד פון אַלע אַקסעס רעכט וואָס זענען ימפּלאַמענאַד.
פאַרזיכערן אַז אַקסעס רעכט זענען אונטערטעניק צו באַטייַטיק עקספּיירי דאַטעס.
נעמען סטעפּס צו ענשור אַז וסערס זענען בפירוש וויסנד פון קיין צייט ווען זיי אַרבעטן מיט פּריוולידזשד אַקסעס צו אַ סיסטעם.
אויב נייטיק, יוזערז זענען געבעטן צו שייַעך-אָטענטאַקייט איידער ניצן פּריוולידזשד אַקסעס רעכט, אין סדר צו ווירקן גרעסערע אינפֿאָרמאַציע / דאַטן זיכערהייט.
דורכפירן פּעריאָדיש אַדאַץ פון פּריוולידזשד אַקסעס רעכט, ספּעציעל נאָך אַ פּעריאָד פון אָרגאַנאַזיישאַנאַל ענדערונגען. די אַקסעס רעכט פון באַניצער זאָל זיין ריוויוד באזירט אויף זייער "דוטיז, ראָלעס, ריספּאַנסאַבילאַטיז און קאַמפּאַטינס" (זען קאָנטראָל 5.18).
באַטראַכטן אַפּערייטינג מיט וואָס איז באקאנט ווי אַ "ברעכן גלאז" פּראָצעדור - ד"ה ינשורינג אַז פּריוולידזשד אַקסעס רעכט זענען געגעבן אין טייטלי קאַנטראָולד צייט פֿענצטער וואָס טרעפן די מינימום רעקווירעמענץ פֿאַר אַ אָפּעראַציע צו זיין דורכגעקאָכט (קריטיש ענדערונגען, סיסטעם אַדמיניסטראַציע עטק).
פאַרזיכערן אַז אַלע פּריוולידזשד אַקסעס אַקטיוויטעטן זענען לאָגד אַקאָרדינגלי.
פאַרהיטן די נוצן פון דזשאַנעריק סיסטעם לאָגין אינפֿאָרמאַציע (ספּעציעל סטאַנדערדייזד וסערנאַמעס און פּאַסווערדז) (זען קאָנטראָל 5.17).
האַלטן אַ פּאָליטיק פון אַסיינינג יוזערז מיט אַ באַזונדער אידענטיטעט, וואָס אַלאַוז פֿאַר טייטער קאָנטראָל פון פּריוולידזשד אַקסעס רעכט. אַזאַ אידענטיטעט קענען זיין גרופּט צוזאַמען, מיט די פֿאַרבונדן גרופּע צוגעשטעלט פאַרשידענע לעוועלס פון אַקסעס רעכט.
פאַרזיכערן אַז פּריוולידזשד אַקסעס רעכט זענען רעזערווירט בלויז פֿאַר קריטיש טאַסקס, וואָס פאַרבינדן צו די פארבליבן אָפּעראַציע פון אַ פאַנגקשאַנינג יקט נעץ - אַזאַ ווי סיסטעם אַדמיניסטראַציע און נעץ וישאַלט.

שטיצן קאָנטראָלס

5.15

איינבעטן, פארברייטערן און סקאַלירן אייער קאמפלייענס, אָן קיין כאַאָס. IO גיט אייך די ווידערשטאנד און בטחון צו וואַקסן זיכער.

ספר דיין דעמאָ

ענדערונגען און דיפפערענסעס פֿון ISO 27002:2013

קאָנטראָל 27002: 2022-8.2 ריפּלייסיז 27002: 2013-9.2.3 (פאַרוואַלטונג פון פּריוולידזשד אַקסעס רעכט).

27002:2022-8.2 כּולל 5 הויפּט גיידאַנס ווייזט וואָס זענען נישט יקספּליסאַט אין זייַן 2013 אַנטקעגענער:

27002:2022-8.2 דאַרף נישט בפירוש אַ אַנדערש באַניצער שייַן פֿאַר פּריוולידזשד אַקסעס רעכט.
27002: 2022-8.2 סטרעסט די נויט צו שייַעך-אָטענטאַקייט איידער איר באַקומען פּריוולידזשד אַקסעס רעכט.
27002:2022-8.2 אַדוואַקאַץ פֿאַר אַ ברעכן גלאז צוגאַנג ווען פּערפאָרמינג קריטיש וישאַלט דוטיז, באזירט אויף טייטלי קאַנטראָולד צייט פֿענצטער.
27002:2022-8.2 פרעגט אָרגאַנאַזיישאַנז צו האַלטן גרונטיק פּריוולידזשד אַקסעס לאָגס, פֿאַר אַדאַטינג צוועקן.
27002: 2022-8.2 פרעגט אָרגאַנאַזיישאַנז צו באַגרענעצן די נוצן פון פּריוולידזשד אַקסעס רעכט צו אַדמיניסטראַטיווע טאַסקס.

