Säker autentisering är det huvudsakliga sättet för användare, både mänskliga och icke-mänskliga, åtkomst till en organisations IKT-resurser.
Under de senaste tio åren har autentiseringsteknologin genomgått en stor omvandling från klassisk användarnamn/lösenordsvalidering till en mängd olika kompletterande metoder som involverar biometriska data, logiska och fysiska åtkomstkontroller, extern enhetsautentisering, SMS-koder och engångslösenord (OTP) .
Bilaga A 8.5 ger organisationer ett ramverk för att kontrollera åtkomst till sina IKT-system och tillgångar via en säker inloggningsgateway. Den beskriver exakt hur detta ska göras.
ISO 27001: 2022 Bilaga A Kontroll 8.5 är en förebyggande åtgärd som upprätthåller risken nivåer genom att introducera teknik och införa säkra autentiseringsprocedurer, som säkerställer att mänskliga och icke-mänskliga användare och identiteter genomför en säker autentiseringsprocess när de försöker komma åt IKT-resurser.
ISO 27001:2022 Annex A 8.5 behandlar en organisations kapacitet att kontrollera åtkomsten till sitt nätverk (och den data och information som finns däri) vid viktiga punkter, t.ex. en inloggningsportal.
Kontrollen omfattar informations- och datasäkerhet som helhet, med den operativa vägledningen främst inriktad på tekniska aspekter.
Smakämnen Chef för IT (eller motsvarande) bör ha ägarskap på grund av att ha ansvar för IT-administrativa uppgifter på en daglig basis.
Organisationer bör ta hänsyn till typen och känsligheten hos data och nätverk som nås när de överväger autentiseringskontroller. Exempel på sådana kontroller inkluderar:
Det primära syftet med ett företags säkra autentiseringsåtgärder bör vara att avskräcka och minska möjligheten för obehörig åtkomst till dess skyddade system.
För att uppnå detta anger ISO 27001:2022 Annex A 8.5 tolv främsta riktlinjer. Företag bör:
International Organization for Standardization uppmanar till att biometriska inloggningsprocesser kombineras med åtminstone en annan inloggningsteknik, på grund av deras jämförande effektivitet och integritet jämfört med traditionella metoder som lösenord, MFA och tokens.
ISO 27001:2022 bilaga A 8.5 ersätter ISO 27001:2013 Bilaga A 9.4.2 (Säkra inloggningsprotokoll).
ISO 27001:2022 bilaga A 8.5 är en revidering av 2013 års version, med små modifieringar av språket och samma säkerhetsprinciper som ligger till grund för den. Dokumentet innehåller fortfarande de 12 välbekanta vägledningspunkterna.
I linje med den ökade användningen av multifaktorautentisering och biometrisk inloggningsteknik under de senaste tio åren, ger ISO 27001:2022 Annex A 8.5 explicita instruktioner om hur organisationer bör införliva dessa tekniker när de formulerar sina egna inloggningskontroller.
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Vår molnbaserade plattform utrustar dig med ett starkt ramverk av informationssäkerhet kontroller för att underlätta ISMS-processen och säkerställa att den uppfyller ISO 27001:2022-kriterierna. Används på rätt sätt, ISMS.online kan hjälpa dig att uppnå certifiering med minimal tid och resurser.
Kontakta oss idag för att arrangera en demonstration.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo