Adgangskontrol (ISO 27001)

Adgangskontrol er de foranstaltninger, der sikrer, at kun de rette personer har adgang til de rette informationer og systemer, i det rette omfang og på det rette tidspunkt. Det er et af de vigtigste og mest omfattende kontrolområder i ISO 27001.

Tilbage til ordbog

Hvad er adgangskontrol i ISO 27001?

Adgangskontrol (access control) handler om at styre, hvem der kan tilgå hvad i din organisation. Det dækker både logisk adgang (til systemer, filer og data) og fysisk adgang (til lokaler og udstyr). Formålet er at sikre fortrolighed og integritet ved at begrænse adgang til dem, der har et legitimt behov. Det bygger på det bredere koncept adgangskontrol som sikkerhedsforanstaltning.

Grundlæggende principper

Effektiv adgangskontrol bygger på tre kernekoncepter:

Need-to-know: Brugere gives kun adgang til de informationer, de har brug for til at udføre deres arbejde.
Least privilege: Brugere gives det minimale privilegieniveau, der er nødvendigt.
Separation of duties: Kritiske opgaver deles mellem flere personer for at reducere risiko for fejl og svindel.

Adgangskontrol i ISO 27001

I ISO 27001:2022 er adgangskontrol primært dækket af kontrollerne 5.15–5.18 (organisatoriske) og 8.2–8.6 (teknologiske). Disse er del af det samlede sæt af Annex A-kontroller:

5.15: Adgangskontrolpolitik
5.16: Identitetsstyring
5.17: Autentificeringsoplysninger
5.18: Adgangsrettigheder
8.2: Privilegerede adgangsrettigheder
8.5: Sikker autentificering

Gennemgå regelmæssigt: Adgangsrettigheder skal gennemgås regelmæssigt. Det er vigtigt at fjerne eller ændre adgange ved jobskifte, fratrædelse eller ændring i arbejdsopgaver. Forglemmelse af dette er en af de hyppigste sikkerhedsbrister.

Adgangskontrol i praksis

Praktisk implementering af adgangskontrol inkluderer typisk rollebaseret adgangsstyring (RBAC), stærk autentificering via MFA, løbende gennemgang af adgangsrettigheder, og en formel on- og offboarding-proces der håndterer adgangsgivning og -fjernelse. Disse kontroller bør dokumenteres i din anvendelseserklæring.

Ofte stillede spørgsmål om adgangskontrol i ISO 27001

Hvilke ISO 27001-kontroller dækker adgangskontrol?

Adgangskontrol er primært dækket af kontrollerne 5.15–5.18 (organisatoriske) og 8.2–8.6 (teknologiske) i ISO 27001:2022. De adresserer adgangspolitik, identitetsstyring, autentificering og privilegeret adgang.

Hvad er need-to-know-princippet?

Need-to-know-princippet betyder, at brugere kun får adgang til de informationer, de specifikt har brug for til at udføre deres arbejdsopgaver – intet mere. Det er et kerneprincip for adgangskontrol i ISO 27001.

Hvor ofte skal adgangsrettigheder gennemgås?

ISO 27001 kræver regelmæssige gennemgange af adgangsrettigheder. Best practice er mindst kvartalsvis, og altid når en medarbejder skifter rolle, afdeling eller forlader organisationen.

Hvad er separation of duties?

Separation of duties er et kontrolprincip, hvor kritiske opgaver fordeles mellem flere personer, så ingen enkelt person har fuld kontrol over en følsom proces. Det reducerer risikoen for svindel og fejl.

Skal jeg dokumentere min adgangskontrolpolitik?

Ja. ISO 27001 kontrol 5.15 kræver specifikt en adgangskontrolpolitik, der er dokumenteret, kommunikeret til relevante parter og gennemgået med planlagte intervaller.