ISO 27001:2022 Bilag A Kontrol 8.5

Sikker godkendelse

Book en demo

tæt på,billede, af, afrikansk, barn, browsing, internet, på, bærbar computer., hænder

Formål med ISO 27001:2022 bilag A 8.5

Sikker autentificering er den vigtigste måde, brugere, både menneskelige og ikke-menneskelige, får adgang til en organisations IKT-ressourcer.

I de sidste ti år har autentificeringsteknologien gennemgået en stor transformation fra klassisk brugernavn/adgangskodevalidering til en række supplerende metoder, der involverer biometriske data, logiske og fysiske adgangskontroller, ekstern enhedsgodkendelse, SMS-koder og engangskodeord (OTP) .

Bilag A 8.5 giver organisationer en ramme til at kontrollere adgangen til deres IKT-systemer og aktiver via en sikker login-gateway. Den beskriver præcis, hvordan dette skal gøres.

ISO 27001: 2022 Bilag A Kontrol 8.5 er en forebyggende foranstaltning som fastholder risiko niveauer ved at introducere teknologi og indføre sikre autentificeringsprocedurer, som sikrer, at menneskelige og ikke-menneskelige brugere og identiteter gennemfører en sikker autentificeringsproces, når de forsøger at få adgang til IKT-ressourcer.

Ejerskab af bilag A 8.5

ISO 27001:2022 Annex A 8.5 omhandler en organisations kapacitet til at kontrollere adgangen til sit netværk (og de data og informationer, der ligger deri) på nøglepunkter, f.eks. en login-portal.

Kontrollen omfatter informations- og datasikkerhed som helhed, hvor driftsvejledningen hovedsageligt fokuserer på tekniske aspekter.

Leder af it (eller tilsvarende) bør have ejerskab på grund af at have ansvaret for it-administrative opgaver på daglig basis.

Gå til emne
100 % ISO 27001 succes

Din enkle, praktiske, tidsbesparende vej til første gangs ISO 27001-overensstemmelse eller certificering

Book din demo
Metode med sikre resultater

Generel vejledning om ISO 27001:2022 Bilag A 8.5

Organisationer bør tage hensyn til typen og følsomheden af ​​de data og netværk, der tilgås, når de overvejer autentificeringskontrol. Eksempler på sådanne kontroller omfatter:

  • Smart adgangskontrol (smartkort).

  • Biometriske logins.

  • Sikre tokens.

  • Multi-faktor autentificering (MFA).

  • Digitale certifikater.

Det primære formål med en virksomheds sikre autentificeringsforanstaltninger bør være at afskrække og reducere muligheden for uautoriseret adgang til dens beskyttede systemer.

For at opnå dette opstiller ISO 27001:2022 Annex A 8.5 tolv vigtigste retningslinjer. Virksomheder bør:

  1. Sørg for, at oplysningerne kun vises efter en vellykket godkendelsesproces.

  2. Vis en advarselsmeddelelse før du logger ind, der tydeligt angiver, at kun autoriserede brugere har adgang til dataene.

  3. Reducer hjælpen til uautoriserede personer, der forsøger at komme ind i systemet. For eksempel bør virksomheder ikke afsløre, hvilken del af log-in, der har været forkert, såsom en biometrisk faktor på et multi-faktor autentificerings-login – i stedet kun oplyse, at log-in ikke har fungeret.

  4. Bekræft kun loginforsøget, når alle nødvendige oplysninger er blevet leveret til logintjenesten for at opretholde sikkerheden.

  5. Implementer branchestandard sikkerhedsforanstaltninger for at beskytte mod generel adgang og brute force-angreb på login-portaler. Disse kan omfatte:

    • CAPTCHA er en sikkerhedsfunktion, der kræver, at du indtaster en streng af tegn for at bekræfte, at du er en menneskelig bruger.

    • Tvinger en nulstilling af en adgangskode efter et bestemt antal mislykkede loginforsøg.

    • Efter et vist antal mislykkede forsøg forpurres yderligere logins. For at forhindre dette, sæt en grænse.

  6. For revision og sikkerhed skal hvert mislykket login-forsøg noteres, herunder for straffesager og/eller reguleringssager.

  7. I tilfælde af større login-uoverensstemmelser, såsom mistanke om indtrængen, skal en sikkerhedshændelse straks iværksættes. Internt personale, især dem med systemadministratoradgang eller evnen til at forhindre ondsindede loginforsøg, skal underrettes med det samme.

  8. Når et vellykket login er blevet bekræftet, skal visse data overføres til et andet depot, som detaljer:

    • Det sidste vellykkede logon fandt sted den [dato] kl. [tid].

    • Registrering af alle forsøg på login siden sidste godkendte logon.

  9. Vis adgangskoder som stjerner eller andre lignende abstrakte symboler, medmindre der er en grund til ikke at gøre det (f.eks. brugertilgængelighed).

  10. Ingen tolerance for adgangskoder, der skal deles eller vises i almindelig, læsbar tekst.

  11. Sørg for, at inaktive login-sessioner afsluttes efter en fastsat tidsramme. Dette er især relevant for sessioner på steder med høj risiko (fjernbetjening situationer) eller på brugerejede enheder, såsom personlige bærbare computere eller mobiltelefoner.

  12. Begræns varigheden, i hvilken en autentificeret session kan forblive åben, selv når den er aktiv, afhængigt af de data, der tilgås (f.eks. vitale forretningsoplysninger eller pengerelaterede programmer).

Vejledning om biometriske logins

Den Internationale Standardiseringsorganisation opfordrer indtrængende til, at biometriske login-processer kombineres med mindst en anden login-teknik, på grund af deres komparative effektivitet og integritet sammenlignet med traditionelle metoder såsom adgangskoder, MFA og tokens.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.5 erstatter ISO 27001:2013 Bilag A 9.4.2 (Sikker log-in protokoller).

ISO 27001:2022 Bilag A 8.5 er en revision af 2013-versionen med små ændringer af sproget og de samme sikkerhedsprincipper, der ligger til grund for den. Dokumentet indeholder stadig de 12 velkendte vejledningspunkter.

I tråd med den øgede brug af multi-faktor autentificering og biometriske login-teknologier i løbet af de sidste ti år, giver ISO 27001:2022 Annex A 8.5 eksplicitte instruktioner om, hvordan organisationer bør inkorporere disse teknikker, når de formulerer deres egne login-kontroller.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

Vores cloud-baserede platform udstyrer dig med stærke rammer for informationssikkerhed kontroller for at hjælpe ISMS-processen og sikre, at den opfylder ISO 27001:2022-kriterierne. Brugt korrekt, ISMS.online kan hjælpe dig med at opnå certificering med minimal tid og ressourcer.

Kontakt os i dag for arrangere en demonstration.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere