- Se ISO 27002:2022 Kontrol 5.17 for mere information.
- Se ISO 27001:2013 Bilag A 9.2.4 for mere information.
- Se ISO 27001:2013 Bilag A 9.3.1 for mere information.
- Se ISO 27001:2013 Bilag A 9.4.3 for mere information.
ISO 27001:2022 Kontrol 5.17 Forklaret: Beskyttelse af godkendelsesdata
ISO 27001:2022 Bilag A Kontrol 5.17 angiver, at autentificeringsoplysninger skal opbevares sikkert.
Det betyder, at organisationer skal tage passende skridt til beskytte brugerlegitimationsoplysninger, såsom adgangskoder og sikkerhedsspørgsmål, fra uautoriseret adgang. Det skal de også sikre at brugere kan få adgang til systemet med deres legitimationsoplysninger på en sikker måde. Ydermere bør organisationer også sørge for, at brugerne kan nulstille deres legitimationsoplysninger, når det er nødvendigt.
Autentificeringsdetaljer (adgangskoder, krypteringsnøgler og kortchips) giver adgang til informationssystemer, der indeholder følsomme data.
Dårlig håndtering af autentificeringsoplysninger kan føre til uautoriseret adgang til datasystemer og tab af fortrolighed, tilgængelighed og integritet af følsomme data.
Hvad er formålet med ISO 27001:2022 bilag A kontrol 5.17?
Bilag A Kontrol 5.17 giver organisationer mulighed for effektivt at allokere og administrere godkendelsesoplysninger, undgå nedbrud i godkendelsesprocessen og beskytte sig mod sikkerhedstrusler, der kan følge af manipulation af godkendelsesoplysninger.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af bilag A 5.17
ISO 27001:2022 Bilag A Kontrol 5.17 kræver etablering og implementering af organisationsdækkende regler, procedurer og foranstaltninger for tildeling og styring af autentificeringsinformation. Informationssikkerhedsofficerer skal sikre overholdelse af denne kontrol.
Bilag A 5.17 Vejledning om tildeling af autentificeringsoplysninger
Organisationer bør overholde disse seks krav til tildeling og administration af autentificeringsoplysninger:
- Ved tilmelding af nye brugere skal automatisk genererede personlige adgangskoder og personlige identifikationsnumre ikke kunne gættes. Derudover skal hver bruger have en unik adgangskode, og det er obligatorisk at ændre adgangskoder efter første brug.
- Organisationer bør have solide processer til at kontrollere en brugers identitet, før de får nye eller erstatningsgodkendelsesoplysninger eller forsynes med midlertidige oplysninger.
- Organisationer bør garantere sikker transmission af autentificeringsdetaljer til enkeltpersoner via sikre veje og må ikke sende sådanne oplysninger via usikre elektroniske meddelelser (f.eks. almindelig tekst).
- Brugere skal sikre sig, at de har modtaget godkendelsesoplysningerne.
- Organisationer bør handle hurtigt efter installation af nye it-systemer og software og ændre standardgodkendelsesdetaljerne med det samme.
- Organisationer bør oprette og vedvarende føre registre over alle væsentlige begivenheder i forbindelse med styring og tildeling af autentificeringsinformation. Disse optegnelser skal holdes private, og metoder til registrering bør godkendes, f.eks. ved brug af et autoriseret adgangskodeværktøj.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Bilag A 5.17 Vejledning om brugeransvar
Brugere med adgang til godkendelsesoplysninger bør instrueres i at overholde følgende:
- Brugere skal holde hemmelige autentificeringsoplysninger såsom adgangskoder fortrolige og må ikke dele dem med andre. Når flere brugere er involveret i brugen af autentificeringsoplysninger, eller oplysningerne er knyttet til ikke-personlige enheder, må de ikke videregive dem til uautoriserede personer.
- Brugere skal skifte deres adgangskoder med det samme, hvis hemmeligholdelsen af deres adgangskoder er blevet brudt.
- Brugere bør vælge stærke adgangskoder, der er svære at gætte, i overensstemmelse med industristandarder. For eksempel:
- Adgangskoder bør ikke være baseret på personlige oplysninger, der let kan fås, såsom navne eller fødselsdatoer.
- Adgangskoder bør ikke være baseret på oplysninger, der let kan gættes.
- Adgangskoder må ikke bestå af ord eller sekvenser af ord, der er almindelige.
- Brug alfanumeriske tegn og specialtegn i din adgangskode.
- Adgangskoder skal have et minimumslængdekrav.
- Brugere må ikke bruge den samme adgangskode til forskellige tjenester.
- Organisationer bør have deres ansatte påtage sig ansvaret for at oprette og bruge adgangskoder i deres ansættelseskontrakter.
