Hopp til innhold
ISMS.online

ISO 27002:2022 – Kontroll 5.17 – Autentiseringsinformasjon

ISO 27002:2022 Control 5.17 fokuserer på sikker administrasjon av autentiseringsinformasjon (f.eks. passord, PIN-koder og krypteringsnøkler) for å forhindre uautorisert tilgang. Den skisserer beste praksis for generering, overføring og håndtering av legitimasjon samtidig som den sikrer samsvar og brukeransvar.

Forfatter
Sam Peters
Oppdatert juli 25, 2025
4/5 stjerner

Sikker autentiseringsinformasjonsadministrasjon: ISO 27002-kontroll 5.17 forklart

Autentiseringsinformasjon som passord, krypteringsnøkler og kortbrikker er inngangsporten til informasjonssystemer som er vert for sensitive informasjonsressurser.

Dårlig administrasjon eller feilaktig tildeling av autentiseringsinformasjon kan føre til uautorisert tilgang til informasjonssystemer og tap av konfidensialitet, tilgjengelighet og integritet til sensitive informasjonsressurser.

For eksempel, GoodFirms 2021-forskning viser at 30 % av alle datainnbrudd oppstår som følge av svake passord eller dårlige rutiner for passordbehandling.

Derfor bør organisasjoner ha en robust prosess for behandling av autentiseringsinformasjon for å tildele, administrere og beskytte autentiseringsinformasjon.

Formål med kontroll 5.17

Kontroll 5.17 gjør det mulig for organisasjoner å allokere og administrere autentiseringsinformasjon på riktig måte, eliminere risikoen for feil i autentiseringsprosessen og forhindre sikkerhetsrisikoer som kan oppstå på grunn av kompromittering av autentiseringsinformasjon.

Kontrollattributter 5.17

Kontroll 5.17 er en forebyggende type kontroll som krever at organisasjoner etablerer og implementerer en hensiktsmessig håndteringsprosess for autentiseringsinformasjon.

Kontrolltype Informasjonssikkerhetsegenskaper Konsepter for cybersikkerhet Operasjonelle evner Sikkerhetsdomener
#Forebyggende #Konfidensialitet #Beskytte #Identitets- og tilgangsadministrasjon #Beskyttelse
#Integritet
#Tilgjengelighet

Eierskap til kontroll 5.17

Tatt i betraktning at Kontroll 5.17 innebærer etablering og implementering av organisasjonsomfattende regler, prosedyrer og tiltak for tildeling og forvaltning av autentiseringsinformasjon, bør informasjonssikkerhetsansvarlige være ansvarlige for etterlevelse av kontroll 5.17.



klatring

Frigjør deg fra et fjell av regneark

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din


Veiledning om tildeling av autentiseringsinformasjon

Organisasjoner bør overholde følgende seks krav for tildeling og administrasjon av autentiseringsinformasjon:

  • Når personlige passord eller personlige identifikasjonsnumre genereres automatisk for registrering av nye brukere, bør de ikke kunne gjettes. Videre bør passord være unike for hver bruker og det må være obligatorisk å endre passord etter første gangs bruk.
  • Organisasjoner bør etablere robuste prosedyrer for å autentisere identiteten til en bruker før han/hun får en ny eller erstatningsgodkjenningsinformasjon eller han/hun får midlertidig informasjon.
  • Organisasjoner bør sørge for sikker overføring av autentiseringsinformasjon til enkeltpersoner via sikre kanaler, og de bør ikke sende denne informasjonen over usikre elektroniske meldinger (f.eks. klartekst).
  • Brukere bør bekrefte mottak av autentiseringsinformasjonen.
  • Etter at nye IT-systemer og programvare er installert, bør organisasjoner endre standard autentiseringsinformasjon umiddelbart.
  • Organisasjoner bør etablere og vedlikeholde registre over alle viktige hendelser knyttet til administrasjon og tildeling av autentiseringsinformasjon. Videre bør disse postene holdes konfidensielle og journalføringsmetoder bør godkjennes, for eksempel ved bruk av et godkjent passordverktøy.

Veiledning om brukeransvar

Brukere som kan få tilgang til og bruke autentiseringsinformasjon bør instrueres om å overholde følgende:

  1. Brukere må opprettholde konfidensialiteten til hemmelig autentiseringsinformasjon som passord og bør ikke dele slik hemmelig informasjon med noen andre. Når flere brukere er involvert i bruken av autentiseringsinformasjon eller informasjonen er knyttet til ikke-personlige enheter, skal autentiseringsinformasjonen ikke utleveres til uautoriserte personer.
  2. Brukere må endre passordene sine umiddelbart hvis konfidensialiteten til passordene deres blir kompromittert.
  3. Brukere bør velge sterke passord som er vanskelige å gjette ved å følge bransjens beste praksis. For eksempel:

    • Passord bør ikke velges basert på personlig informasjon som er lett å få tak i, for eksempel navn eller fødselsdato.
    • Passord bør ikke opprettes basert på noe som lett kan gjettes.
    • Passord bør ikke inneholde ordbokord eller kombinasjoner av disse ordene.
    • Alfanumeriske tegn og spesialtegn skal brukes i passordet.
    • Det bør være en minimumslengde for passord.
  4. Brukere bør ikke bruke samme passord for forskjellige tjenester.
  5. Organisasjoner bør inkludere kravene til opprettelse og bruk av passord i sine arbeidskontrakter med sine ansatte.


ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Administrer all samsvarskontroll, alt på ett sted

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din


Veiledning om passordbehandlingssystemer

Organisasjoner bør overholde følgende når de etablerer et passordbehandlingssystem:

  • Brukere bør få lov til å opprette og endre passordene sine, og det bør være en bekreftelsesprosedyre på plass for å sikre at inndatafeil blir identifisert og løst.
  • Organisasjoner bør implementere en sterk prosess for valg av passord, og ta hensyn til industriens beste praksis for valg av passord.
  • Brukere bør tvinges til å endre standardpassordet etter at de først har fått tilgang til et system.
  • Passordendringer bør implementeres når det er nødvendig. For eksempel vil passordendring være nødvendig etter en sikkerhetshendelse eller etter oppsigelse av en ansettelse hos en bruker hvis denne brukeren har tilgang til passord.
  • Tidligere passord bør ikke gjenbrukes.
  • Bruk av svært vanlige passord eller kompromitterte passord eller brukernavn som brukes for tilgang til hackede systemer, bør være forbudt.
  • Når passord skrives inn, skal de være synlige på skjermen i ren tekst.
  • Passord bør lagres og overføres via beskyttede kanaler og i et sikkert format.

Videre bør organisasjoner utføre hashing- og krypteringsteknikker i samsvar med de autoriserte kryptografimetodene for passord som angitt i Kontroll 8.24.

Supplerende veiledning om kontroll 5.17

I tillegg til passord finnes det andre typer autentiseringsinformasjon som kryptografiske nøkler, smartkort og biometriske data som fingeravtrykk.

Organisasjoner anbefales å referere til ISO/IEC 24760-serien for mer detaljert veiledning om autentiseringsinformasjon.

Tatt i betraktning at hyppig endring av passord kan være tungvint og irriterende for brukere, kan organisasjoner vurdere å implementere alternative metoder som enkeltpålogging eller passordhvelv. Det skal imidlertid bemerkes at disse alternative metodene kan utsette autentiseringsinformasjon for høyere risiko for uautorisert avsløring.



ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Et forsprang på 81 % fra dag én

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG


Endringer og forskjeller fra ISO 27002:2013

27002:2022/5.17 erstatter 27002:2013/(9.2.4, 9.3.1 9.4.3)

2022-versjonen inneholder et nytt krav for tildeling og administrasjon av autentiseringsinformasjon

Selv om 2013- og 2022-versjonen er svært like når det gjelder kravene for tildeling og administrasjon av autentiseringsinformasjon, introduserer Control 5.17 i 2022-versjonen følgende krav, som ikke var inkludert i 2013-versjonen:

  • Organisasjoner bør etablere og vedlikeholde registre over alle viktige hendelser knyttet til administrasjon og tildeling av autentiseringsinformasjon. Videre bør disse postene holdes konfidensielle og journalføringsmetoder bør godkjennes, for eksempel ved bruk av et godkjent passordverktøy.

Kontroll 5.17 i 2022-versjonen inneholder et tilleggskrav for bruk av autentiseringsinformasjon

Kontroll 5.17 introduserer følgende krav for brukeransvar som ikke ble referert til i kontroll 9.3.1 i 2013-versjonen.

  • Organisasjoner bør inkludere kravene til opprettelse og bruk av passord i sine arbeidskontrakter med sine ansatte og ansatte.

2013-versjonen inneholdt ytterligere krav for brukeransvar som ikke var inkludert i 2022-versjonen

I motsetning til 2022-versjonen inneholdt kontroll 9.3.1 følgende krav for bruk av autentiseringsinformasjon:

  • Brukere bør ikke bruke den samme autentiseringsinformasjonen, for eksempel et passord, for både forretningsmessige og ikke-forretningsformål.

2013-versjonen inneholdt et tilleggskrav for passordbehandlingssystemer som ikke var inkludert i 2022-versjonen

Kontroll 9.4.3 i 2013-versjonen inkluderte følgende krav for passordbehandlingssystemer.

  • Filer som inneholder passord bør lagres i et separat system fra applikasjonssystemdata.

Kontroll 5.17 i 2022-versjonen inneholdt tvert imot ikke dette kravet.

Nye ISO 27002 kontroller

Nye kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.7 NEW Trusselintelligens
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.30 NEW IKT-beredskap for forretningskontinuitet
7.4 NEW Fysisk sikkerhetsovervåking
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.16 NEW Overvåking av aktiviteter
8.23 NEW Web-filtrering
8.28 NEW Sikker koding
Organisasjonskontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.1 05.1.1, 05.1.2 Retningslinjer for informasjonssikkerhet
5.2 06.1.1 Informasjonssikkerhetsroller og ansvar
5.3 06.1.2 Ansvarsfordeling
5.4 07.2.1 Lederansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med interessegrupper
5.7 NEW Trusselintelligens
5.8 06.1.5, 14.1.1 Informasjonssikkerhet i prosjektledelse
5.9 08.1.1, 08.1.2 Inventar av informasjon og andre tilhørende eiendeler
5.10 08.1.3, 08.2.3 Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11 08.1.4 Retur av eiendeler
5.12 08.2.1 Klassifisering av informasjon
5.13 08.2.2 Merking av informasjon
5.14 13.2.1, 13.2.2, 13.2.3 Informasjonsoverføring
5.15 09.1.1, 09.1.2 Adgangskontroll
5.16 09.2.1 Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformasjon
5.18 09.2.2, 09.2.5, 09.2.6 Tilgangsrettigheter
5.19 15.1.1 Informasjonssikkerhet i leverandørforhold
5.20 15.1.2 Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21 15.1.3 Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22 15.2.1, 15.2.2 Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.24 16.1.1 Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25 16.1.4 Vurdering og beslutning om informasjonssikkerhetshendelser
5.26 16.1.5 Respons på informasjonssikkerhetshendelser
5.27 16.1.6 Lær av informasjonssikkerhetshendelser
5.28 16.1.7 Innsamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informasjonssikkerhet under avbrudd
5.30 5.30 IKT-beredskap for forretningskontinuitet
5.31 18.1.1, 18.1.5 Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32 18.1.2 Immaterielle rettigheter
5.33 18.1.3 Beskyttelse av poster
5.34 18.1.4 Personvern og beskyttelse av PII
5.35 18.2.1 Uavhengig gjennomgang av informasjonssikkerhet
5.36 18.2.2, 18.2.3 Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37 12.1.1 Dokumenterte driftsprosedyrer
Personkontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansettelsen
6.3 07.2.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4 07.2.3 Disiplinær prosess
6.5 07.3.1 Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6 13.2.4 Avtaler om konfidensialitet eller taushetsplikt
6.7 06.2.2 Fjernarbeid
6.8 16.1.2, 16.1.3 Informasjonssikkerhet hendelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
7.1 11.1.1 Fysiske sikkerhetsomkretser
7.2 11.1.2, 11.1.6 Fysisk inngang
7.3 11.1.3 Sikring av kontorer, rom og fasiliteter
7.4 NEW Fysisk sikkerhetsovervåking
7.5 11.1.4 Beskyttelse mot fysiske og miljømessige trusler
7.6 11.1.5 Arbeid i sikre områder
7.7 11.2.9 Oversiktlig skrivebord og oversiktlig skjerm
7.8 11.2.1 Utstyrsplassering og beskyttelse
7.9 11.2.6 Sikkerhet av eiendeler utenfor lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedier
7.11 11.2.2 Støtteverktøy
7.12 11.2.3 Kablingssikkerhet
7.13 11.2.4 Vedlikehold av utstyr
7.14 11.2.7 Sikker avhending eller gjenbruk av utstyr
Teknologiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
8.1 06.2.1, 11.2.8 Brukerendepunktsenheter
8.2 09.2.3 Privilegerte tilgangsrettigheter
8.3 09.4.1 Begrensning av informasjonstilgang
8.4 09.4.5 Tilgang til kildekode
8.5 09.4.2 Sikker autentisering
8.6 12.1.3 Kapasitetsstyring
8.7 12.2.1 Beskyttelse mot skadelig programvare
8.8 12.6.1, 18.2.3 Håndtering av tekniske sårbarheter
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.13 12.3.1 Sikkerhetskopiering av informasjon
8.14 17.2.1 Redundans av informasjonsbehandlingsanlegg
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NEW Overvåking av aktiviteter
8.17 12.4.4 Kloksynkronisering
8.18 09.4.4 Bruk av privilegerte hjelpeprogrammer
8.19 12.5.1, 12.6.2 Installasjon av programvare på operasjonssystemer
8.20 13.1.1 Nettverkssikkerhet
8.21 13.1.2 Sikkerhet for nettverkstjenester
8.22 13.1.3 Segregering av nettverk
8.23 NEW Web-filtrering
8.24 10.1.1, 10.1.2 Bruk av kryptografi
8.25 14.2.1 Sikker utviklingslivssyklus
8.26 14.1.2, 14.1.3 Krav til applikasjonssikkerhet
8.27 14.2.5 Sikker systemarkitektur og tekniske prinsipper
8.28 NEW Sikker koding
8.29 14.2.8, 14.2.9 Sikkerhetstesting i utvikling og aksept
8.30 14.2.7 Utkontraktert utvikling
8.31 12.1.4, 14.2.6 Separasjon av utviklings-, test- og produksjonsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Endringsledelse
8.33 14.3.1 Testinformasjon
8.34 12.7.1 Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISMS.Online hjelper organisasjoner og virksomheter med å oppfylle kravene i ISO 27002 ved å gi dem en plattform som gjør det enkelt å administrere retningslinjer og prosedyrer for konfidensialitet eller taushetsplikt, oppdatere dem etter behov, teste dem og overvåke effektiviteten.

Vi tilbyr en skybasert plattform for administrasjon av styringssystemer for konfidensialitet og informasjonssikkerhet, inkludert klausuler om taushetsplikt, risikostyring, retningslinjer, planer og prosedyrer, på ett sentralt sted. Plattformen er enkel å bruke og har et intuitivt grensesnitt som gjør det enkelt å lære å bruke.

Kontakt oss i dag for planlegg en demonstrasjon.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder utviklingen av alle produktfunksjoner og funksjonalitet. Sam er en ekspert på mange områder av samsvar og jobber med kunder på alle skreddersydde eller storskala prosjekter.

Ta en virtuell omvisning

Start din gratis 2-minutters interaktive demonstrasjon nå og se
ISMS.online i aksjon!

Prøv det nå
plattformdashbord fullt på krystall

Vi er ledende innen vårt felt

4/5 stjerner
Brukere elsker oss
Leder - Høst 2025
Høypresterende, småbedrifter - høsten 2025 Storbritannia
Regional leder - høsten 2025 Europa
Regional leder - høsten 2025 EMEA
Regional leder - høsten 2025 Storbritannia
Høypresterende - Høsten 2025 Europa Mellommarked

"ISMS.Online, enestående verktøy for overholdelse av forskrifter"

– Jim M.

"Gjør eksterne revisjoner til en lek og kobler alle aspekter av ISMS-en sømløst sammen"

– Karen C.

"Innovativ løsning for å administrere ISO og andre akkrediteringer"

— Ben H.