CompliantDesk

A.5 Organisatorische Maßnahmen

A.5.18

Zugangsrechte

ISO 27001NIS2TISAXBSI

Zugangsrechte zu Informationen und anderen Werten müssen gemäß der Zugriffskontrollrichtlinie zugewiesen, überprüft, geändert und entzogen werden.

Was fordert dieses Control?

Zugangsrechte zu Informationen und anderen Werten müssen gemäß der Zugriffskontrollrichtlinie zugewiesen, überprüft, geändert und entzogen werden.

Warum ist das wichtig?

Rechte müssen nicht nur vergeben, sondern auch konsequent angepasst und entzogen werden. Sonst entstehen überprivilegierte und verwaiste Zugänge.

Cross-Standard-Mapping

StandardControl-IDRelevanz
NIS2Art. 21 (2)Direkt
TISAX4.1.1Direkt
BSIORP.4.A3Direkt

Was der Auditor erwartet

  1. 1Geregelte Vergabe und Entzug von Rechten
  2. 2Regelmäßige Rezertifizierung von Berechtigungen
  3. 3Zeitnaher Entzug bei Austritt und Rollenwechsel

Audit-Checkliste

Dokumente

  • Berechtigungsprozess

    Beantragung, Genehmigung, Entzug und Review

Nachweise

  • Rezertifizierungsnachweis

    Durchgeführte Überprüfungen mit Ergebnis

Technisch

  • Rechte ehemaliger/gewechselter Nutzer

    Stichprobe zeigt korrekten Entzug

Praxis-Tipps zur Umsetzung

1

Genehmigung trennen

Beantragung und Freigabe sollten nicht in einer Hand liegen (siehe A.5.3).

2

Bei Wechsel bereinigen

Alte Rechte beim Rollenwechsel aktiv entziehen, nicht nur neue hinzufügen.

3

Reviews terminieren

Rezertifizierung fest und wiederkehrend einplanen.

Häufige Fehler

Rechte kumulieren

Bei Wechseln werden Rechte ergänzt, aber nie entzogen.

Austritt ohne Entzug

Zugänge bleiben nach dem Ausscheiden bestehen.

Häufig gestellte Fragen

Was ist Rezertifizierung?

Die periodische Überprüfung, ob bestehende Berechtigungen noch erforderlich und korrekt sind.

Wie schnell müssen Rechte entzogen werden?

Bei Austritt spätestens zum letzten Arbeitstag, bei Risiko sofort.

Wer ist für die Rechtevergabe verantwortlich?

Der jeweilige Asset Owner genehmigt, die IT setzt um, getrennt voneinander.

So hilft CompliantDesk bei A.5.18

Planen Sie Berechtigungs-Rezertifizierungen als wiederkehrende Reviews und koppeln Sie den Entzug an das Mitarbeiter-Offboarding.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.5.15

Zugangssteuerung

A.5.16

Identitätsmanagement

A.6.5

Verantwortlichkeiten bei Beendigung oder Wechsel