ISO 27001:2022 Bilag A Kontrol 5.17

Autentificeringsoplysninger

Book en demo

tæt,op,på,hænder,af,diverce,gruppe,studerende,siddende

ISO 27001:2022 Bilag A Kontrol 5.17 angiver, at autentificeringsoplysninger skal opbevares sikkert.

Det betyder, at organisationer skal tage passende skridt til beskytte brugerlegitimationsoplysninger, såsom adgangskoder og sikkerhedsspørgsmål, fra uautoriseret adgang. Det skal de også sikre at brugere kan få adgang til systemet med deres legitimationsoplysninger på en sikker måde. Ydermere bør organisationer også sørge for, at brugerne kan nulstille deres legitimationsoplysninger, når det er nødvendigt.

Autentificeringsdetaljer (adgangskoder, krypteringsnøgler og kortchips) giver adgang til informationssystemer, der indeholder følsomme data.

Dårlig håndtering af autentificeringsoplysninger kan føre til uautoriseret adgang til datasystemer og tab af fortrolighed, tilgængelighed og integritet af følsomme data.

Hvad er formålet med ISO 27001:2022 bilag A kontrol 5.17?

Bilag A Kontrol 5.17 giver organisationer mulighed for effektivt at allokere og administrere godkendelsesoplysninger, undgå nedbrud i godkendelsesprocessen og beskytte sig mod sikkerhedstrusler, der kan følge af manipulation af godkendelsesoplysninger.

Ejerskab af bilag A 5.17

ISO 27001:2022 Bilag A Kontrol 5.17 kræver etablering og implementering af organisationsdækkende regler, procedurer og foranstaltninger for tildeling og styring af autentificeringsinformation. Informationssikkerhedsofficerer skal sikre overholdelse af denne kontrol.

Gå til emne

Bilag A 5.17 Vejledning om tildeling af autentificeringsoplysninger

Organisationer bør overholde disse seks krav til tildeling og administration af autentificeringsoplysninger:

  • Ved tilmelding af nye brugere skal automatisk genererede personlige adgangskoder og personlige identifikationsnumre ikke kunne gættes. Derudover skal hver bruger have en unik adgangskode, og det er obligatorisk at ændre adgangskoder efter første brug.

  • Organisationer bør have solide processer til at kontrollere en brugers identitet, før de får nye eller erstatningsgodkendelsesoplysninger eller forsynes med midlertidige oplysninger.

  • Organisationer bør garantere sikker transmission af autentificeringsdetaljer til enkeltpersoner via sikre veje og må ikke sende sådanne oplysninger via usikre elektroniske meddelelser (f.eks. almindelig tekst).

  • Brugere skal sikre sig, at de har modtaget godkendelsesoplysningerne.

  • Organisationer bør handle hurtigt efter installation af nye it-systemer og software og ændre standardgodkendelsesdetaljerne med det samme.

  • Organisationer bør oprette og vedvarende føre registre over alle væsentlige begivenheder i forbindelse med styring og tildeling af autentificeringsinformation. Disse optegnelser skal holdes private, og metoder til registrering bør godkendes, f.eks. ved brug af et autoriseret adgangskodeværktøj.

Bilag A 5.17 Vejledning om brugeransvar

Brugere med adgang til godkendelsesoplysninger bør instrueres i at overholde følgende:

  • Brugere skal holde hemmelige autentificeringsoplysninger såsom adgangskoder fortrolige og må ikke dele dem med andre. Når flere brugere er involveret i brugen af ​​autentificeringsoplysninger, eller oplysningerne er knyttet til ikke-personlige enheder, må de ikke videregive dem til uautoriserede personer.

  • Brugere skal skifte deres adgangskoder med det samme, hvis hemmeligholdelsen af ​​deres adgangskoder er blevet brudt.

  • Brugere bør vælge stærke adgangskoder, der er svære at gætte, i overensstemmelse med industristandarder. For eksempel:

    • Adgangskoder bør ikke være baseret på personlige oplysninger, der let kan fås, såsom navne eller fødselsdatoer.

    • Adgangskoder bør ikke være baseret på oplysninger, der let kan gættes.

    • Adgangskoder må ikke bestå af ord eller sekvenser af ord, der er almindelige.

    • Brug alfanumeriske tegn og specialtegn i din adgangskode.

    • Adgangskoder skal have et minimumslængdekrav.
  • Brugere må ikke bruge den samme adgangskode til forskellige tjenester.

  • Organisationer bør have deres ansatte påtage sig ansvaret for at oprette og bruge adgangskoder i deres ansættelseskontrakter.

Bilag A 5.17 Vejledning om adgangskodestyringssystemer

Organisationer skal være opmærksomme på følgende, når de opsætter et adgangskodestyringssystem:

  • Brugere bør have mulighed for at oprette og ændre deres adgangskoder med en bekræftelsesprocedure på plads til at opdage og rette eventuelle fejl ved indtastning af data.

  • Organisationer bør overholde industriens bedste praksis, når de udvikler en robust adgangskodevalgsproces.

  • Brugere skal ændre deres standardadgangskoder, når de først får adgang til et system.

  • Det er vigtigt at ændre adgangskoder, når det er relevant. For eksempel efter en sikkerhedshændelse eller når en medarbejder forlader sit job og havde adgang til adgangskoder, er en adgangskodeændring nødvendig.

  • Tidligere adgangskoder bør ikke genbruges.

  • Brug af adgangskoder, der er almindeligt kendte, eller som er blevet tilgået i et brud på sikkerheden, bør ikke tillades for at få adgang til hackede systemer.

  • Når adgangskoder indtastes, skal de vises på skærmen i klar tekst.

  • Adgangskoder skal transmitteres og opbevares gennem sikre kanaler i et sikkert format.

Organisationer bør også implementere hashing- og krypteringsprocedurer i overensstemmelse med de godkendte kryptografiske metoder for adgangskoder anført i bilag A Kontrol 8.24 af ISO 27001:2022.

Supplerende vejledning om bilag A kontrol 5.17

Ud over adgangskoder, andre former for godkendelse, såsom kryptografiske nøgler, smart cards og biometriske data som fingeraftryk.

Organisationer bør se til ISO/IEC 24760-serien for yderligere råd om godkendelsesdata.

I betragtning af besværet og irritationen ved regelmæssigt at ændre adgangskoder, kan organisationer overveje alternativer som f.eks. single sign-on eller adgangskodebokse. Det skal dog bemærkes, at disse muligheder øger risikoen for, at fortrolige autentificeringsoplysninger udsættes for uautoriserede parter.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001: 2022 Bilag A 5.17 er en erstatning for ISO 27001:2013 Bilag A 9.2.4, 9.3.1 og 9.4.3.

ISO 27001:2022 indeholder et nyt krav til tildeling og styring af godkendelsesoplysninger

I 2013 var kravene til tildeling og håndtering af autentificeringsoplysninger meget ens. ISO 27001:2022 Bilag A Kontrol 5.17 indført et krav, som ikke var til stede i 2013.

Organisationer skal oprette og vedligeholde registreringer for alle væsentlige begivenheder, der er forbundet med administration og distribution af godkendelsesoplysninger. Disse optegnelser bør holdes fortrolige med autoriserede registreringsteknikker, for eksempel brugen af ​​et accepteret adgangskodeværktøj.

2022-versionen indeholder et yderligere krav til brug af godkendelsesoplysninger

ISO 27001:2022 Bilag A Kontrol 5.17 introducerer et krav om brugeransvar, som ikke var specificeret i kontrol 9.3.1 i 2013-versionen.

Organisationer bør inkludere adgangskodekrav i deres kontrakter med medarbejdere og personale. Sådanne krav bør omfatte oprettelse og brug af adgangskoder.

ISO 27001:2013 indeholdt yderligere krav til brugeransvar, der ikke var inkluderet i 2022-versionen

I sammenligning med 2022-versionen indeholdt kontrol 9.3.1 følgende mandat til brug af autentificeringsdata:

Brugere bør ikke anvende de samme autentificeringsdetaljer, for eksempel en adgangskode, til både arbejdsmæssige og ikke-arbejdsmæssige formål.

ISO 27001:2013 indeholdt et yderligere krav til adgangskodestyringssystemer, der ikke var inkluderet i 2022-versionen

Kontrol 9.4.3 af 2013-versionen kræver, at adgangskodestyringssystemer skal:

Sørg for, at filer med adgangskoder skal opbevares på et andet system end det, der hoster applikationsdata.

ISO 27001:2022 Bilag A Kontrol 5.17 kræver ikke dette.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.Online gør det muligt for organisationer og virksomheder at overholde ISO 27001:2022-kravene ved at give dem en platform, der letter styring, opdatering, test og overvågning af effektiviteten af ​​deres fortroligheds- eller hemmeligholdelsespolitikker og -procedurer.

Vi tilbyder en cloud-baseret platform til administration af fortrolighed og Informationssikkerhedsstyringssystemer, med tavshedspligt, risikostyring, politikker, planer og procedurer, alt sammen på ét bekvemt sted. Den er ligetil at bruge, med en intuitiv grænseflade, der gør det nemt at lære.

Kontakt os i dag for at arrangere en demonstration.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere