ISO 27001:2022 Anexo A Control 5.18

Derechos de acceso

Reserve una demostración

primer plano,de,adolescente,con,piel oscura,manos,en,teclado,escribiendo

Cada empleado dentro de su organización debe tener acceso a computadoras, bases de datos, sistemas de información y aplicaciones específicas para realizar sus tareas.

Por ejemplo, tu recursos humanos El departamento puede necesitar acceso a información médica confidencial sobre los empleados. Además, es posible que su departamento de finanzas necesite acceder y utilizar bases de datos que contengan información salarial de los empleados.

Debe proporcionar, modificar y revocar los derechos de acceso según la política de control de acceso y las medidas de control de acceso de la empresa. Esto evitará el acceso no autorizado, la modificación y la destrucción de activos de información.

Si no revoca los derechos de acceso de su ex empleado, ese empleado puede robar datos confidenciales.

Según ISO 27001:2022, el Control 5.18 del Anexo A aborda cómo se deben asignar, modificar y revocar los derechos de acceso en función de los requisitos comerciales.

¿Cuál es el propósito del Anexo A 27001 de la norma ISO 2022:5.18?

De acuerdo con el Anexo A Control 5.18, una organización puede implementar procedimientos y controles para asignar, modificar y revocar derechos de acceso a sistemas de información consistentes con su política de control de acceso.

¿Quién es propietario del Anexo A 5.18?

El Oficial de Seguridad de la Información debe ser responsable de establecer, implementar y revisar las reglas, procesos y controles apropiados para la provisión, modificación y revocación de derechos de acceso a los sistemas de información.

Es responsabilidad del responsable de seguridad de la información considerar cuidadosamente las necesidades comerciales al asignar, modificar y revocar derechos de acceso. Además, el oficial de seguridad de la información. debe trabajar en estrecha colaboración con los propietarios de activos de información para garantizar que se sigan las políticas y procedimientos.

Saltar al tema
Actualizado para ISO 27001 2022
  • 81% del trabajo hecho para ti
  • Método de Resultados Garantizados para el éxito de la certificación
  • Ahorre tiempo, dinero y molestias
Reserva tu demostración
img

Derechos de acceso: orientación sobre concesión y revocación

Para asignar o revocar derechos de acceso de todo tipo de usuarios a todos los sistemas y servicios, se debe implementar un proceso (por simple y documentado que sea). Lo ideal sería que se relacionara con los puntos anteriores y con la iniciativa más amplia de seguridad de recursos humanos.

Un sistema o servicio de información debe ser aprovisionado o revocado basándose en los siguientes criterios: autorización del propietario del sistema o servicio de información, verificación de que el acceso es apropiado para la función que se está desempeñando y protección contra el aprovisionamiento que se produce antes de que se haya obtenido la autorización.

A los usuarios siempre se les debe otorgar acceso según los requisitos comerciales como parte de un enfoque empresarial. Aunque esto pueda parecer burocrático, no tiene por qué serlo. Este problema se puede abordar eficazmente mediante la implementación de procedimientos efectivos con acceso basado en roles a los sistemas y servicios.

Revisión de los derechos de acceso de los usuarios

Los propietarios de activos deben revisar los derechos de acceso de los usuarios periódicamente durante los cambios individuales (incorporación, cambios de roles y salidas) y durante auditorías más amplias del acceso al sistema.

Las autorizaciones deben revisarse con más frecuencia a la luz del mayor riesgo asociado con derechos de acceso privilegiados. Al igual que con 9.2, esto debe hacerse al menos una vez al año o siempre que se hayan realizado cambios significativos.

Eliminar o ajustar los derechos de acceso

Es necesario eliminar los derechos de acceso de todos los empleados y usuarios externos a la información y a las instalaciones de procesamiento de información al finalizar su empleo, contrato o acuerdo (o ajustar sus derechos de acceso al cambiar de función, si es necesario).

Si las políticas y procedimientos de salida están bien diseñados y alineados con A.7, esto también se logrará y demostrado para fines de auditoría cuando los empleados se van.

Para la cesión y revocación de derechos de acceso a personas autentificadas, las organizaciones deberán incorporar las siguientes reglas y controles:

  • Para acceder y utilizar activos de información relevantes, el propietario del activo de información debe autorizar el acceso y el uso. Además, las organizaciones deberían considerar solicitar una aprobación separada de la gerencia antes de otorgar derechos de acceso.

  • Se deben tener en cuenta las necesidades comerciales de la organización y su política. en cuanto al control de acceso.

  • Las organizaciones deberían considerar la separación de funciones. Por ejemplo, la aprobación y la implementación de los derechos de acceso pueden ser manejadas por personas separadas.

  • Los derechos de acceso de una persona deben revocarse inmediatamente cuando ya no necesite acceso a los activos de información, especialmente si ha abandonado la organización.

  • Se puede conceder un derecho de acceso temporal a los empleados u otro personal que trabaje temporalmente para la organización. Cuando dejen de ser empleados de la organización, sus derechos deberán ser revocados.

  • La política de control de acceso de la organización debe determinar el nivel de acceso de un individuo y ser revisada y verificada periódicamente. Además, debe cumplir con otros requisitos de seguridad de la información, como ISO 27001:2022 Control 5.3, que especifica la segregación de funciones.

  • La organización debe garantizar que los derechos de acceso se activen una vez que se haya completado el proceso de autorización adecuado.

  • Los derechos de acceso asociados con cada identificación, como una identificación o una física, deben mantenerse en un sistema central de gestión de control de acceso.

  • Es imperativo actualizar el nivel de derechos de acceso de un individuo si su función o deberes cambian.

  • Se pueden utilizar los siguientes métodos para eliminar o modificar derechos de acceso físicos o lógicos: Eliminación o reemplazo de claves, tarjetas de identificación o información de autenticación.

  • Es obligatorio registrar y mantener los cambios en los derechos de acceso físico y lógico de un usuario.

Directrices complementarias para la revisión de los derechos de acceso

Las revisiones periódicas de los derechos de acceso físico y lógico deben tener en cuenta lo siguiente:

  • Cuando un usuario asciende o degrada dentro de la misma organización o cuando finaliza su empleo, sus derechos de acceso pueden cambiar.

  • Procedimiento de autorización de acceso a privilegios.

Orientación sobre cambios de empleo o terminación del empleo

Se deben considerar los factores de riesgo. al evaluar y modificar los derechos de acceso de un empleado a los sistemas de procesamiento de información. Esto es antes de que sean ascendidos o degradados dentro de la misma organización:

  • Esto incluye determinar si el empleado inició el proceso de despido o la organización lo inició y el motivo del despido.

  • Una descripción de las responsabilidades actuales del empleado dentro de la organización.

  • Acceso de los empleados a los activos de información y su importancia y valor.

Orientación suplementaria adicional

Se recomienda que las organizaciones establezcan roles de acceso de usuarios de acuerdo con sus requisitos comerciales. Además de los tipos y números de derechos de acceso que se otorgarán a cada grupo de usuarios, estos roles deben especificar el tipo de derechos de acceso.

Crear tales roles hará que solicitudes de acceso y derechos para ser gestionados y revisados ​​más fácilmente.

Se recomienda que las organizaciones incluyan disposiciones en sus contratos de empleo/servicio con su personal que aborden el acceso no autorizado a sus sistemas y las sanciones por dicho acceso. Se deben seguir los controles 5.20, 6.2, 6.4 y 6.6 del Anexo A.

Las organizaciones deben tener cuidado al tratar con empleados descontentos despedidos por la dirección, ya que pueden dañar intencionalmente los sistemas de información.

Las organizaciones que decidan utilizar técnicas de clonación para otorgar derechos de acceso deben hacerlo en función de los roles que la organización haya definido.

Existe un riesgo asociado con la clonación en el sentido de que se pueden conceder derechos de acceso excesivos.

¿Cuáles son los cambios y diferencias con respecto a ISO 27001:2013?

ISO 27001:2022 Anexo A 5.18 reemplaza a ISO 27001:2013 Anexo A Controles 9.2.2, 9.2.5 y 9.2.6.

La versión 2022 contiene requisitos más completos para otorgar y revocar derechos de acceso

La versión 2013 del Anexo A Control 9.2.2 describió seis requisitos para asignar y revocar derechos de acceso; sin embargo, el Anexo A Control 5.18 introduce tres requisitos adicionales además de estos seis:

  1. Se podrán conceder temporalmente derechos de acceso temporal a empleados u otro personal que trabaje para la organización. Tan pronto como dejen de trabajar para la organización, estos derechos deberían ser revocados.

  2. La eliminación o modificación de derechos de acceso físicos o lógicos se puede lograr de las siguientes maneras: Eliminación o reemplazo de claves, tarjetas de identificación o información de autenticación.

  3. El cambio de los derechos de acceso físico o lógico de un usuario debe registrarse y documentarse.

Los requisitos de derechos de acceso privilegiado son más detallados en la versión 2013

Según ISO 27001:2013, el Anexo A Control 9.5 establece explícitamente que las organizaciones deben revisar la autorización de derechos de acceso privilegiados con más frecuencia que otros derechos de acceso. Este requisito no se incluyó en el Anexo A Control 5.18 en la Versión 2022.

Tabla de todos los controles del Anexo A de ISO 27001:2022

En la siguiente tabla encontrará más información sobre cada individuo. ISO 27001:2022 Anexo A Controlar.

Controles organizacionales ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles organizacionalesAnexo A 5.1Anexo A 5.1.1
Anexo A 5.1.2		Políticas de Seguridad de la Información
Controles organizacionalesAnexo A 5.2Anexo A 6.1.1Funciones y responsabilidades de seguridad de la información
Controles organizacionalesAnexo A 5.3Anexo A 6.1.2Segregación de deberes
Controles organizacionalesAnexo A 5.4Anexo A 7.2.1Responsabilidades de gestión
Controles organizacionalesAnexo A 5.5Anexo A 6.1.3Contacto con autoridades
Controles organizacionalesAnexo A 5.6Anexo A 6.1.4Contacto con grupos de interés especial
Controles organizacionalesAnexo A 5.7NUEVOInteligencia de amenaza
Controles organizacionalesAnexo A 5.8Anexo A 6.1.5
Anexo A 14.1.1		Seguridad de la información en la gestión de proyectos
Controles organizacionalesAnexo A 5.9Anexo A 8.1.1
Anexo A 8.1.2		Inventario de Información y Otros Activos Asociados
Controles organizacionalesAnexo A 5.10Anexo A 8.1.3
Anexo A 8.2.3		Uso aceptable de la información y otros activos asociados
Controles organizacionalesAnexo A 5.11Anexo A 8.1.4Devolución de Activos
Controles organizacionalesAnexo A 5.12Anexo A 8.2.1Clasificación de la información
Controles organizacionalesAnexo A 5.13Anexo A 8.2.2Etiquetado de información
Controles organizacionalesAnexo A 5.14Anexo A 13.2.1
Anexo A 13.2.2
Anexo A 13.2.3		Transferencia de información
Controles organizacionalesAnexo A 5.15Anexo A 9.1.1
Anexo A 9.1.2		Control de Acceso
Controles organizacionalesAnexo A 5.16Anexo A 9.2.1Gestión de identidad
Controles organizacionalesAnexo A 5.17Anexo A 9.2.4
Anexo A 9.3.1
Anexo A 9.4.3		Información de autenticación
Controles organizacionalesAnexo A 5.18Anexo A 9.2.2
Anexo A 9.2.5
Anexo A 9.2.6		Derechos de acceso
Controles organizacionalesAnexo A 5.19Anexo A 15.1.1Seguridad de la Información en las Relaciones con Proveedores
Controles organizacionalesAnexo A 5.20Anexo A 15.1.2Abordar la seguridad de la información en los acuerdos con proveedores
Controles organizacionalesAnexo A 5.21Anexo A 15.1.3Gestión de la seguridad de la información en la cadena de suministro de TIC
Controles organizacionalesAnexo A 5.22Anexo A 15.2.1
Anexo A 15.2.2		Seguimiento, Revisión y Gestión de Cambios de Servicios de Proveedores
Controles organizacionalesAnexo A 5.23NUEVOSeguridad de la información para el uso de servicios en la nube
Controles organizacionalesAnexo A 5.24Anexo A 16.1.1Planificación y preparación de la gestión de incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.25Anexo A 16.1.4Evaluación y Decisión sobre Eventos de Seguridad de la Información
Controles organizacionalesAnexo A 5.26Anexo A 16.1.5Respuesta a Incidentes de Seguridad de la Información
Controles organizacionalesAnexo A 5.27Anexo A 16.1.6Aprender de los incidentes de seguridad de la información
Controles organizacionalesAnexo A 5.28Anexo A 16.1.7Recolección de evidencia
Controles organizacionalesAnexo A 5.29Anexo A 17.1.1
Anexo A 17.1.2
Anexo A 17.1.3		Seguridad de la información durante la disrupción
Controles organizacionalesAnexo A 5.30NUEVOPreparación de las TIC para la continuidad del negocio
Controles organizacionalesAnexo A 5.31Anexo A 18.1.1
Anexo A 18.1.5		Requisitos legales, estatutarios, reglamentarios y contractuales
Controles organizacionalesAnexo A 5.32Anexo A 18.1.2DERECHOS DE PROPIEDAD INTELECTUAL
Controles organizacionalesAnexo A 5.33Anexo A 18.1.3Protección de registros
Controles organizacionalesAnexo A 5.34 Anexo A 18.1.4Privacidad y protección de la PII
Controles organizacionalesAnexo A 5.35Anexo A 18.2.1Revisión independiente de la seguridad de la información
Controles organizacionalesAnexo A 5.36Anexo A 18.2.2
Anexo A 18.2.3		Cumplimiento de Políticas, Reglas y Estándares de Seguridad de la Información
Controles organizacionalesAnexo A 5.37Anexo A 12.1.1Procedimientos operativos documentados

ISO 27001:2022 Controles de personas

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles de personasAnexo A 6.1Anexo A 7.1.1examen en línea.
Controles de personasAnexo A 6.2Anexo A 7.1.2Términos y condiciones de empleo
Controles de personasAnexo A 6.3Anexo A 7.2.2Concientización, educación y capacitación sobre seguridad de la información
Controles de personasAnexo A 6.4Anexo A 7.2.3Proceso Disciplinario
Controles de personasAnexo A 6.5Anexo A 7.3.1Responsabilidades después de la terminación o cambio de empleo
Controles de personasAnexo A 6.6Anexo A 13.2.4Acuerdos de confidencialidad o no divulgación
Controles de personasAnexo A 6.7Anexo A 6.2.2Trabajo remoto
Controles de personasAnexo A 6.8Anexo A 16.1.2
Anexo A 16.1.3		Informes de eventos de seguridad de la información

Controles físicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles físicosAnexo A 7.1Anexo A 11.1.1Perímetros de seguridad física
Controles físicosAnexo A 7.2Anexo A 11.1.2
Anexo A 11.1.6		Entrada Física
Controles físicosAnexo A 7.3Anexo A 11.1.3Seguridad de oficinas, habitaciones e instalaciones
Controles físicosAnexo A 7.4NUEVOMonitoreo de seguridad física
Controles físicosAnexo A 7.5Anexo A 11.1.4Protección contra amenazas físicas y ambientales
Controles físicosAnexo A 7.6Anexo A 11.1.5Trabajar en áreas seguras
Controles físicosAnexo A 7.7Anexo A 11.2.9Limpiar escritorio y limpiar pantalla
Controles físicosAnexo A 7.8Anexo A 11.2.1Ubicación y protección de equipos
Controles físicosAnexo A 7.9Anexo A 11.2.6Seguridad de los activos fuera de las instalaciones
Controles físicosAnexo A 7.10Anexo A 8.3.1
Anexo A 8.3.2
Anexo A 8.3.3
 Anexo A 11.2.5		Medios de almacenamiento
Controles físicosAnexo A 7.11Anexo A 11.2.2Servicios públicos de apoyo
Controles físicosAnexo A 7.12Anexo A 11.2.3Seguridad del cableado
Controles físicosAnexo A 7.13Anexo A 11.2.4Mantenimiento De Equipo
Controles físicosAnexo A 7.14Anexo A 11.2.7Eliminación segura o reutilización del equipo

Controles Tecnológicos ISO 27001:2022

Anexo A Tipo de controlIdentificador del Anexo A de ISO/IEC 27001:2022Identificador del Anexo A de ISO/IEC 27001:2013Anexo A Nombre
Controles TecnológicosAnexo A 8.1Anexo A 6.2.1
Anexo A 11.2.8		Dispositivos terminales de usuario
Controles TecnológicosAnexo A 8.2Anexo A 9.2.3Derechos de acceso privilegiados
Controles TecnológicosAnexo A 8.3Anexo A 9.4.1Restricción de acceso a la información
Controles TecnológicosAnexo A 8.4Anexo A 9.4.5Acceso al código fuente
Controles TecnológicosAnexo A 8.5Anexo A 9.4.2Autenticación Segura
Controles TecnológicosAnexo A 8.6Anexo A 12.1.3Gestión de capacidad
Controles TecnológicosAnexo A 8.7Anexo A 12.2.1Protección contra malware
Controles TecnológicosAnexo A 8.8Anexo A 12.6.1
Anexo A 18.2.3		Gestión de Vulnerabilidades Técnicas
Controles TecnológicosAnexo A 8.9NUEVOConfiguration Management
Controles TecnológicosAnexo A 8.10NUEVOEliminación de información
Controles TecnológicosAnexo A 8.11NUEVOEnmascaramiento de datos
Controles TecnológicosAnexo A 8.12NUEVOPrevención de fuga de datos
Controles TecnológicosAnexo A 8.13Anexo A 12.3.1Copia de seguridad de la información
Controles TecnológicosAnexo A 8.14Anexo A 17.2.1Redundancia de instalaciones de procesamiento de información
Controles TecnológicosAnexo A 8.15Anexo A 12.4.1
Anexo A 12.4.2
Anexo A 12.4.3		Inicio de sesión
Controles TecnológicosAnexo A 8.16NUEVOActividades de seguimiento
Controles TecnológicosAnexo A 8.17Anexo A 12.4.4Sincronización de reloj
Controles TecnológicosAnexo A 8.18Anexo A 9.4.4Uso de programas de utilidad privilegiados
Controles TecnológicosAnexo A 8.19Anexo A 12.5.1
Anexo A 12.6.2		Instalación de Software en Sistemas Operativos
Controles TecnológicosAnexo A 8.20Anexo A 13.1.1Seguridad de Redes
Controles TecnológicosAnexo A 8.21Anexo A 13.1.2Seguridad de los servicios de red
Controles TecnológicosAnexo A 8.22Anexo A 13.1.3Segregación de Redes
Controles TecnológicosAnexo A 8.23NUEVOFiltrado Web
Controles TecnológicosAnexo A 8.24Anexo A 10.1.1
Anexo A 10.1.2		Uso de criptografía
Controles TecnológicosAnexo A 8.25Anexo A 14.2.1Ciclo de vida de desarrollo seguro
Controles TecnológicosAnexo A 8.26Anexo A 14.1.2
Anexo A 14.1.3		Requisitos de seguridad de la aplicación
Controles TecnológicosAnexo A 8.27Anexo A 14.2.5Principios de ingeniería y arquitectura de sistemas seguros
Controles TecnológicosAnexo A 8.28NUEVOCodificación segura
Controles TecnológicosAnexo A 8.29Anexo A 14.2.8
Anexo A 14.2.9		Pruebas de seguridad en desarrollo y aceptación
Controles TecnológicosAnexo A 8.30Anexo A 14.2.7Desarrollo subcontratado
Controles TecnológicosAnexo A 8.31Anexo A 12.1.4
Anexo A 14.2.6		Separación de entornos de desarrollo, prueba y producción.
Controles TecnológicosAnexo A 8.32Anexo A 12.1.2
Anexo A 14.2.2
Anexo A 14.2.3
Anexo A 14.2.4		Gestión del cambio
Controles TecnológicosAnexo A 8.33Anexo A 14.3.1Información de prueba
Controles TecnológicosAnexo A 8.34Anexo A 12.7.1Protección de los sistemas de información durante las pruebas de auditoría

Cómo ayuda ISMS.online

ISO 27001:2022, Anexo A 5.18, es una de las cláusulas más discutidas. Muchos sostienen que es la cláusula más importante de todo el documento.

Esto se debe a que toda la Sistema de Gestión de Seguridad de la Información (SGSI) se basa en garantizar que las personas adecuadas tengan acceso a la información correcta en el momento adecuado. Alcanzar el éxito requiere hacerlo bien, pero puede afectar gravemente a su negocio.

Por ejemplo, imagínese si accidentalmente revelara información confidencial de un empleado a la persona equivocada, como el salario de cada empleado.

Un error aquí podría tener consecuencias importantes, por lo que vale la pena tomarse el tiempo para pensarlo detenidamente.

Nuestro La plataforma puede ser extremadamente útil. a este respecto. Como resultado, se adhiere a toda la estructura de ISO 27001 y le permite adoptar, adaptar y agregar contenido que proporcionamos. Esto le da una ventaja significativa. Por qué no programe una demostración para obtener más información?

Descubre nuestra plataforma

Reserva una sesión práctica personalizada
en base a tus necesidades y objetivos
Reserva tu demostración

Con la confianza de empresas de todo el mundo
  • Simple y fácil de usar
  • Diseñado para el éxito de ISO 27001
  • Te ahorra tiempo y dinero
Reserva tu demostración
img

ISMS.online ahora es compatible con ISO 42001, el primer sistema de gestión de IA del mundo. Haga clic para saber más