CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.16

Identitätsmanagement

ISO 27001TISAXBSI

Der gesamte Lebenszyklus von Identitäten muss verwaltet werden, von der Erstellung über die Nutzung bis zur Deaktivierung.

Was fordert dieses Control?

Der gesamte Lebenszyklus von Identitäten muss verwaltet werden, von der Erstellung über die Nutzung bis zur Deaktivierung.

Warum ist das wichtig?

Eindeutige, kontrollierte Identitäten sind Voraussetzung für jede Zugriffskontrolle und Nachvollziehbarkeit. Verwaiste oder geteilte Identitäten untergraben die Sicherheit.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX4.1.1Direkt
BSIORP.4.A1Direkt

Was der Auditor erwartet

  1. 1Eindeutige Identitäten je Person
  2. 2Lebenszyklusprozess von Anlage bis Deaktivierung
  3. 3Kontrolle über technische und geteilte Konten

Audit-Checkliste

Dokumente

  • Identitätsmanagement-Prozess

    Anlage, Änderung und Deaktivierung von Identitäten

Nachweise

  • Account-Lebenszyklus

    Beispiele für Anlage und zeitnahe Deaktivierung

Technisch

  • Verzeichnisdienst

    Eindeutige Konten, kontrollierte Service-/Shared-Accounts

Praxis-Tipps zur Umsetzung

1

Eindeutigkeit erzwingen

Jede Person eigene Identität, keine geteilten Logins.

2

Service-Konten kontrollieren

Technische Konten dokumentieren und Verantwortliche zuweisen.

3

An Joiner-Mover-Leaver koppeln

Identitäten automatisch mit HR-Prozessen synchronisieren.

Häufige Fehler

Geteilte Konten

Mehrere Personen nutzen dasselbe Login, Nachvollziehbarkeit geht verloren.

Verwaiste Identitäten

Konten ausgeschiedener Personen bleiben aktiv.

Häufig gestellte Fragen

Sind geteilte Konten erlaubt?

Möglichst vermeiden. Wo unvermeidbar, müssen sie dokumentiert, begründet und besonders überwacht werden.

Wie verwaltet man Service-Accounts?

Mit eindeutigem Verantwortlichen, dokumentiertem Zweck und regelmäßiger Überprüfung.

Was ist der Unterschied zu A.5.17?

A.5.16 betrifft die Identität selbst, A.5.17 die zugehörigen Authentisierungsinformationen wie Passwörter.

So hilft CompliantDesk bei A.5.16

Über die M365-Integration werden Identitäten beim Onboarding und Offboarding automatisch angelegt und deaktiviert, lückenlos dokumentiert.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.17

Authentisierungsinformationen

A.5.18

Zugangsrechte

A.8.2

Privilegierte Zugangsrechte