- Se ISO 27002:2022 Kontrol 8.5 for mere information.
- Se ISO 27001:2013 Bilag A 9.4.2 for mere information.
Formål med ISO 27001:2022 bilag A 8.5
Sikker autentificering er den vigtigste måde, brugere, både menneskelige og ikke-menneskelige, får adgang til en organisations IKT-ressourcer.
I de sidste ti år har autentificeringsteknologien gennemgået en stor transformation fra klassisk brugernavn/adgangskodevalidering til en række supplerende metoder, der involverer biometriske data, logiske og fysiske adgangskontroller, ekstern enhedsgodkendelse, SMS-koder og engangskodeord (OTP) .
Bilag A 8.5 giver organisationer en ramme til at kontrollere adgangen til deres IKT-systemer og aktiver via en sikker login-gateway. Den beskriver præcis, hvordan dette skal gøres.
ISO 27001: 2022 Bilag A Kontrol 8.5 er en forebyggende foranstaltning som fastholder risiko niveauer ved at introducere teknologi og indføre sikre autentificeringsprocedurer, som sikrer, at menneskelige og ikke-menneskelige brugere og identiteter gennemfører en sikker autentificeringsproces, når de forsøger at få adgang til IKT-ressourcer.
Ejerskab af bilag A 8.5
ISO 27001:2022 Annex A 8.5 omhandler en organisations kapacitet til at kontrollere adgangen til sit netværk (og de data og informationer, der ligger deri) på nøglepunkter, f.eks. en login-portal.
Kontrollen omfatter informations- og datasikkerhed som helhed, hvor driftsvejledningen hovedsageligt fokuserer på tekniske aspekter.
Leder af it (eller tilsvarende) bør have ejerskab på grund af at have ansvaret for it-administrative opgaver på daglig basis.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om ISO 27001:2022 Bilag A 8.5
Organisationer bør tage hensyn til typen og følsomheden af de data og netværk, der tilgås, når de overvejer autentificeringskontrol. Eksempler på sådanne kontroller omfatter:
- Smart adgangskontrol (smartkort).
- Biometriske logins.
- Sikre tokens.
- Multi-faktor autentificering (MFA).
- Digitale certifikater.
Det primære formål med en virksomheds sikre autentificeringsforanstaltninger bør være at afskrække og reducere muligheden for uautoriseret adgang til dens beskyttede systemer.
For at opnå dette opstiller ISO 27001:2022 Annex A 8.5 tolv vigtigste retningslinjer. Virksomheder bør:
- Sørg for, at oplysningerne kun vises efter en vellykket godkendelsesproces.
- Vis en advarselsmeddelelse før du logger ind, der tydeligt angiver, at kun autoriserede brugere har adgang til dataene.
- Reducer hjælpen til uautoriserede personer, der forsøger at komme ind i systemet. For eksempel bør virksomheder ikke afsløre, hvilken del af log-in, der har været forkert, såsom en biometrisk faktor på et multi-faktor autentificerings-login – i stedet kun oplyse, at log-in ikke har fungeret.
- Bekræft kun loginforsøget, når alle nødvendige oplysninger er blevet leveret til logintjenesten for at opretholde sikkerheden.
- Implementer branchestandard sikkerhedsforanstaltninger for at beskytte mod generel adgang og brute force-angreb på login-portaler. Disse kan omfatte:
- CAPTCHA er en sikkerhedsfunktion, der kræver, at du indtaster en streng af tegn for at bekræfte, at du er en menneskelig bruger.
- Tvinger en nulstilling af en adgangskode efter et bestemt antal mislykkede loginforsøg.
- Efter et vist antal mislykkede forsøg forpurres yderligere logins. For at forhindre dette, sæt en grænse.
- For revision og sikkerhed skal hvert mislykket login-forsøg noteres, herunder for straffesager og/eller reguleringssager.
- I tilfælde af større login-uoverensstemmelser, såsom mistanke om indtrængen, skal en sikkerhedshændelse straks iværksættes. Internt personale, især dem med systemadministratoradgang eller evnen til at forhindre ondsindede loginforsøg, skal underrettes med det samme.
- Når et vellykket login er blevet bekræftet, skal visse data overføres til et andet depot, som detaljer:
- Det sidste vellykkede logon fandt sted den [dato] kl. [tid].
- Registrering af alle forsøg på login siden sidste godkendte logon.
- Vis adgangskoder som stjerner eller andre lignende abstrakte symboler, medmindre der er en grund til ikke at gøre det (f.eks. brugertilgængelighed).
- Ingen tolerance for adgangskoder, der skal deles eller vises i almindelig, læsbar tekst.
- Sørg for, at inaktive login-sessioner afsluttes efter en fastsat tidsramme. Dette er især relevant for sessioner på steder med høj risiko (fjernbetjening situationer) eller på brugerejede enheder, såsom personlige bærbare computere eller mobiltelefoner.
- Begræns varigheden, i hvilken en autentificeret session kan forblive åben, selv når den er aktiv, afhængigt af de data, der tilgås (f.eks. vitale forretningsoplysninger eller pengerelaterede programmer).
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Vejledning om biometriske logins
Den Internationale Standardiseringsorganisation opfordrer indtrængende til, at biometriske login-processer kombineres med mindst en anden login-teknik, på grund af deres komparative effektivitet og integritet sammenlignet med traditionelle metoder såsom adgangskoder, MFA og tokens.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 8.5 erstatter ISO 27001:2013 Bilag A 9.4.2 (Sikker log-in protokoller).
ISO 27001:2022 Bilag A 8.5 er en revision af 2013-versionen med små ændringer af sproget og de samme sikkerhedsprincipper, der ligger til grund for den. Dokumentet indeholder stadig de 12 velkendte vejledningspunkter.
I tråd med den øgede brug af multi-faktor autentificering og biometriske login-teknologier i løbet af de sidste ti år, giver ISO 27001:2022 Annex A 8.5 eksplicitte instruktioner om, hvordan organisationer bør inkorporere disse teknikker, når de formulerer deres egne login-kontroller.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
Vores cloud-baserede platform udstyrer dig med stærke rammer for informationssikkerhed kontroller for at hjælpe ISMS-processen og sikre, at den opfylder ISO 27001:2022-kriterierne. Brugt korrekt, ISMS.online kan hjælpe dig med at opnå certificering med minimal tid og ressourcer.
Kontakt os i dag for arrangere en demonstration.