ISO 27001:2022 Bilaga A Kontroll 8.5

Säker autentisering

Boka en demo

närbild,av,afrikansk,barn,surfning,internet,på,bärbar dator.,händer

Syftet med ISO 27001:2022 bilaga A 8.5

Säker autentisering är det huvudsakliga sättet för användare, både mänskliga och icke-mänskliga, åtkomst till en organisations IKT-resurser.

Under de senaste tio åren har autentiseringsteknologin genomgått en stor omvandling från klassisk användarnamn/lösenordsvalidering till en mängd olika kompletterande metoder som involverar biometriska data, logiska och fysiska åtkomstkontroller, extern enhetsautentisering, SMS-koder och engångslösenord (OTP) .

Bilaga A 8.5 ger organisationer ett ramverk för att kontrollera åtkomst till sina IKT-system och tillgångar via en säker inloggningsgateway. Den beskriver exakt hur detta ska göras.

ISO 27001: 2022 Bilaga A Kontroll 8.5 är en förebyggande åtgärd som upprätthåller risken nivåer genom att introducera teknik och införa säkra autentiseringsprocedurer, som säkerställer att mänskliga och icke-mänskliga användare och identiteter genomför en säker autentiseringsprocess när de försöker komma åt IKT-resurser.

Äganderätt till bilaga A 8.5

ISO 27001:2022 Annex A 8.5 behandlar en organisations kapacitet att kontrollera åtkomsten till sitt nätverk (och den data och information som finns däri) vid viktiga punkter, t.ex. en inloggningsportal.

Kontrollen omfattar informations- och datasäkerhet som helhet, med den operativa vägledningen främst inriktad på tekniska aspekter.

Smakämnen Chef för IT (eller motsvarande) bör ha ägarskap på grund av att ha ansvar för IT-administrativa uppgifter på en daglig basis.

Hoppa till ämne
100 % ISO 27001 framgång

Din enkla, praktiska, tidsbesparande väg till första gången ISO 27001 efterlevnad eller certifiering

Boka din demo
Metod med säkrade resultat

Allmän vägledning om ISO 27001:2022 bilaga A 8.5

Organisationer bör ta hänsyn till typen och känsligheten hos data och nätverk som nås när de överväger autentiseringskontroller. Exempel på sådana kontroller inkluderar:

  • Smarta åtkomstkontroller (smartkort).

  • Biometriska inloggningar.

  • Säkra tokens.

  • Multi-factor authentication (MFA).

  • Digitala certifikat.

Det primära syftet med ett företags säkra autentiseringsåtgärder bör vara att avskräcka och minska möjligheten för obehörig åtkomst till dess skyddade system.

För att uppnå detta anger ISO 27001:2022 Annex A 8.5 tolv främsta riktlinjer. Företag bör:

  1. Se till att information endast visas efter en framgångsrik autentiseringsprocess.

  2. Visa ett varningsmeddelande innan du loggar in som tydligt anger att endast behöriga användare kan komma åt data.

  3. Minska den hjälp som ges till obehöriga som försöker ta sig in i systemet. Till exempel bör företag inte avslöja vilken del av inloggningen som har varit felaktig, till exempel en biometrisk faktor för en multifaktorautentiseringsinloggning – istället bara uppge att inloggningen inte har fungerat.

  4. Verifiera inloggningsförsöket endast när all nödvändig information har tillhandahållits till inloggningstjänsten, för att upprätthålla säkerheten.

  5. Implementera branschstandardiserade säkerhetsåtgärder för att skydda mot allmän åtkomst och brute force-attacker på inloggningsportaler. Dessa kan inkludera:

    • CAPTCHA är en säkerhetsfunktion som kräver att du anger en sträng med tecken för att verifiera att du är en mänsklig användare.

    • Genomför en återställning av ett lösenord efter ett bestämt antal misslyckade inloggningsförsök.

    • Efter ett visst antal misslyckade försök hindras ytterligare inloggningar. För att förhindra detta, sätt en gräns.

  6. För granskning och säkerhet ska varje misslyckat inloggningsförsök noteras, inklusive för straffrättsliga och/eller regulatoriska förfaranden.

  7. I händelse av större inloggningsavvikelser, såsom ett misstänkt intrång, måste en säkerhetsincident omedelbart initieras. Intern personal, särskilt de som har åtkomst till systemadministratörer eller förmåga att förhindra skadliga inloggningsförsök, måste meddelas omedelbart.

  8. När en lyckad inloggning har bekräftats måste vissa data överföras till ett annat arkiv med detaljer:

    • Den senaste lyckade inloggningen skedde [datum] vid [tid].

    • Registrering av alla försök till inloggning sedan den senaste autentiserade inloggningen.

  9. Visa lösenord som asterisker eller andra liknande abstrakta symboler, om det inte finns en anledning att inte göra det (t.ex. användartillgänglighet).

  10. Ingen tolerans för lösenord som ska delas eller visas i vanlig, läsbar text.

  11. Se till att lediga inloggningssessioner avslutas efter en angiven tidsram. Detta är särskilt relevant för sessioner på högriskplatser (fjärrarbete situationer) eller på användarägda enheter, såsom personliga bärbara datorer eller mobiltelefoner.

  12. Begränsa varaktigheten för vilken en autentiserad session kan vara öppen, även när den är aktiv, beroende på vilken data som nås (t.ex. viktig företagsinformation eller pengarrelaterade program).

Vägledning om biometriska inloggningar

International Organization for Standardization uppmanar till att biometriska inloggningsprocesser kombineras med åtminstone en annan inloggningsteknik, på grund av deras jämförande effektivitet och integritet jämfört med traditionella metoder som lösenord, MFA och tokens.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.5 ersätter ISO 27001:2013 Bilaga A 9.4.2 (Säkra inloggningsprotokoll).

ISO 27001:2022 bilaga A 8.5 är en revidering av 2013 års version, med små modifieringar av språket och samma säkerhetsprinciper som ligger till grund för den. Dokumentet innehåller fortfarande de 12 välbekanta vägledningspunkterna.

I linje med den ökade användningen av multifaktorautentisering och biometrisk inloggningsteknik under de senaste tio åren, ger ISO 27001:2022 Annex A 8.5 explicita instruktioner om hur organisationer bör införliva dessa tekniker när de formulerar sina egna inloggningskontroller.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

Vår molnbaserade plattform utrustar dig med ett starkt ramverk av informationssäkerhet kontroller för att underlätta ISMS-processen och säkerställa att den uppfyller ISO 27001:2022-kriterierna. Används på rätt sätt, ISMS.online kan hjälpa dig att uppnå certifiering med minimal tid och resurser.

Kontakta oss idag för att arrangera en demonstration.

Se ISMS.online
i aktion

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer