A.8 Technologische Maßnahmen
Einschränkung des Informationszugriffs
Der Zugriff auf Informationen und andere Werte muss gemäß der etablierten Zugriffskontrollrichtlinie eingeschränkt werden.
Was fordert dieses Control?
Der Zugriff auf Informationen und andere Werte muss gemäß der etablierten Zugriffskontrollrichtlinie eingeschränkt werden.
Warum ist das wichtig?
Konkrete technische Zugriffsbeschränkung setzt das Need-to-know-Prinzip in den Systemen durch. So sehen Nutzer nur, was sie wirklich benötigen.
Cross-Standard-Mapping
| Standard | Control-ID | Relevanz |
|---|---|---|
| NIS2 | Art. 21 (2) | Direkt |
| TISAX | 4.1.1 | Direkt |
| BSI | ORP.4 | Direkt |
Was der Auditor erwartet
- 1Technische Durchsetzung von Zugriffsbeschränkungen
- 2Rollenbasierte Rechte nach Need-to-know
- 3Schutz sensibler Daten vor zu breitem Zugriff
Audit-Checkliste
Dokumente
Berechtigungskonzept
Zuordnung von Rollen zu Zugriffsrechten
Nachweise
Rechtevergabe-Stichprobe
Tatsächliche Rechte entsprechen dem Konzept
Technisch
Datei-/Anwendungsrechte
Restriktive, rollenbasierte Berechtigungen in Systemen
Praxis-Tipps zur Umsetzung
Need-to-know umsetzen
Standardmäßig keinen Zugriff, gezielt nur Notwendiges freigeben.
Berechtigungen bündeln
Über Gruppen/Rollen statt Einzelrechte steuern.
Sensibles besonders schützen
Hochsensible Daten zusätzlich technisch abschotten.
Häufige Fehler
Jeder sieht alles
Offene Freigaben statt restriktiver, rollenbasierter Rechte.
Gewachsene Rechte
Über Jahre angesammelte Berechtigungen ohne Bereinigung.
Häufig gestellte Fragen
Was unterscheidet A.8.3 von A.5.15?
A.5.15 setzt die organisatorischen Regeln, A.8.3 ist die konkrete technische Durchsetzung in den Systemen.
Wie setzt man Need-to-know technisch um?
Über restriktive Standardrechte und gezielte Freigaben per Rolle oder Gruppe.
Wie verhindert man zu breite Freigaben?
Durch regelmäßige Rechteüberprüfung und Vermeidung offener Jeder-Freigaben.
So hilft CompliantDesk bei A.8.3
Hinterlegen Sie das Berechtigungskonzept als Kontrolle und verknüpfen Sie es mit regelmäßigen Zugriffsreviews und Nachweisen.