A.5 Organisatorische Maßnahmen
Zugangssteuerung
Regeln zur Steuerung des physischen und logischen Zugangs zu Informationen und anderen Werten müssen auf Basis der Geschäfts- und Informationssicherheitsanforderungen festgelegt und umgesetzt werden.
Was fordert dieses Control?
Regeln zur Steuerung des physischen und logischen Zugangs zu Informationen und anderen Werten müssen auf Basis der Geschäfts- und Informationssicherheitsanforderungen festgelegt und umgesetzt werden.
Warum ist das wichtig?
Zugriffskontrolle ist das Herzstück der Informationssicherheit. Das Need-to-know- und Least-Privilege-Prinzip begrenzt Schäden bei Missbrauch und Kompromittierung.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| NIS2 | Art. 21 (2) | Direkt |
| TISAX | 4.1.1 | Direkt |
| BSI | ORP.4 | Direkt |
Was der Auditor erwartet
- 1Zugriffskontrollrichtlinie nach Least Privilege
- 2Rollenbasiertes Berechtigungskonzept
- 3Regelmäßige Überprüfung von Zugriffsrechten
Audit-Checkliste
Dokumente
Zugriffskontrollrichtlinie
Prinzipien Need-to-know und Least Privilege
Nachweise
Berechtigungsreviews
Regelmäßige Rezertifizierung der Rechte
Interviews
Admins / Owner
Vergabe- und Entzugsprozess von Rechten
Technisch
Rechtevergabe in Systemen
Rollenbasierte, minimal nötige Berechtigungen
Praxis-Tipps zur Umsetzung
Least Privilege
Nur so viele Rechte wie nötig, im Zweifel weniger.
Rollen statt Einzelrechte
Rechte über Rollen bündeln, das vereinfacht Vergabe und Review.
Regelmäßig rezertifizieren
Berechtigungen periodisch durch Owner bestätigen lassen.
Häufige Fehler
Privilege Creep
Rechte sammeln sich über Rollenwechsel an und werden nie entzogen.
Keine Reviews
Berechtigungen werden nie überprüft.
Häufig gestellte Fragen
Was bedeutet Least Privilege?
Jeder erhält nur die minimal notwendigen Rechte für seine Aufgabe, nicht mehr.
Wie oft Rechte überprüfen?
Mindestens jährlich, für privilegierte Konten häufiger.
Was ist der Unterschied zu A.8.3?
A.5.15 setzt die übergreifenden Regeln, A.8.3 betrifft die konkrete technische Zugriffsbeschränkung.
So hilft CompliantDesk bei A.5.15
Dokumentieren Sie das Zugriffskontrollkonzept als Kontrolle und planen Sie wiederkehrende Berechtigungsreviews über das Kalender-Modul.