נייַ יסאָ 27002 קאָנטראָלס

ניו קאָנטראָלס

ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער	ISO/IEC 27002:2013 קאָנטראָל ידענטיפיער	קאָנטראָל נאָמען
5.7	נעוו	סאַקאָנע סייכל
5.23	נעוו	אינפֿאָרמאַציע זיכערהייט פֿאַר נוצן פון וואָלקן באַדינונגס
5.30	נעוו	יקט גרייטקייַט פֿאַר געשעפט קאַנטיניויישאַן
7.4	נעוו	פיזיש זיכערהייט מאָניטאָרינג
8.9	נעוו	קאָנפיגוראַטיאָן פאַרוואַלטונג
8.10	נעוו	אינפֿאָרמאַציע דילישאַן
8.11	נעוו	דאַטאַ מאַסקינג
8.12	נעוו	פאַרהיטונג פון דאַטן ליקאַדזש
8.16	נעוו	מאָניטאָרינג אַקטיוויטעטן
8.23	נעוו	וועב פֿילטרירונג
8.28	נעוו	זיכער קאָדירונג

אָרגאַנאַזיישאַנאַל קאָנטראָלס

ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער	ISO/IEC 27002:2013 קאָנטראָל ידענטיפיער	קאָנטראָל נאָמען
5.1	קסנומקס, קסנומקס	פּאַלאַסיז פֿאַר אינפֿאָרמאַציע זיכערהייט
5.2	06.1.1	אינפֿאָרמאַציע זיכערהייט ראָלעס און ריספּאַנסאַבילאַטיז
5.3	06.1.2	סעגרעגאַציע פון פליכט
5.4	07.2.1	פאַרוואַלטונג ריספּאַנסאַבילאַטיז
5.5	06.1.3	קאָנטאַקט מיט אויטאריטעטן
5.6	06.1.4	קאָנטאַקט מיט ספּעציעל אינטערעס גרופּעס
5.7	נעוו	סאַקאָנע סייכל
5.8	קסנומקס, קסנומקס	אינפֿאָרמאַציע זיכערהייט אין פּרויעקט פאַרוואַלטונג
5.9	קסנומקס, קסנומקס	ינוואַנטאָרי פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ
5.10	קסנומקס, קסנומקס	אַקסעפּטאַבאַל נוצן פון אינפֿאָרמאַציע און אנדערע פֿאַרבונדן אַסעץ
5.11	08.1.4	צוריקקער פון אַסעץ
5.12	08.2.1	קלאַסאַפאַקיישאַן פון אינפֿאָרמאַציע
5.13	08.2.2	לייבלינג פון אינפֿאָרמאַציע
5.14	קסנומקס, קסנומקס, קסנומקס	אינפֿאָרמאַציע אַריבערפירן
5.15	קסנומקס, קסנומקס	אַקסעס קאָנטראָל
5.16	09.2.1	Identity management
5.17	קסנומקס, קסנומקס, קסנומקס	אָטענטאַקיישאַן אינפֿאָרמאַציע
5.18	קסנומקס, קסנומקס, קסנומקס	אַקסעס רעכט
5.19	15.1.1	אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער באַציונגען
5.20	15.1.2	אַדרעסינג אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער אַגרימאַנץ
5.21	15.1.3	אָנפירונג אינפֿאָרמאַציע זיכערהייט אין די יקט צושטעלן קייט
5.22	קסנומקס, קסנומקס	מאָניטאָרינג, אָפּשאַצונג און טוישן פאַרוואַלטונג פון סאַפּלייער באַדינונגס
5.23	נעוו	אינפֿאָרמאַציע זיכערהייט פֿאַר נוצן פון וואָלקן באַדינונגס
5.24	16.1.1	פּלאַנירונג און צוגרייטונג פון אינפֿאָרמאַציע זיכערהייט אינצידענט פאַרוואַלטונג
5.25	16.1.4	אַססעססמענט און באַשלוס אויף אינפֿאָרמאַציע זיכערהייט געשעענישן
5.26	16.1.5	ענטפער צו אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ
5.27	16.1.6	לערנען פון אינפֿאָרמאַציע זיכערהייט ינסאַדאַנץ
5.28	16.1.7	זאַמלונג פון זאָגן
5.29	קסנומקס, קסנומקס, קסנומקס	אינפֿאָרמאַציע זיכערהייט בעשאַס דיסראַפּשאַן
5.30	5.30	יקט גרייטקייַט פֿאַר געשעפט קאַנטיניויישאַן
5.31	קסנומקס, קסנומקס	לעגאַל, סטאַטשאַטאָרי, רעגולאַטאָרי און קאַנטראַקטשואַל באדערפענישן
5.32	18.1.2	ינטעללעקטואַל פּראָפּערטי הזכויות
5.33	18.1.3	שוץ פון רעקאָרדס
5.34	18.1.4	פּריוואַטקייט און שוץ פון PII
5.35	18.2.1	פרייַ אָפּשאַצונג פון אינפֿאָרמאַציע זיכערהייט
5.36	קסנומקס, קסנומקס	העסקעם מיט פּאַלאַסיז, כּללים און סטאַנדאַרדס פֿאַר אינפֿאָרמאַציע זיכערהייט
5.37	12.1.1	דאַקיומענטאַד אַפּערייטינג פּראָוסידזשערז

