ISO 27001:2022 Vedlegg A Kontroll 5.17

Autentiseringsinformasjon

Bestill en demonstrasjon

tett,opp,på,hender,av,diversjon,gruppe,studenter,sittende

ISO 27001:2022 vedlegg A Kontroll 5.17 sier at autentiseringsinformasjon skal holdes sikkert.

Dette betyr at organisasjoner må ta passende skritt for å beskytte brukerlegitimasjon, som passord og sikkerhetsspørsmål, fra uautorisert tilgang. Det må de også sikre at brukere kan få tilgang til systemet med sin legitimasjon på en sikker måte. Videre bør organisasjoner også sørge for at brukerne kan tilbakestille legitimasjonen når det er nødvendig.

Autentiseringsdetaljer (passord, krypteringsnøkler og kortbrikker) gir tilgang til informasjonssystemer som inneholder sensitive data.

Dårlig håndtering av autentiseringsinformasjon kan føre til uautorisert tilgang til datasystemer og tap av konfidensialitet, tilgjengelighet og integritet til sensitive data.

Hva er formålet med ISO 27001:2022 vedlegg A, kontroll 5.17?

Vedlegg A Kontroll 5.17 lar organisasjoner effektivt allokere og administrere autentiseringsinformasjon, unngå sammenbrudd i autentiseringsprosessen og beskytte mot sikkerhetstrusler som kan følge av manipulering av autentiseringsinformasjon.

Eierskap til vedlegg A 5.17

ISO 27001:2022 vedlegg A Kontroll 5.17 krever etablering og implementering av organisasjonsomfattende regler, prosedyrer og tiltak for tildeling og styring av autentiseringsinformasjon. Informasjonssikkerhetsoffiserer bør sikre overholdelse av denne kontrollen.

Gå til emnet

Vedlegg A 5.17 Veiledning om tildeling av autentiseringsinformasjon

Organisasjoner bør overholde disse seks kravene for tildeling og administrasjon av autentiseringsinformasjon:

  • Ved registrering av nye brukere må automatisk genererte personlige passord og personlige identifikasjonsnumre være umulig å gjette. I tillegg må hver bruker ha et unikt passord og det er obligatorisk å endre passord etter første gangs bruk.

  • Organisasjoner bør ha solide prosesser for å sjekke en brukers identitet før de får ny eller erstattende autentiseringsinformasjon, eller forsynes med midlertidig informasjon.

  • Organisasjoner bør garantere sikker overføring av autentiseringsdetaljer til enkeltpersoner via sikre veier, og må ikke sende slik informasjon over usikre elektroniske meldinger (f.eks. ren tekst).

  • Brukere må sørge for at de har mottatt autentiseringsdetaljene.

  • Organisasjoner bør handle raskt etter å ha installert nye IT-systemer og programvare, og endre standard autentiseringsdetaljene umiddelbart.

  • Organisasjoner bør sette opp og vedvarende føre oversikt over alle viktige hendelser i forhold til administrasjon og tildeling av autentiseringsinformasjon. Disse journalene må holdes private og metoder for journalføring bør godkjennes, for eksempel ved bruk av et autorisert passordverktøy.

Vedlegg A 5.17 Veiledning om brukeransvar

Brukere med tilgang til autentiseringsinformasjon bør instrueres om å overholde følgende:

  • Brukere må holde hemmelig autentiseringsinformasjon som passord konfidensiell og må ikke dele den med noen andre. Når flere brukere er involvert i bruken av autentiseringsinformasjon eller informasjonen er knyttet til ikke-personlige enheter, må de ikke avsløre den til uautoriserte personer.

  • Brukere må bytte passord med en gang hvis hemmeligholdet til passordene deres har blitt brutt.

  • Brukere bør velge sterke passord som er vanskelige å gjette i samsvar med industristandarder. For eksempel:

    • Passord bør ikke være basert på personlig informasjon som lett kan skaffes, for eksempel navn eller fødselsdato.

    • Passord bør ikke være basert på informasjon som lett kan gjettes.

    • Passord må ikke bestå av ord eller sekvenser av ord som er vanlige.

    • Bruk alfanumeriske tegn og spesialtegn i passordet ditt.

    • Passord bør ha et minimumskrav til lengde.
  • Brukere må ikke bruke samme passord for ulike tjenester.

  • Organisasjoner bør la sine ansatte akseptere ansvaret for å opprette og bruke passord i sine arbeidskontrakter.

Vedlegg A 5.17 Veiledning om passordbehandlingssystemer

Organisasjoner bør observere følgende når de setter opp et passordbehandlingssystem:

  • Brukere bør ha muligheten til å opprette og endre passordene sine, med en bekreftelsesprosedyre på plass for å oppdage og rette opp eventuelle feil ved inntasting av data.

  • Organisasjoner bør følge bransjens beste praksis når de utvikler en robust prosess for valg av passord.

  • Brukere må endre standard passord ved første gangs tilgang til et system.

  • Det er viktig å endre passord når det passer. For eksempel, etter en sikkerhetshendelse eller når en ansatt slutter i jobben og hadde tilgang til passord, er det nødvendig å endre passord.

  • Tidligere passord bør ikke resirkuleres.

  • Bruk av passord som er allment kjent, eller som har blitt åpnet i et sikkerhetsbrudd, bør ikke tillates for tilgang til hackede systemer.

  • Når passord legges inn, skal de vises på skjermen i klartekst.

  • Passord må overføres og lagres gjennom sikre kanaler i et sikkert format.

Organisasjoner bør også implementere hashing- og krypteringsprosedyrer i tråd med de godkjente kryptografiske metodene for passord angitt i vedlegg A Kontroll 8.24 av ISO 27001:2022.

Supplerende veiledning om vedlegg A-kontroll 5.17

I tillegg til passord, andre former for autentisering, som kryptografiske nøkler, smartkort og biometriske data som fingeravtrykk.

Organisasjoner bør se til ISO/IEC 24760-serien for ytterligere råd om autentiseringsdata.

Med tanke på bryet og irritasjonen ved regelmessig endring av passord, kan organisasjoner vurdere alternativer som enkeltpålogging eller passordhvelv. Det skal imidlertid bemerkes at disse alternativene øker risikoen for at konfidensiell autentiseringsinformasjon blir utsatt for uautoriserte parter.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001: 2022 Vedlegg A 5.17 er erstatningen for ISO 27001:2013 vedlegg A 9.2.4, 9.3.1 og 9.4.3.

ISO 27001:2022 inneholder et nytt krav for tildeling og administrasjon av autentiseringsinformasjon

I 2013 var kravene for tildeling og administrasjon av autentiseringsinformasjon svært like. Imidlertid, ISO 27001:2022 vedlegg A kontroll 5.17 innført et krav som ikke var til stede i 2013.

Organisasjoner må opprette og vedlikeholde poster for alle viktige hendelser knyttet til administrasjon og distribusjon av autentiseringsinformasjon. Disse postene bør holdes konfidensielle, med autoriserte journalføringsteknikker, for eksempel bruk av et akseptert passordverktøy.

2022-versjonen inneholder et tilleggskrav for bruk av autentiseringsinformasjon

ISO 27001:2022 vedlegg A Kontroll 5.17 introduserer et krav om brukeransvar som ikke var spesifisert i kontroll 9.3.1 i 2013-versjonen.

Organisasjoner bør inkludere passordkrav i sine kontrakter med ansatte og ansatte. Slike krav bør dekke opprettelse og bruk av passord.

ISO 27001:2013 inneholdt et tilleggskrav for brukeransvar som ikke var inkludert i 2022-versjonen

Sammenlignet med 2022-versjonen inneholdt kontroll 9.3.1 følgende mandat for bruk av autentiseringsdata:

Brukere bør ikke bruke de samme autentiseringsdetaljene, for eksempel et passord, både for arbeid og ikke-arbeidsformål.

ISO 27001:2013 inneholdt et tilleggskrav for passordbehandlingssystemer som ikke var inkludert i 2022-versjonen

Kontroll 9.4.3 av 2013-versjonen krever at passordadministrasjonssystemer må:

Sørg for at filer med passord skal lagres på et annet system enn det som er vert for applikasjonsdata.

ISO 27001:2022 vedlegg A Kontroll 5.17 krever ikke dette.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.Online gjør det mulig for organisasjoner og virksomheter å overholde ISO 27001:2022-kravene ved å gi dem en plattform som forenkler administrasjon, oppdatering, testing og overvåking av effektiviteten til deres retningslinjer og prosedyrer for konfidensialitet eller taushetsplikt.

Vi tilbyr en skybasert plattform for administrasjon av konfidensialitet og Informasjonssikkerhetsstyringssystemer, med taushetspliktklausuler, risikostyring, retningslinjer, planer og prosedyrer, alt på ett praktisk sted. Den er enkel å bruke, med et intuitivt grensesnitt som gjør det enkelt å lære.

Ta kontakt med oss ​​i dag for å arrangere en demonstrasjon.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer