ISO 27001:2022 Bilag A 5.17 – Godkendelsesoplysninger

Hvad er formålet med ISO 27001:2022 bilag A kontrol 5.17?

Bilag A Kontrol 5.17 giver organisationer mulighed for effektivt at allokere og administrere godkendelsesoplysninger, undgå nedbrud i godkendelsesprocessen og beskytte sig mod sikkerhedstrusler, der kan følge af manipulation af godkendelsesoplysninger.

Ejerskab af bilag A 5.17

ISO 27001:2022 Bilag A Kontrol 5.17 kræver etablering og implementering af organisationsdækkende regler, procedurer og foranstaltninger for tildeling og styring af autentificeringsinformation. Informationssikkerhedsofficerer skal sikre overholdelse af denne kontrol.

Bilag A 5.17 Vejledning om tildeling af autentificeringsoplysninger

Organisationer bør overholde disse seks krav til tildeling og administration af autentificeringsoplysninger:

• Ved tilmelding af nye brugere skal automatisk genererede personlige adgangskoder og personlige identifikationsnumre ikke kunne gættes. Derudover skal hver bruger have en unik adgangskode, og det er obligatorisk at ændre adgangskoder efter første brug.
• Organisationer bør have solide processer til at kontrollere en brugers identitet, før de får nye eller erstatningsgodkendelsesoplysninger eller forsynes med midlertidige oplysninger.
• Organisationer bør garantere sikker transmission af autentificeringsdetaljer til enkeltpersoner via sikre veje og må ikke sende sådanne oplysninger via usikre elektroniske meddelelser (f.eks. almindelig tekst).
• Brugere skal sikre sig, at de har modtaget godkendelsesoplysningerne.
• Organisationer bør handle hurtigt efter installation af nye it-systemer og software og ændre standardgodkendelsesdetaljerne med det samme.
• Organisationer bør oprette og vedvarende føre registre over alle væsentlige begivenheder i forbindelse med styring og tildeling af autentificeringsinformation. Disse optegnelser skal holdes private, og metoder til registrering bør godkendes, f.eks. ved brug af et autoriseret adgangskodeværktøj.

Bilag A 5.17 Vejledning om brugeransvar

Brugere med adgang til godkendelsesoplysninger bør instrueres i at overholde følgende:

• Brugere skal holde hemmelige autentificeringsoplysninger såsom adgangskoder fortrolige og må ikke dele dem med andre. Når flere brugere er involveret i brugen af ​​autentificeringsoplysninger, eller oplysningerne er knyttet til ikke-personlige enheder, må de ikke videregive dem til uautoriserede personer.
• Brugere skal skifte deres adgangskoder med det samme, hvis hemmeligholdelsen af ​​deres adgangskoder er blevet brudt.
• Brugere bør vælge stærke adgangskoder, der er svære at gætte, i overensstemmelse med industristandarder. For eksempel:
• Adgangskoder bør ikke være baseret på personlige oplysninger, der let kan fås, såsom navne eller fødselsdatoer.
• Adgangskoder bør ikke være baseret på oplysninger, der let kan gættes.
• Adgangskoder må ikke bestå af ord eller sekvenser af ord, der er almindelige.
• Brug alfanumeriske tegn og specialtegn i din adgangskode.
• Adgangskoder skal have et minimumslængdekrav.
• Brugere må ikke bruge den samme adgangskode til forskellige tjenester.
• Organisationer bør have deres ansatte påtage sig ansvaret for at oprette og bruge adgangskoder i deres ansættelseskontrakter.

Bilag A 5.17 Vejledning om adgangskodestyringssystemer

Organisationer skal være opmærksomme på følgende, når de opsætter et adgangskodestyringssystem:

• Brugere bør have mulighed for at oprette og ændre deres adgangskoder med en bekræftelsesprocedure på plads til at opdage og rette eventuelle fejl ved indtastning af data.
• Organisationer bør overholde industriens bedste praksis, når de udvikler en robust adgangskodevalgsproces.
• Brugere skal ændre deres standardadgangskoder, når de først får adgang til et system.
• Det er vigtigt at ændre adgangskoder, når det er relevant. For eksempel efter en sikkerhedshændelse eller når en medarbejder forlader sit job og havde adgang til adgangskoder, er en adgangskodeændring nødvendig.
• Tidligere adgangskoder bør ikke genbruges.
• Brug af adgangskoder, der er almindeligt kendte, eller som er blevet tilgået i et brud på sikkerheden, bør ikke tillades for at få adgang til hackede systemer.
• Når adgangskoder indtastes, skal de vises på skærmen i klar tekst.
• Adgangskoder skal transmitteres og opbevares gennem sikre kanaler i et sikkert format.

Organisationer bør også implementere hashing- og krypteringsprocedurer i overensstemmelse med de godkendte kryptografiske metoder for adgangskoder anført i bilag A Kontrol 8.24 af ISO 27001:2022.

Supplerende vejledning om bilag A kontrol 5.17

Ud over adgangskoder, andre former for godkendelse, såsom kryptografiske nøgler, smart cards og biometriske data som fingeraftryk.

Organisationer bør se til ISO/IEC 24760-serien for yderligere råd om godkendelsesdata.

I betragtning af besværet og irritationen ved regelmæssigt at ændre adgangskoder, kan organisationer overveje alternativer som f.eks. single sign-on eller adgangskodebokse. Det skal dog bemærkes, at disse muligheder øger risikoen for, at fortrolige autentificeringsoplysninger udsættes for uautoriserede parter.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001: 2022 Bilag A 5.17 er en erstatning for ISO 27001:2013 Bilag A 9.2.4, 9.3.1 og 9.4.3.

ISO 27001:2022 indeholder et nyt krav til tildeling og styring af godkendelsesoplysninger

I 2013 var kravene til tildeling og håndtering af autentificeringsoplysninger meget ens. ISO 27001:2022 Bilag A Kontrol 5.17 indført et krav, som ikke var til stede i 2013.

Organisationer skal oprette og vedligeholde registreringer for alle væsentlige begivenheder, der er forbundet med administration og distribution af godkendelsesoplysninger. Disse optegnelser bør holdes fortrolige med autoriserede registreringsteknikker, for eksempel brugen af ​​et accepteret adgangskodeværktøj.

2022-versionen indeholder et yderligere krav til brug af godkendelsesoplysninger

ISO 27001:2022 Bilag A Kontrol 5.17 introducerer et krav om brugeransvar, som ikke var specificeret i kontrol 9.3.1 i 2013-versionen.

Organisationer bør inkludere adgangskodekrav i deres kontrakter med medarbejdere og personale. Sådanne krav bør omfatte oprettelse og brug af adgangskoder.

ISO 27001:2013 indeholdt yderligere krav til brugeransvar, der ikke var inkluderet i 2022-versionen

I sammenligning med 2022-versionen indeholdt kontrol 9.3.1 følgende mandat til brug af autentificeringsdata:

Brugere bør ikke anvende de samme autentificeringsdetaljer, for eksempel en adgangskode, til både arbejdsmæssige og ikke-arbejdsmæssige formål.

ISO 27001:2013 indeholdt et yderligere krav til adgangskodestyringssystemer, der ikke var inkluderet i 2022-versionen

Kontrol 9.4.3 af 2013-versionen kræver, at adgangskodestyringssystemer skal:

Sørg for, at filer med adgangskoder skal opbevares på et andet system end det, der hoster applikationsdata.

ISO 27001:2022 Bilag A Kontrol 5.17 kræver ikke dette.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvordan ISMS.online Hjælp

ISMS.Online gør det muligt for organisationer og virksomheder at overholde ISO 27001:2022-kravene ved at give dem en platform, der letter styring, opdatering, test og overvågning af effektiviteten af ​​deres fortroligheds- eller hemmeligholdelsespolitikker og -procedurer.

Vi tilbyder en cloud-baseret platform til administration af fortrolighed og Informationssikkerhedsstyringssystemer, med tavshedspligt, risikostyring, politikker, planer og procedurer, alt sammen på ét bekvemt sted. Den er ligetil at bruge, med en intuitiv grænseflade, der gør det nemt at lære.

Kontakt os i dag for at arrangere en demonstration.