מענטשן קאָנטראָלס

ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער	ISO/IEC 27002:2013 קאָנטראָל ידענטיפיער	קאָנטראָל נאָמען
6.1	07.1.1	זיפּונג
6.2	07.1.2	טערמינען און באדינגונגען פון באַשעפטיקונג
6.3	07.2.2	אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג
6.4	07.2.3	דיסציפּלינאַרי פּראָצעס
6.5	07.3.1	ריספּאַנסאַבילאַטיז נאָך טערמאַניישאַן אָדער טוישן פון באַשעפטיקונג
6.6	13.2.4	קאַנפאַדענשיאַלאַטי אָדער ניט-אַנטפּלעקונג אַגרימאַנץ
6.7	06.2.2	ווייַט ארבעטן
6.8	קסנומקס, קסנומקס	אינפֿאָרמאַציע זיכערהייט געשעעניש ריפּאָרטינג

גשמיות קאָנטראָלס

ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער	ISO/IEC 27002:2013 קאָנטראָל ידענטיפיער	קאָנטראָל נאָמען
7.1	11.1.1	גשמיות זיכערהייַט פּערימאַטערז
7.2	קסנומקס, קסנומקס	פיזיש פּאָזיציע
7.3	11.1.3	סיקיורינג אָפאַסיז, רומז און פאַסילאַטיז
7.4	נעוו	פיזיש זיכערהייט מאָניטאָרינג
7.5	11.1.4	פּראַטעקטינג קעגן גשמיות און ינווייראַנמענאַל טרעץ
7.6	11.1.5	ארבעטן אין זיכער געביטן
7.7	11.2.9	קלאָר שרייַבטיש און קלאָר פאַרשטעלן
7.8	11.2.1	עקוויפּמענט סיטינג און שוץ
7.9	11.2.6	זיכערהייט פון אַסעץ אַוועק-לאָקאַל
7.10	קסנומקס, קסנומקס, קסנומקס, קסנומקס	סטאָרידזש מידיאַ
7.11	11.2.2	שטיצן יוטילאַטיז
7.12	11.2.3	קאַבלע זיכערהייַט
7.13	11.2.4	ויסריכט וישאַלט
7.14	11.2.7	זיכער באַזייַטיקונג אָדער שייַעך-נוצן פון ויסריכט

טעקנאַלאַדזשיקאַל קאָנטראָלס

ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער	ISO/IEC 27002:2013 קאָנטראָל ידענטיפיער	קאָנטראָל נאָמען
8.1	קסנומקס, קסנומקס	באַניצער ענדפּוינט דעוויסעס
8.2	09.2.3	פּריווילעדזשד אַקסעס רעכט
8.3	09.4.1	אינפֿאָרמאַציע אַקסעס ריסטריקשאַן
8.4	09.4.5	אַקסעס צו מקור קאָד
8.5	09.4.2	זיכער אָטענטאַקיישאַן
8.6	12.1.3	קאַפּאַציטעט פאַרוואַלטונג
8.7	12.2.1	שוץ קעגן מאַלוואַרע
8.8	קסנומקס, קסנומקס	פאַרוואַלטונג פון טעכניש וואַלנעראַביליטיז
8.9	נעוו	קאָנפיגוראַטיאָן פאַרוואַלטונג
8.10	נעוו	אינפֿאָרמאַציע דילישאַן
8.11	נעוו	דאַטאַ מאַסקינג
8.12	נעוו	פאַרהיטונג פון דאַטן ליקאַדזש
8.13	12.3.1	אינפֿאָרמאַציע באַקאַפּ
8.14	17.2.1	רעדאַנדאַנסי פון אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז
8.15	קסנומקס, קסנומקס, קסנומקס	לאָגגינג
8.16	נעוו	מאָניטאָרינג אַקטיוויטעטן
8.17	12.4.4	זייגער סינגקראַנאַזיישאַן
8.18	09.4.4	נוצן פון פּריוולידזשד נוצן מגילה
8.19	קסנומקס, קסנומקס	ייַנמאָנטירונג פון ווייכווארג אויף אַפּעריישאַנאַל סיסטעמען
8.20	13.1.1	נעטוואָרקס זיכערהייַט
8.21	13.1.2	זיכערהייַט פון נעץ באַדינונגען
8.22	13.1.3	סעגרעגאַציע פון נעטוואָרקס
8.23	נעוו	וועב פֿילטרירונג
8.24	קסנומקס, קסנומקס	ניצן קריפּטאָגראַפי
8.25	14.2.1	זיכער אַנטוויקלונג לעבן ציקל
8.26	קסנומקס, קסנומקס	אַפּפּליקאַטיאָן זיכערהייַט באדערפענישן
8.27	14.2.5	זיכער סיסטעם אַרקאַטעקטשער און ינזשעניעריע פּרינסאַפּאַלז
8.28	נעוו	זיכער קאָדירונג
8.29	קסנומקס, קסנומקס	זיכערהייט טעסטינג אין אַנטוויקלונג און אַקסעפּטאַנס
8.30	14.2.7	אַוצאָרסט אַנטוויקלונג
8.31	קסנומקס, קסנומקס	צעשיידונג פון אַנטוויקלונג, פּרובירן און פּראָדוקציע ינווייראַנמאַנץ
8.32	קסנומקס, קסנומקס, קסנומקס, קסנומקס	טוישן פאַרוואַלטונג
8.33	14.3.1	טעסט אינפֿאָרמאַציע
8.34	12.7.1	שוץ פון אינפֿאָרמאַציע סיסטעמען בעשאַס קאָנטראָלירן טעסטינג

