SecureFirst — STAY AHEAD, STAY SECURE
SecureFirst — STAY AHEAD, STAY SECURE

CIS Control 5 - Account Management

CIS Controls — 18. marts 2026

Indledning

I dette afsnit gennemgår vi CIS Control 5 og 6: Account Management og Access Control Management.

Formålet med disse kontroller er at anvende processer og værktøjer til at oprette, tildele, administrere og tilbagekalde konti, credentials og adgangsrettigheder for bruger-, administrator- og servicekonti på enterprise assets og software.

Accounts og credentials er den primære indgang til virksomhedens systemer. Hvis de ikke administreres korrekt, kan de misbruges til uautoriseret adgang og datatyveri. Derfor kræver disse kontroller en dokumenteret og struktureret livscyklus for håndtering af konti og credentials.

Typer af konti og credentials

Der findes flere typer konti, som skal administreres

• Administrative accounts med omfattende privilegier • User accounts anvendt af medarbejdere og contractors • Vendor accounts oprettet af leverandører • Default accounts som ofte er forudinstallerede

Der findes også forskellige typer credentials

• Passwords, herunder PINs og passphrases • Software authenticators, eksempelvis engangskoder eller app-baseret godkendelse • Physical one-time credentials • Physical badges • Biometrics

Virksomheden skal beslutte, hvilke typer credentials der anvendes, og i hvilke kombinationer. Kombination af credentials udgør multifaktor autentifikation.

Account and Credential Management Lifecycle

Håndteringen af konti og credentials følger en livscyklus

• Onboarding • Account Creation • Credential Creation and Issuance • Account and Credential Usage • Monitor • Modify Access • Account Termination

Onboarding og etablering af adgangsproces

Ved onboarding skal identiteten verificeres, før der oprettes konti og gives adgang.

Der skal etableres og følges en dokumenteret proces for at tildele adgang ved nyansættelse eller rolleændring.

Processen skal håndhæve princippet om least privilege.

Unødvendige default eller generiske konti skal ændres, før nye systemer tages i brug.

Account Creation og account inventory

IT skal udvikle procedurer for oprettelse af konti og tildeling af privilegier.

Administrator privilegier må kun tildeles dedikerede administrative konti.

IT skal vedligeholde et account inventory over alle konti i virksomheden.

Inventory skal som minimum indeholde

• Personens navn • Kontonavn • Start- og stopdato • Forretningsenhed • Kontostatus, eksempelvis enabled eller disabled

Alle aktive konti i inventory skal valideres mindst kvartalsvis eller oftere.

Credential Creation og krav til passwords

Alle passwords skal være unikke.

Passwords må ikke genbruges til personlige konti.

Passwords må ikke deles mellem brugere.

Passwords, der anvendes med multifaktor autentifikation, skal være mindst 8 tegn.

Passwords uden multifaktor autentifikation skal være mindst 14 tegn.

Default passwords skal ændres ved første login.

Provisionering af credentials skal ske på en sikker måde. Fysisk udlevering anses som mere sikker, men ved fjernlevering skal passende sikkerhedsforanstaltninger, såsom kryptering, anvendes.

Account and Credential Usage og krav til MFA

Multifaktor autentifikation er påkrævet i følgende tilfælde

• Adgang til eksternt eksponerede applikationer • Adgang til tredjeparts applikationer, hvor det understøttes • Fjernadgang til interne systemer og applikationer • Alle administrative konti

Moderne og sikre autentifikationsprotokoller skal anvendes.

Administratorrettigheder må ikke anvendes til almindelig daglig brug.

Monitor og kontrol af konti

Konti skal overvåges og gennemgås regelmæssigt.

Inaktive og glemte konti udgør en risiko og skal identificeres.

Administrative konti skal overvåges særligt nøje.

Administratorrettigheder må ikke være tildelt almindelige brugerkonti.

Modify Access

Konti, der ikke er tilgået inden for 45 dage efter oprettelse, skal deaktiveres.

Konti for personer på forlænget orlov skal deaktiveres.

Processen skal understøtte rolleændringer og løbende justering af rettigheder.

Account Termination og adgangsreduktion

Der skal være en dokumenteret proces for at tilbagekalde adgang.

Alle credentials skal tilbagekaldes straks ved fratrædelse.

Adgang kan deaktiveres frem for slettes for at bevare audit trail.

Self service mekanismer må ikke give brugere mulighed for selv at genaktivere deres konto.

Adgang kan i visse tilfælde tilbagekaldes før en medarbejders fratrædelse for at forhindre misbrug.

Afslutning

CIS Control 5 og 6 kræver, at virksomheden etablerer og vedligeholder en dokumenteret livscyklus for konti og credentials, herunder oprettelse, brug, overvågning, ændring og tilbagekaldelse.

Kun autoriserede og validerede konti må have adgang til enterprise assets, og adgang skal fjernes rettidigt ved ændringer eller fratrædelse.

Tak fordi du lyttede med.