ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Sikre sterk autentisering: Brukeransvar under ISO 27701
Riktige og sikre autentiseringsprosedyrer er ryggraden i de fleste generelle og emnespesifikke tilgangspolicyer, enten de er relatert til PII eller informasjon, eiendeler og data generelt.
Lett gjettbare og dårlig konstruerte passord er lavthengende frukter for potensielle nettkriminelle som ønsker å få tilgang til en organisasjons PII, som vanligvis enten løses tilbake, brukes som omdømme eller selges på det mørke nettet til høystbydende.
Brukere må følge en strengt håndhevet passordpolicy som dekker generering, distribusjon, passordkonstruksjon og gjør bruk av tilgjengelig autentiseringsteknologi (SSO, passordhvelv).
Hva dekkes av ISO 27701 klausul 6.6.3
ISO 27702 6.6.3 har bare én underklausul, som inneholder sammenslått veiledning fra ISO 27002 som skisserer hvordan organisasjoner bør nærme seg autentiseringssikkerhet:
- ISO 27701 6.6.3.1 – Bruk av hemmelig autentiseringsinformasjon (Referanser ISO 27002 Control 5.17)
Det er ingen britiske GDPR-siteringer å vurdere, og ISO gir heller ingen PIMS- eller PII-spesifikke veiledningspunkter å følge.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.6.3.1 – Bruk av hemmelig autentiseringsinformasjon
Referanser ISO 27002 Kontroll 5.17
Utstede og administrere autentiseringsinformasjon
Autentiseringsdetaljer bør distribueres og administreres slik at:
- Automatisk generert autentiseringsinformasjon (passord osv.) holdes hemmelig for alle som ikke er autorisert til å bruke dem, er ikke gjettbare og administreres på en måte som tvinger en bruker til å endre dem etter første pålogging.
- Før utstedelse eller utskifting av autentiseringsdetaljer, settes prosedyrer på plass for å bekrefte identiteten til personen som krever dem.
- De riktige sikre kanalene brukes til å overføre autentiseringsdetaljer (dvs. ikke via e-post).
- Etter at detaljene har blitt kommunisert til den som trenger dem, bekrefter brukeren/brukerne mottak i tide.
- Eventuell leverandørlevert autentiseringsinformasjon (som standard brukernavn og passord rutere og brannmurer) endres ved mottak.
- Det føres journal over relevante autentiseringshendelser – spesielt angående den første tildelingen og påfølgende administrasjon av autentiseringsdetaljer.
Alt personell som bruker organisasjonsautentiseringsinformasjon bør sørge for at:
- Alle autentiseringsdetaljer holdes strengt konfidensielt.
- Hvis autentiseringsdetaljer enten er kompromittert, sett eller delt av andre enn den opprinnelige eieren, endres slike detaljer umiddelbart.
- Eventuelle passord opprettes og/eller genereres i tråd med organisasjonens passordpolicy, og passord er unike på tvers av ulike plattformer (dvs. domenepassord er ikke det samme som skytjenestepassord).
- Arbeidskontrakter inneholder et eksplisitt krav om å følge selskapets passordpolicy (se ISO 27002 kontroll 6.2).
Passordadministrasjonssystemer
Organisasjoner bør vurdere å implementere et passordbehandlingssystem (spesialiserte passordkontrollapplikasjoner) som:
- Henvender seg til brukere som trenger å endre passord de bruker.
- Er programmert til å avvise passord som faller utenfor retningslinjene for beste praksis.
- Tvinger brukere til å endre det systemgenererte passordet sitt etter at de har brukt det for første gang.
- Tillater ikke fortsatt bruk av gamle passord, eller lignende fraser og alfanumeriske kombinasjoner.
- Skjuler passord mens de skrives inn.
- Lagrer og sender passordinformasjon på en sikker måte.
- Passer på passordkryptering og lignende krypteringsteknikker (se ISO 27002 kontroll 8.24).
Passorddata
For å sikre PII og forbedre organisasjonens personverntiltak, bør passord følge fire veiledende prinsipper:
- Passord bør ikke bygges rundt gjettbar eller biografisk informasjon.
- Passord skal ikke inneholde noen gjenkjennelige ord, i stedet for tilfeldige alfanumeriske tegn.
- Spesialtegn bør brukes for å øke passordkompleksiteten.
- Alle passord bør ha en minimumslengde (ideelt sett 12 tegn).
Organisasjoner bør også vurdere bruken av autentiseringsprotokoller som Single Sign-On (SSO) for å forbedre passordsikkerheten, men slike tiltak bør kun vurderes sammen med organisasjonens unike tekniske og operasjonelle krav.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.6.3.1 | Bruk av hemmelig autentiseringsinformasjon | 5.17 – Autentiseringsinformasjon for ISO 27002 | none |
Hvordan ISMS.online hjelper
Hvordan hjelper vi?
Ved å legge til en PIMS til ISMS-en din på ISMS.online-plattformen, forblir sikkerhetsstillingen din alt-på-ett-sted, og du vil unngå duplisering der standardene overlapper hverandre.
Med din PIMS umiddelbart tilgjengelig for interesserte parter, har det aldri vært enklere å overvåke, rapportere og revidere mot både ISO 27002 og ISO 27701 ved å trykke på en knapp.
Alle funksjonene du trenger:
- ROPA gjort enkelt
- Innebygd risikobank
- Sikre plass for DRR
Finn ut hvor mye tid og penger du vil spare på reisen til en kombinert ISO 27002- og 27701-sertifisering ved å bruke ISMS.online av bestille en demo.
