ISO 27001:2022 Vedlegg A Kontroll 8.5

Sikker godkjenning

Bestill en demonstrasjon

nærbilde,av,afrikansk,barn,surfing,internett,på,bærbar datamaskin.,hender

Formål med ISO 27001:2022 vedlegg A 8.5

Sikker autentisering er den viktigste måten brukere, både menneskelige og ikke-menneskelige, får tilgang til en organisasjons IKT-ressurser.

I løpet av de siste ti årene har autentiseringsteknologien gjennomgått en stor transformasjon fra klassisk brukernavn/passordvalidering til en rekke tilleggsmetoder som involverer biometriske data, logiske og fysiske tilgangskontroller, ekstern enhetsautentisering, SMS-koder og engangspassord (OTP) .

Vedlegg A 8.5 gir organisasjoner et rammeverk for å kontrollere tilgangen til deres IKT-systemer og eiendeler via en sikker påloggingsporter. Den beskriver nøyaktig hvordan dette skal gjøres.

ISO 27001: 2022 Vedlegg A Kontroll 8.5 er en forebyggende tiltak hvilken opprettholder risiko nivåer ved å introdusere teknologi og etablere sikre autentiseringsprosedyrer, som sikrer at menneskelige og ikke-menneskelige brukere og identiteter gjennomfører en sikker autentiseringsprosess når de forsøker å få tilgang til IKT-ressurser.

Eierskap til vedlegg A 8.5

ISO 27001:2022 vedlegg A 8.5 omhandler en organisasjons kapasitet til å kontrollere tilgangen til nettverket sitt (og dataene og informasjonen som ligger der) på nøkkelpunkter, for eksempel en påloggingsportal.

Kontrollen omfatter informasjons- og datasikkerhet som helhet, med den operative veiledningen hovedsakelig fokusert på tekniske aspekter.

De Leder for IT (eller tilsvarende) bør ha eierskap på grunn av å ha ansvar for IT-administrasjonsoppgaver på daglig basis.

Gå til emnet
100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din
Metode for sikrede resultater

Generell veiledning for ISO 27001:2022 vedlegg A 8.5

Organisasjoner bør ta hensyn til typen og sensitiviteten til dataene og nettverket som brukes når de vurderer autentiseringskontroller. Eksempler på slike kontroller inkluderer:

  • Smarte tilgangskontroller (smartkort).

  • Biometriske pålogginger.

  • Sikre tokens.

  • Multi-faktor autentisering (MFA).

  • Digitale sertifikater.

Hovedmålet med et selskaps sikre autentiseringstiltak bør være å avskrekke og redusere muligheten for uautorisert tilgang til dets sikrede systemer.

For å oppnå dette, angir ISO 27001:2022 vedlegg A 8.5 tolv fremste retningslinjer. Bedrifter bør:

  1. Sørg for at informasjon bare vises etter en vellykket autentiseringsprosess.

  2. Vis en advarsel før pålogging som tydelig sier at kun autoriserte brukere har tilgang til dataene.

  3. Reduser hjelpen som gis til uautoriserte personer som prøver å komme seg inn i systemet. For eksempel bør bedrifter ikke avsløre hvilken del av påloggingen som har vært feil, for eksempel en biometrisk faktor på en multi-faktor autentiseringspålogging – i stedet bare oppgi at påloggingen ikke har fungert.

  4. Bekreft påloggingsforsøket kun når all nødvendig informasjon er gitt til påloggingstjenesten, for å opprettholde sikkerheten.

  5. Implementer industristandard sikkerhetstiltak for å beskytte mot generell tilgang og brute force-angrep på påloggingsportaler. Disse kan omfatte:

    • CAPTCHA er en sikkerhetsfunksjon som krever at du skriver inn en streng med tegn for å bekrefte at du er en menneskelig bruker.

    • Tvinge tilbakestilling av et passord etter et bestemt antall mislykkede påloggingsforsøk.

    • Etter et visst antall mislykkede forsøk blir ytterligere pålogginger hindret. For å forhindre dette, sett en grense.

  6. For revisjon og sikkerhet skal hvert mislykket påloggingsforsøk noteres, inkludert for straffesaker og/eller regulatoriske prosedyrer.

  7. Ved større påloggingsavvik, som for eksempel mistanke om inntrenging, må en sikkerhetshendelse settes i gang umiddelbart. Internt personell, spesielt de med systemadministratortilgang eller evnen til å hindre ondsinnede påloggingsforsøk, må varsles umiddelbart.

  8. Når en vellykket pålogging er bekreftet, må visse data overføres til et annet depot med detaljer:

    • Den siste vellykkede påloggingen skjedde [dato] kl. [klokkeslett].

    • Registrering av alle forsøk på pålogging siden siste autentiserte pålogging.

  9. Vis passord som stjerner eller andre lignende abstrakte symboler, med mindre det er grunn til å ikke gjøre det (f.eks. brukertilgjengelighet).

  10. Ingen toleranse for passord som skal deles eller vises i ren, lesbar tekst.

  11. Sørg for at inaktive påloggingsøkter avsluttes etter en fastsatt tidsramme. Dette er spesielt relevant for økter på steder med høy risiko (eksternt arbeid situasjoner) eller på brukereide enheter, for eksempel personlige bærbare datamaskiner eller mobiltelefoner.

  12. Begrens varigheten som en autentisert økt kan forbli åpen, selv når den er aktiv, avhengig av dataene du får tilgang til (f.eks. viktig forretningsinformasjon eller pengerelaterte programmer).

Veiledning om biometriske pålogginger

International Organization for Standardization oppfordrer til at biometriske påloggingsprosesser kombineres med minst en annen påloggingsteknikk, på grunn av deres komparative effektivitet og integritet sammenlignet med tradisjonelle metoder som passord, MFA og tokens.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.5 erstatter ISO 27001:2013 Vedlegg A 9.4.2 (Sikker innloggingsprotokoller).

ISO 27001:2022 vedlegg A 8.5 er en revisjon av 2013-versjonen, med små endringer i språket og de samme sikkerhetsprinsippene som ligger til grunn. Dokumentet inneholder fortsatt de 12 kjente veiledningspunktene.

I tråd med den økte bruken av multifaktorautentisering og biometriske påloggingsteknologier de siste ti årene, gir ISO 27001:2022 vedlegg A 8.5 eksplisitte instruksjoner om hvordan organisasjoner bør inkorporere disse teknikkene når de formulerer sine egne påloggingskontroller.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

Vår skybaserte plattform utstyrer deg med et sterkt rammeverk av informasjonssikkerhet kontroller for å hjelpe ISMS-prosessen og sikre at den oppfyller ISO 27001:2022-kriteriene. Riktig brukt, ISMS.online kan hjelpe deg med å oppnå sertifisering med minimal tid og ressurser.

Kontakt oss i dag for arrangere en demonstrasjon.

Se ISMS.online
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer