Control access to services based on knowledge of users and devices. One example is if a user logs in via an unmanaged device (the organisation trusts the user but does not control the device) and gains access to fewer services than if the user logs in via an organisation-managed device (the organisation knows both the user and the device).
Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.
Määrittelyn tueksi pitää harkita seuraavia asioita:
Organisaation on hallittava kaikki sen käyttäjät ja niiden käyttöoikeudet. Tähän kuuluu myös kolmannen osapuolen käyttäjät, joilla on pääsyoikeuksia organisaation tietoihin tai järjestelmiin.
Organisaation on poistettava kokonaan tai poistettava käytöstä käyttöoikeuksia, kun niitä ei enään tarvita tehtävän täyttämiseen. Esimerkiksi silloin, kun työntekijän työtehtävä vaihtuu.
Pääsynvalvonnan toteuttaminen palveluihin käyttäjien ja laitteiden tuntemuksen perusteella.
Esimerkiksi, jos käyttäjä kirjautuu sisään hallitsemattomalla laitteella (organisaatio luottaa käyttäjään, mutta ei hallitse laitetta), hän saa pääsyn harvempiin palveluihin kuin jos käyttäjä kirjautuisi sisään organisaation hallinnoimalla laitteella (organisaatio tuntee sekä käyttäjän että laitteen).
Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:
Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