ווי ISMS.online העלפּס

ISO 27002, קאָנטראָל 6.6, קאָווערס די נויט פֿאַר אָרגאַנאַזיישאַנז צו פאַרמייַדן די ליקאַדזש פון קאַנפאַדענשאַל אינפֿאָרמאַציע דורך גרינדן קאַנפאַדענשיאַלאַטי אַגרימאַנץ מיט אינטערעסירט פּאַרטיעס און פּערסאַנעל.

אונדזער וואָלקן-באזירט פּלאַטפאָרמע גיט אַ גאַנץ גאַנג פון מכשירים צו אַרוישעלפן אָרגאַנאַזיישאַנז אין באַשטעטיקן אַ אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (יסמס) לויט צו יסאָ קסנומקס.

די מכשירים אַרייַננעמען:

א ביבליאָטעק פון טעמפּלאַטעס פֿאַר פּראָסט פֿירמע דאָקומענטן.
א סכום פון פּרעדעפינעד פּאַלאַסיז און פּראָוסידזשערז.
אַ קאָנטראָלירן געצייַג צו שטיצן ינערלעך אַדאַץ.
א קאַנפיגיעריישאַן צובינד פֿאַר קאַסטאַמייזינג ISMS פּאַלאַסיז און פּראָוסידזשערז.
אַ האַסקאָמע וואָרקפלאָוו פֿאַר אַלע ענדערונגען געמאכט צו פּאַלאַסיז און פּראָוסידזשערז.
א טשעקליסט צו מאַכן זיכער אַז דיין פּאַלאַסיז און אינפֿאָרמאַציע זיכערהייט פּראַסעסאַז נאָכפאָלגן די באוויליקט אינטערנאַציאָנאַלע סטאַנדאַרדס.

ISMS.Online אויך אַלאַוז יוזערז צו:

פירן אַלע אַספּעקץ פון די ISMS לעבן ציקל מיט יז.
באַקומען פאַקטיש-צייט ינסייץ אין זייער זיכערהייט האַלטנ זיך און העסקעם גאַפּס.
ויסשטימען מיט אנדערע סיסטעמען ווי HR, פינאַנצן און פּרויעקט פאַרוואַלטונג.
באַווייַזן העסקעם פון זייער יסמס מיט ISO 27001 סטאַנדאַרדס.

די ISMS.Online געצייַג אויך גיט גיידאַנס ווי בעסטער צו ינסטרומענט דיין ISMS דורך פּראַוויידינג עצות אויף ווי צו שאַפֿן פּאַלאַסיז און פּראָוסידזשערז שייַכות צו אַספּעקץ אַזאַ ווי ריזיקירן פאַרוואַלטונג, פּערסאַנעל זיכערהייט וויסיקייַט טריינינג און אינצידענט ענטפער פּלאַנירונג.

סאַם פּעטערס

סאַם איז טשיף פּראָדוקט אָפיציר ביי ISMS.online און פירט די אַנטוויקלונג פון אַלע פּראָדוקט פֿעיִקייטן און פאַנגקשאַנאַליטי. סאַם איז אַ מומחה אין פילע געביטן פון העסקעם און אַרבעט מיט קלייאַנץ אויף קיין בעספּאָקע אָדער גרויס-וואָג פּראַדזשעקס.

מיר זענען אַ פירער אין אונדזער פעלד