Godkendelsesoplysninger såsom adgangskoder, krypteringsnøgler og kortchips er porten til informationssystemer, der hoster følsomme informationsaktiver.
Dårlig styring eller ukorrekt tildeling af godkendelsesoplysninger kan resultere i uautoriseret adgang til informationssystemer og i tab af fortrolighed, tilgængelighed og integritet af følsomme informationsaktiver.
For eksempel: GoodFirms 2021-forskning viser, at 30 % af alle databrud opstår som følge af svage adgangskoder eller dårlig adgangskodehåndteringspraksis.
Derfor bør organisationer have en robust godkendelsesinformationshåndteringsproces på plads for at allokere, administrere og beskytte godkendelsesinformation.
Kontrol 5.17 gør det muligt for organisationer at allokere og administrere godkendelsesoplysninger korrekt, eliminere risici for fejl i godkendelsesprocessen og forhindre sikkerhedsrisici, der kan opstå på grund af kompromittering af godkendelsesoplysninger.
Kontrol 5.17 er en forebyggende type kontrol, der kræver, at organisationer etablerer og implementerer en passende autentificeringsinformationsstyringsproces.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Identitets- og adgangsstyring | #Beskyttelse |
I betragtning af, at kontrol 5.17 indebærer etablering og implementering af organisationsdækkende regler, procedurer og foranstaltninger for tildeling og styring af autentificeringsoplysninger, bør informationssikkerhedsansvarlige være ansvarlige for overholdelse af kontrol 5.17.
Organisationer skal overholde følgende seks krav til tildeling og styring af godkendelsesoplysninger:
Brugere, der kan få adgang til og bruge godkendelsesoplysninger, skal instrueres i at overholde følgende:
Organisationer skal overholde følgende, når de etablerer et adgangskodeadministrationssystem:
Ydermere bør organisationer udføre hashing- og krypteringsteknikker i overensstemmelse med de autoriserede kryptografimetoder for adgangskoder som angivet i Kontrol 8.24.
Ud over adgangskoder er der andre typer godkendelsesoplysninger såsom kryptografiske nøgler, smart cards og biometriske data såsom fingeraftryk.
Organisationer rådes til at henvise til ISO/IEC 24760-serien for mere detaljeret vejledning om godkendelsesoplysninger.
I betragtning af, at hyppig ændring af adgangskoder kan være besværlig og irriterende for brugerne, kan organisationer overveje at implementere alternative metoder såsom enkelt-logon eller adgangskodebokse. Det skal dog bemærkes, at disse alternative metoder kan udsætte autentificeringsoplysninger for højere risiko for uautoriseret offentliggørelse.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
27002:2022/5.17 erstatter 27002:2013/(9.2.4, 9.3.1 9.4.3)
Selvom 2013- og 2022-versionen er meget ens med hensyn til kravene til tildeling og styring af autentificeringsoplysninger, introducerer Control 5.17 i 2022-versionen følgende krav, som ikke var inkluderet i 2013-versionen:
Kontrol 5.17 introducerer følgende krav til brugeransvar, som ikke blev henvist til i kontrol 9.3.1 i 2013-versionen.
I modsætning til 2022-versionen indeholdt kontrol 9.3.1 følgende krav for brug af godkendelsesoplysninger:
Kontrol 9.4.3 i 2013-versionen inkluderede følgende krav til adgangskodestyringssystemer.
Kontrol 5.17 i 2022-versionen indeholdt tværtimod ikke dette krav.
ISMS.Online hjælper organisationer og virksomheder med at opfylde kravene i ISO 27002 ved at give dem en platform, der gør det nemt at administrere deres fortroligheds- eller fortrolighedspolitikker og -procedurer, opdatere dem efter behov, teste dem og overvåge deres effektivitet.
Vi leverer en cloud-baseret platform til administration af fortroligheds- og informationssikkerhedsstyringssystemer, herunder klausuler om fortrolighed, risikostyring, politikker, planer og procedurer, på ét centralt sted. Platformen er nem at bruge og har en intuitiv brugerflade, der gør det nemt at lære at bruge.
Kontakt os i dag for planlæg en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |