Autentiseringsinformasjon som passord, krypteringsnøkler og kortbrikker er inngangsporten til informasjonssystemer som er vert for sensitive informasjonsressurser.
Dårlig administrasjon eller feilaktig tildeling av autentiseringsinformasjon kan føre til uautorisert tilgang til informasjonssystemer og tap av konfidensialitet, tilgjengelighet og integritet til sensitive informasjonsressurser.
For eksempel, GoodFirms 2021-forskning viser at 30 % av alle datainnbrudd oppstår som følge av svake passord eller dårlige rutiner for passordbehandling.
Derfor bør organisasjoner ha en robust prosess for behandling av autentiseringsinformasjon for å tildele, administrere og beskytte autentiseringsinformasjon.
Kontroll 5.17 gjør det mulig for organisasjoner å allokere og administrere autentiseringsinformasjon på riktig måte, eliminere risikoen for feil i autentiseringsprosessen og forhindre sikkerhetsrisikoer som kan oppstå på grunn av kompromittering av autentiseringsinformasjon.
Kontroll 5.17 er en forebyggende type kontroll som krever at organisasjoner etablerer og implementerer en hensiktsmessig håndteringsprosess for autentiseringsinformasjon.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Identitets- og tilgangsadministrasjon | #Beskyttelse |
Tatt i betraktning at Kontroll 5.17 innebærer etablering og implementering av organisasjonsomfattende regler, prosedyrer og tiltak for tildeling og forvaltning av autentiseringsinformasjon, bør informasjonssikkerhetsansvarlige være ansvarlige for etterlevelse av kontroll 5.17.
Organisasjoner bør overholde følgende seks krav for tildeling og administrasjon av autentiseringsinformasjon:
Brukere som kan få tilgang til og bruke autentiseringsinformasjon bør instrueres om å overholde følgende:
Organisasjoner bør overholde følgende når de etablerer et passordbehandlingssystem:
Videre bør organisasjoner utføre hashing- og krypteringsteknikker i samsvar med de autoriserte kryptografimetodene for passord som angitt i Kontroll 8.24.
I tillegg til passord finnes det andre typer autentiseringsinformasjon som kryptografiske nøkler, smartkort og biometriske data som fingeravtrykk.
Organisasjoner anbefales å referere til ISO/IEC 24760-serien for mer detaljert veiledning om autentiseringsinformasjon.
Tatt i betraktning at hyppig endring av passord kan være tungvint og irriterende for brukere, kan organisasjoner vurdere å implementere alternative metoder som enkeltpålogging eller passordhvelv. Det skal imidlertid bemerkes at disse alternative metodene kan utsette autentiseringsinformasjon for høyere risiko for uautorisert avsløring.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
27002:2022/5.17 erstatter 27002:2013/(9.2.4, 9.3.1 9.4.3)
Selv om 2013- og 2022-versjonen er svært like når det gjelder kravene for tildeling og administrasjon av autentiseringsinformasjon, introduserer Control 5.17 i 2022-versjonen følgende krav, som ikke var inkludert i 2013-versjonen:
Kontroll 5.17 introduserer følgende krav for brukeransvar som ikke ble referert til i kontroll 9.3.1 i 2013-versjonen.
I motsetning til 2022-versjonen inneholdt kontroll 9.3.1 følgende krav for bruk av autentiseringsinformasjon:
Kontroll 9.4.3 i 2013-versjonen inkluderte følgende krav for passordbehandlingssystemer.
Kontroll 5.17 i 2022-versjonen inneholdt tvert imot ikke dette kravet.
ISMS.Online hjelper organisasjoner og virksomheter med å oppfylle kravene i ISO 27002 ved å gi dem en plattform som gjør det enkelt å administrere retningslinjer og prosedyrer for konfidensialitet eller taushetsplikt, oppdatere dem etter behov, teste dem og overvåke effektiviteten.
Vi tilbyr en skybasert plattform for administrasjon av styringssystemer for konfidensialitet og informasjonssikkerhet, inkludert klausuler om taushetsplikt, risikostyring, retningslinjer, planer og prosedyrer, på ett sentralt sted. Plattformen er enkel å bruke og har et intuitivt grensesnitt som gjør det enkelt å lære å bruke.
Kontakt oss i dag for planlegg en demonstrasjon.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |