- Se ISO 27002:2022 Kontroll 5.17 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 9.2.4 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 9.3.1 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 9.4.3 for mer informasjon.
ISO 27001:2022 Kontroll 5.17 Forklart: Beskyttelse av autentiseringsdata
ISO 27001:2022 vedlegg A Kontroll 5.17 sier at autentiseringsinformasjon skal holdes sikkert.
Dette betyr at organisasjoner må ta passende skritt for å beskytte brukerlegitimasjon, som passord og sikkerhetsspørsmål, fra uautorisert tilgang. Det må de også sikre at brukere kan få tilgang til systemet med sin legitimasjon på en sikker måte. Videre bør organisasjoner også sørge for at brukerne kan tilbakestille legitimasjonen når det er nødvendig.
Autentiseringsdetaljer (passord, krypteringsnøkler og kortbrikker) gir tilgang til informasjonssystemer som inneholder sensitive data.
Dårlig håndtering av autentiseringsinformasjon kan føre til uautorisert tilgang til datasystemer og tap av konfidensialitet, tilgjengelighet og integritet til sensitive data.
Hva er formålet med ISO 27001:2022 vedlegg A, kontroll 5.17?
Vedlegg A Kontroll 5.17 lar organisasjoner effektivt allokere og administrere autentiseringsinformasjon, unngå sammenbrudd i autentiseringsprosessen og beskytte mot sikkerhetstrusler som kan følge av manipulering av autentiseringsinformasjon.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Eierskap til vedlegg A 5.17
ISO 27001:2022 vedlegg A Kontroll 5.17 krever etablering og implementering av organisasjonsomfattende regler, prosedyrer og tiltak for tildeling og styring av autentiseringsinformasjon. Informasjonssikkerhetsoffiserer bør sikre overholdelse av denne kontrollen.
Vedlegg A 5.17 Veiledning om tildeling av autentiseringsinformasjon
Organisasjoner bør overholde disse seks kravene for tildeling og administrasjon av autentiseringsinformasjon:
- Ved registrering av nye brukere må automatisk genererte personlige passord og personlige identifikasjonsnumre være umulig å gjette. I tillegg må hver bruker ha et unikt passord og det er obligatorisk å endre passord etter første gangs bruk.
- Organisasjoner bør ha solide prosesser for å sjekke en brukers identitet før de får ny eller erstattende autentiseringsinformasjon, eller forsynes med midlertidig informasjon.
- Organisasjoner bør garantere sikker overføring av autentiseringsdetaljer til enkeltpersoner via sikre veier, og må ikke sende slik informasjon over usikre elektroniske meldinger (f.eks. ren tekst).
- Brukere må sørge for at de har mottatt autentiseringsdetaljene.
- Organisasjoner bør handle raskt etter å ha installert nye IT-systemer og programvare, og endre standard autentiseringsdetaljene umiddelbart.
- Organisasjoner bør sette opp og vedvarende føre oversikt over alle viktige hendelser i forhold til administrasjon og tildeling av autentiseringsinformasjon. Disse journalene må holdes private og metoder for journalføring bør godkjennes, for eksempel ved bruk av et autorisert passordverktøy.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Vedlegg A 5.17 Veiledning om brukeransvar
Brukere med tilgang til autentiseringsinformasjon bør instrueres om å overholde følgende:
- Brukere må holde hemmelig autentiseringsinformasjon som passord konfidensiell og må ikke dele den med noen andre. Når flere brukere er involvert i bruken av autentiseringsinformasjon eller informasjonen er knyttet til ikke-personlige enheter, må de ikke avsløre den til uautoriserte personer.
- Brukere må bytte passord med en gang hvis hemmeligholdet til passordene deres har blitt brutt.
- Brukere bør velge sterke passord som er vanskelige å gjette i samsvar med industristandarder. For eksempel:
- Passord bør ikke være basert på personlig informasjon som lett kan skaffes, for eksempel navn eller fødselsdato.
- Passord bør ikke være basert på informasjon som lett kan gjettes.
- Passord må ikke bestå av ord eller sekvenser av ord som er vanlige.
- Bruk alfanumeriske tegn og spesialtegn i passordet ditt.
- Passord bør ha et minimumskrav til lengde.
- Brukere må ikke bruke samme passord for ulike tjenester.
- Organisasjoner bør la sine ansatte akseptere ansvaret for å opprette og bruke passord i sine arbeidskontrakter.
Vedlegg A 5.17 Veiledning om passordbehandlingssystemer
Organisasjoner bør observere følgende når de setter opp et passordbehandlingssystem:
- Brukere bør ha muligheten til å opprette og endre passordene sine, med en bekreftelsesprosedyre på plass for å oppdage og rette opp eventuelle feil ved inntasting av data.
- Organisasjoner bør følge bransjens beste praksis når de utvikler en robust prosess for valg av passord.
- Brukere må endre standard passord ved første gangs tilgang til et system.
- Det er viktig å endre passord når det passer. For eksempel, etter en sikkerhetshendelse eller når en ansatt slutter i jobben og hadde tilgang til passord, er det nødvendig å endre passord.
- Tidligere passord bør ikke resirkuleres.
- Bruk av passord som er allment kjent, eller som har blitt åpnet i et sikkerhetsbrudd, bør ikke tillates for tilgang til hackede systemer.
- Når passord legges inn, skal de vises på skjermen i klartekst.
- Passord må overføres og lagres gjennom sikre kanaler i et sikkert format.
Organisasjoner bør også implementere hashing- og krypteringsprosedyrer i tråd med de godkjente kryptografiske metodene for passord angitt i vedlegg A Kontroll 8.24 av ISO 27001:2022.
Supplerende veiledning om vedlegg A-kontroll 5.17
I tillegg til passord, andre former for autentisering, som kryptografiske nøkler, smartkort og biometriske data som fingeravtrykk.
Organisasjoner bør se til ISO/IEC 24760-serien for ytterligere råd om autentiseringsdata.
Med tanke på bryet og irritasjonen ved regelmessig endring av passord, kan organisasjoner vurdere alternativer som enkeltpålogging eller passordhvelv. Det skal imidlertid bemerkes at disse alternativene øker risikoen for at konfidensiell autentiseringsinformasjon blir utsatt for uautoriserte parter.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001: 2022 Vedlegg A 5.17 er erstatningen for ISO 27001:2013 vedlegg A 9.2.4, 9.3.1 og 9.4.3.
ISO 27001:2022 inneholder et nytt krav for tildeling og administrasjon av autentiseringsinformasjon
I 2013 var kravene for tildeling og administrasjon av autentiseringsinformasjon svært like. Imidlertid, ISO 27001:2022 vedlegg A kontroll 5.17 innført et krav som ikke var til stede i 2013.
Organisasjoner må opprette og vedlikeholde poster for alle viktige hendelser knyttet til administrasjon og distribusjon av autentiseringsinformasjon. Disse postene bør holdes konfidensielle, med autoriserte journalføringsteknikker, for eksempel bruk av et akseptert passordverktøy.
2022-versjonen inneholder et tilleggskrav for bruk av autentiseringsinformasjon
ISO 27001:2022 vedlegg A Kontroll 5.17 introduserer et krav om brukeransvar som ikke var spesifisert i kontroll 9.3.1 i 2013-versjonen.
Organisasjoner bør inkludere passordkrav i sine kontrakter med ansatte og ansatte. Slike krav bør dekke opprettelse og bruk av passord.
ISO 27001:2013 inneholdt et tilleggskrav for brukeransvar som ikke var inkludert i 2022-versjonen
Sammenlignet med 2022-versjonen inneholdt kontroll 9.3.1 følgende mandat for bruk av autentiseringsdata:
Brukere bør ikke bruke de samme autentiseringsdetaljene, for eksempel et passord, både for arbeid og ikke-arbeidsformål.
ISO 27001:2013 inneholdt et tilleggskrav for passordbehandlingssystemer som ikke var inkludert i 2022-versjonen
Kontroll 9.4.3 av 2013-versjonen krever at passordadministrasjonssystemer må:
Sørg for at filer med passord skal lagres på et annet system enn det som er vert for applikasjonsdata.
ISO 27001:2022 vedlegg A Kontroll 5.17 krever ikke dette.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan ISMS.online Hjelp
ISMS.Online gjør det mulig for organisasjoner og virksomheter å overholde ISO 27001:2022-kravene ved å gi dem en plattform som forenkler administrasjon, oppdatering, testing og overvåking av effektiviteten til deres retningslinjer og prosedyrer for konfidensialitet eller taushetsplikt.
Vi tilbyr en skybasert plattform for administrasjon av konfidensialitet og Informasjonssikkerhetsstyringssystemer, med taushetspliktklausuler, risikostyring, retningslinjer, planer og prosedyrer, alt på ett praktisk sted. Den er enkel å bruke, med et intuitivt grensesnitt som gjør det enkelt å lære.
Ta kontakt med oss i dag for å arrangere en demonstrasjon.
