- Se ISO 27002:2022 Kontroll 5.17 för mer information.
- Se ISO 27001:2013 bilaga A 9.2.4 för mer information.
- Se ISO 27001:2013 bilaga A 9.3.1 för mer information.
- Se ISO 27001:2013 bilaga A 9.4.3 för mer information.
ISO 27001:2022 Kontroll 5.17 Förklarat: Säkra autentiseringsdata
ISO 27001:2022 bilaga A Kontroll 5.17 säger att autentiseringsinformation ska förvaras säkert.
Detta innebär att organisationer måste vidta lämpliga åtgärder för att skydda användaruppgifter, såsom lösenord och säkerhetsfrågor, från obehörig åtkomst. De måste också säkerställa att användare kan komma åt systemet med sina referenser på ett säkert sätt. Dessutom bör organisationer också se till att användare kan återställa sina referenser vid behov.
Autentiseringsdetaljer (lösenord, krypteringsnycklar och kortchips) ger tillgång till informationssystem som innehåller känsliga data.
Dålig hantering av autentiseringsinformation kan leda till obehörig åtkomst till datasystem och förlust av konfidentialitet, tillgänglighet och integritet för känslig data.
Vad är syftet med ISO 27001:2022 bilaga A Kontroll 5.17?
Bilaga A Kontroll 5.17 tillåter organisationer att effektivt allokera och hantera autentiseringsinformation, undvika haverier i autentiseringsprocessen och skydda sig mot säkerhetshot som kan bli resultatet av manipulering av autentiseringsinformation.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Äganderätt till bilaga A 5.17
ISO 27001:2022 bilaga A Kontroll 5.17 kräver upprättande och implementering av organisationsomfattande regler, procedurer och åtgärder för tilldelning och hantering av autentiseringsinformation. Informationssäkerhetsansvariga bör säkerställa efterlevnaden av denna kontroll.
Bilaga A 5.17 Vägledning om tilldelning av autentiseringsinformation
Organisationer bör följa dessa sex krav för tilldelning och administration av autentiseringsinformation:
- Vid registrering av nya användare måste automatiskt genererade personliga lösenord och personliga identifieringsnummer vara omöjliga att gissa. Dessutom måste varje användare ha ett unikt lösenord och det är obligatoriskt att byta lösenord efter första användningen.
- Organisationer bör ha solida processer för att kontrollera en användares identitet innan de får ny eller ersättningsinformation om autentisering, eller förses med tillfällig information.
- Organisationer bör garantera säker överföring av autentiseringsdetaljer till individer via säkra vägar och får inte skicka sådan information via osäkra elektroniska meddelanden (t.ex. vanlig text).
- Användare måste se till att de har fått autentiseringsinformationen.
- Organisationer bör agera snabbt efter att ha installerat nya IT-system och programvara och ändra standardautentiseringsdetaljerna omedelbart.
- Organisationer bör upprätta och ständigt föra register över alla viktiga händelser i samband med hantering och tilldelning av autentiseringsinformation. Dessa register måste hållas privata och metoder för journalföring bör godkännas, t.ex. med hjälp av ett auktoriserat lösenordsverktyg.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Bilaga A 5.17 Vägledning om användaransvar
Användare med tillgång till autentiseringsinformation bör instrueras att följa följande:
- Användare måste hålla hemlig autentiseringsinformation såsom lösenord konfidentiell och får inte dela den med någon annan. När flera användare är inblandade i användningen av autentiseringsinformation eller informationen är kopplad till icke-personliga enheter, får de inte avslöja den för obehöriga personer.
- Användare måste byta lösenord omedelbart om sekretessen för deras lösenord har brutits.
- Användare bör välja svåra att gissa, starka lösenord i enlighet med industristandarder. Till exempel:
- Lösenord bör inte baseras på personlig information som lätt kan erhållas, såsom namn eller födelsedatum.
- Lösenord bör inte baseras på information som lätt kan gissas.
- Lösenord får inte bestå av ord eller sekvenser av ord som är vanliga.
- Använd alfanumeriska tecken och specialtecken i ditt lösenord.
- Lösenord bör ha en minimilängd.
- Användare får inte använda samma lösenord för olika tjänster.
- Organisationer bör låta sina anställda acceptera ansvaret för att skapa och använda lösenord i sina anställningsavtal.
Bilaga A 5.17 Vägledning om lösenordshanteringssystem
Organisationer bör observera följande när de konfigurerar ett lösenordshanteringssystem:
- Användare bör ha möjlighet att skapa och ändra sina lösenord, med en verifieringsprocedur på plats för att upptäcka och rätta till eventuella misstag vid inmatning av data.
- Organisationer bör följa branschens bästa praxis när de utvecklar en robust process för val av lösenord.
- Användare måste ändra sina standardlösenord vid första åtkomst till ett system.
- Det är viktigt att byta lösenord när det är lämpligt. Till exempel efter en säkerhetshändelse eller när en anställd lämnar sitt jobb och hade tillgång till lösenord, är ett lösenordsbyte nödvändigt.
- Tidigare lösenord ska inte återvinnas.
- Användning av lösenord som är allmänt kända, eller som har använts i ett säkerhetsbrott, bör inte tillåtas för åtkomst till hackade system.
- När lösenord matas in ska de visas på skärmen i klartext.
- Lösenord måste överföras och lagras via säkra kanaler i ett säkert format.
Organisationer bör också implementera hash- och krypteringsprocedurer i linje med de godkända kryptografiska metoderna för lösenord som anges i bilaga A Kontrollera 8.24 av ISO 27001:2022.
Kompletterande vägledning om kontroll av bilaga A 5.17
Förutom lösenord, andra former av autentisering, såsom kryptografiska nycklar, smartkort och biometriska data som fingeravtryck.
Organisationer bör se till ISO/IEC 24760-serien för ytterligare råd om autentiseringsdata.
Med tanke på krånglet och irritationen med att regelbundet byta lösenord, kan organisationer överväga alternativ som enkel inloggning eller lösenordsvalv. Det bör dock noteras att dessa alternativ ökar risken för att konfidentiell autentiseringsinformation utsätts för obehöriga parter.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27001:2013
ISO 27001: 2022 Bilaga A 5.17 ersätter ISO 27001:2013 Annex A 9.2.4, 9.3.1 och 9.4.3.
ISO 27001:2022 innehåller ett nytt krav för tilldelning och hantering av autentiseringsinformation
Under 2013 var kraven för tilldelning och hantering av autentiseringsinformation mycket lika. Men ISO 27001:2022 bilaga A Kontroll 5.17 införde ett krav som inte fanns 2013.
Organisationer måste skapa och underhålla register för alla viktiga händelser i samband med hantering och distribution av autentiseringsinformation. Dessa register bör hållas konfidentiella, med auktoriserade registreringstekniker, till exempel användning av ett accepterat lösenordsverktyg.
2022-versionen innehåller ytterligare ett krav för användning av autentiseringsinformation
ISO 27001:2022 bilaga A Kontroll 5.17 introducerar ett krav på användaransvar som inte specificerades i kontroll 9.3.1 i 2013 års version.
Organisationer bör inkludera lösenordskrav i sina kontrakt med anställda och personal. Sådana krav bör omfatta skapandet och användningen av lösenord.
ISO 27001:2013 innehöll ytterligare krav för användaransvar som inte ingick i 2022 års version
I jämförelse med 2022 års version innehöll kontroll 9.3.1 följande mandat för användning av autentiseringsdata:
Användare bör inte använda samma autentiseringsdetaljer, till exempel ett lösenord, för både arbete och icke-arbetsändamål.
ISO 27001:2013 innehöll ett ytterligare krav för lösenordshanteringssystem som inte ingick i 2022-versionen
Kontroll 9.4.3 av 2013 års version kräver att lösenordshanteringssystem måste:
Se till att filer med lösenord ska lagras på ett annat system än det som är värd för programdata.
ISO 27001:2022 bilaga A Kontroll 5.17 kräver inte detta.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur ISMS.online Hjälp
ISMS.Online gör det möjligt för organisationer och företag att uppfylla kraven i ISO 27001:2022 genom att förse dem med en plattform som underlättar hantering, uppdatering, testning och övervakning av effektiviteten i deras policyer och procedurer för sekretess eller sekretess.
Vi erbjuder en molnbaserad plattform för att administrera Sekretess och Informationssäkerhetshanteringssystem, med klausuler om sekretess, riskhantering, policyer, planer och procedurer, allt på en bekväm plats. Det är enkelt att använda, med ett intuitivt gränssnitt som gör det enkelt att lära sig.
Kontakta oss idag för att arrangera en demonstration.