Bilag A 5.17 Vejledning om adgangskodestyringssystemer
Organisationer skal være opmærksomme på følgende, når de opsætter et adgangskodestyringssystem:
- Brugere bør have mulighed for at oprette og ændre deres adgangskoder med en bekræftelsesprocedure på plads til at opdage og rette eventuelle fejl ved indtastning af data.
- Organisationer bør overholde industriens bedste praksis, når de udvikler en robust adgangskodevalgsproces.
- Brugere skal ændre deres standardadgangskoder, når de først får adgang til et system.
- Det er vigtigt at ændre adgangskoder, når det er relevant. For eksempel efter en sikkerhedshændelse eller når en medarbejder forlader sit job og havde adgang til adgangskoder, er en adgangskodeændring nødvendig.
- Tidligere adgangskoder bør ikke genbruges.
- Brug af adgangskoder, der er almindeligt kendte, eller som er blevet tilgået i et brud på sikkerheden, bør ikke tillades for at få adgang til hackede systemer.
- Når adgangskoder indtastes, skal de vises på skærmen i klar tekst.
- Adgangskoder skal transmitteres og opbevares gennem sikre kanaler i et sikkert format.
Organisationer bør også implementere hashing- og krypteringsprocedurer i overensstemmelse med de godkendte kryptografiske metoder for adgangskoder anført i bilag A Kontrol 8.24 af ISO 27001:2022.
Supplerende vejledning om bilag A kontrol 5.17
Ud over adgangskoder, andre former for godkendelse, såsom kryptografiske nøgler, smart cards og biometriske data som fingeraftryk.
Organisationer bør se til ISO/IEC 24760-serien for yderligere råd om godkendelsesdata.
I betragtning af besværet og irritationen ved regelmæssigt at ændre adgangskoder, kan organisationer overveje alternativer som f.eks. single sign-on eller adgangskodebokse. Det skal dog bemærkes, at disse muligheder øger risikoen for, at fortrolige autentificeringsoplysninger udsættes for uautoriserede parter.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001: 2022 Bilag A 5.17 er en erstatning for ISO 27001:2013 Bilag A 9.2.4, 9.3.1 og 9.4.3.
ISO 27001:2022 indeholder et nyt krav til tildeling og styring af godkendelsesoplysninger
I 2013 var kravene til tildeling og håndtering af autentificeringsoplysninger meget ens. ISO 27001:2022 Bilag A Kontrol 5.17 indført et krav, som ikke var til stede i 2013.
Organisationer skal oprette og vedligeholde registreringer for alle væsentlige begivenheder, der er forbundet med administration og distribution af godkendelsesoplysninger. Disse optegnelser bør holdes fortrolige med autoriserede registreringsteknikker, for eksempel brugen af et accepteret adgangskodeværktøj.
2022-versionen indeholder et yderligere krav til brug af godkendelsesoplysninger
ISO 27001:2022 Bilag A Kontrol 5.17 introducerer et krav om brugeransvar, som ikke var specificeret i kontrol 9.3.1 i 2013-versionen.
Organisationer bør inkludere adgangskodekrav i deres kontrakter med medarbejdere og personale. Sådanne krav bør omfatte oprettelse og brug af adgangskoder.
ISO 27001:2013 indeholdt yderligere krav til brugeransvar, der ikke var inkluderet i 2022-versionen
I sammenligning med 2022-versionen indeholdt kontrol 9.3.1 følgende mandat til brug af autentificeringsdata:
Brugere bør ikke anvende de samme autentificeringsdetaljer, for eksempel en adgangskode, til både arbejdsmæssige og ikke-arbejdsmæssige formål.
ISO 27001:2013 indeholdt et yderligere krav til adgangskodestyringssystemer, der ikke var inkluderet i 2022-versionen
Kontrol 9.4.3 af 2013-versionen kræver, at adgangskodestyringssystemer skal:
Sørg for, at filer med adgangskoder skal opbevares på et andet system end det, der hoster applikationsdata.
ISO 27001:2022 Bilag A Kontrol 5.17 kræver ikke dette.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvordan ISMS.online Hjælp
ISMS.Online gør det muligt for organisationer og virksomheder at overholde ISO 27001:2022-kravene ved at give dem en platform, der letter styring, opdatering, test og overvågning af effektiviteten af deres fortroligheds- eller hemmeligholdelsespolitikker og -procedurer.
Vi tilbyder en cloud-baseret platform til administration af fortrolighed og Informationssikkerhedsstyringssystemer, med tavshedspligt, risikostyring, politikker, planer og procedurer, alt sammen på ét bekvemt sted. Den er ligetil at bruge, med en intuitiv grænseflade, der gør det nemt at lære.
Kontakt os i dag for at arrangere en demonstration.
