Hoppa till innehåll
Jobba smartare med vår nya förbättrade navigering!
Se hur IO gör efterlevnad enklare. Läs bloggen
ISMS.online

ISO 27002:2022 – Kontroll 5.17 – Autentiseringsinformation

ISO 27002:2022 Control 5.17 fokuserar på att säkert hantera autentiseringsinformation (t.ex. lösenord, PIN-koder och krypteringsnycklar) för att förhindra obehörig åtkomst. Den beskriver bästa praxis för att generera, överföra och hantera referenser samtidigt som man säkerställer efterlevnad och användaransvar.

Författare
Sam Peters
Uppdaterad juli 25, 2025
4/5 stjärnor

Säker autentiseringsinformationshantering: ISO 27002 Kontroll 5.17 förklaras

Autentiseringsinformation som lösenord, krypteringsnycklar och kortchips är porten till informationssystem som är värd för känslig informationstillgångar.

Dålig hantering eller felaktig tilldelning av autentiseringsinformation kan resultera i obehörig åtkomst till informationssystem och i förlust av konfidentialitet, tillgänglighet och integritet för känsliga informationstillgångar.

Till exempel, GoodFirms forskning 2021 visar att 30 % av alla dataintrång uppstår som ett resultat av svaga lösenord eller dåliga rutiner för lösenordshantering.

Därför bör organisationer ha en robust process för hantering av autentiseringsinformation för att allokera, hantera och skydda autentiseringsinformation.

Syfte med kontroll 5.17

Kontroll 5.17 gör det möjligt för organisationer att korrekt allokera och hantera autentiseringsinformation, eliminera risker för fel i autentiseringsprocessen och förhindra säkerhetsrisker som kan uppstå på grund av att autentiseringsinformationen äventyras.

Kontrollattribut 5.17

Kontroll 5.17 är en förebyggande typ av kontroll som kräver att organisationer upprättar och implementerar en lämplig process för hantering av autentiseringsinformation.

Kontroll typ Informationssäkerhetsegenskaper Cybersäkerhetskoncept Operativa förmågor Säkerhetsdomäner
#Förebyggande #Sekretess #Skydda #Identitets- och åtkomsthantering #Skydd
#Integritet
#Tillgänglighet

Äganderätt till kontroll 5.17

Med tanke på att kontroll 5.17 innebär upprättande och implementering av organisationsövergripande regler, procedurer och åtgärder för tilldelning och hantering av autentiseringsinformation, bör informationssäkerhetsansvariga ansvara för efterlevnaden av kontroll 5.17.



klättring

Befria dig från ett berg av kalkylblad

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo


Vägledning om tilldelning av autentiseringsinformation

Organisationer bör uppfylla följande sex krav för tilldelning och hantering av autentiseringsinformation:

  • När personliga lösenord eller personliga identifikationsnummer genereras automatiskt för registrering av nya användare, bör de vara omöjliga att gissa. Dessutom bör lösenord vara unika för varje användare och det måste vara obligatoriskt att byta lösenord efter första användningen.
  • Organisationer bör upprätta robusta procedurer för att autentisera en användares identitet innan han/hon beviljas en ny eller ersättningsinformation om autentisering eller han/hon förses med tillfällig information.
  • Organisationer bör säkerställa säker överföring av autentiseringsinformation till individer via säkra kanaler och de bör inte skicka denna information via osäkra elektroniska meddelanden (t.ex. klartext).
  • Användare bör bekräfta mottagandet av autentiseringsinformationen.
  • Efter att nya IT-system och program har installerats bör organisationer omedelbart ändra standardautentiseringsinformationen.
  • Organisationer bör upprätta och underhålla register över alla viktiga händelser relaterade till hantering och tilldelning av autentiseringsinformation. Dessutom bör dessa register hållas konfidentiella och registreringsmetoder bör tillåtas, t.ex. genom att använda ett godkänt lösenordsverktyg.

Vägledning om användaransvar

Användare som kan komma åt och använda autentiseringsinformation bör instrueras att följa följande:

  1. Användare måste upprätthålla konfidentialitet för hemlig autentiseringsinformation såsom lösenord och bör inte dela sådan hemlig information med någon annan. När flera användare är inblandade i användningen av autentiseringsinformation eller informationen är kopplad till icke-personliga enheter, bör autentiseringsinformationen inte lämnas ut till obehöriga.
  2. Användare måste ändra sina lösenord omedelbart om konfidentialiteten för deras lösenord äventyras.
  3. Användare bör välja svåra att gissa starka lösenord genom att följa branschens bästa praxis. Till exempel:

    • Lösenord bör inte väljas baserat på personlig information som är lätt att få tag på, såsom namn eller födelsedatum.
    • Lösenord bör inte skapas baserat på något som lätt kan gissas.
    • Lösenord bör inte innehålla ordbok eller kombinationer av dessa ord.
    • Alfanumeriska och specialtecken ska användas i lösenordet.
    • Det bör finnas en minsta längd för lösenord.
  4. Användare ska inte använda samma lösenord för olika tjänster.
  5. Organisationer bör inkludera kraven för att skapa och använda lösenord i sina anställningsavtal med sina anställda.


ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


Vägledning om lösenordshanteringssystem

Organisationer bör följa följande när de upprättar ett lösenordshanteringssystem:

  • Användare bör tillåtas skapa och ändra sina lösenord och det bör finnas en bekräftelseprocedur för att säkerställa att inmatningsfel identifieras och åtgärdas.
  • Organisationer bör implementera en stark process för val av lösenord, med hänsyn till branschens bästa praxis för val av lösenord.
  • Användare bör tvingas ändra sina standardlösenord efter att de första gången kommit åt ett system.
  • Lösenordsändringar bör implementeras när det är nödvändigt. Till exempel kommer lösenordsbyte vara nödvändigt efter en säkerhetsincident eller efter uppsägning av en anställning hos en användare om den användaren har tillgång till lösenord.
  • Tidigare lösenord ska inte återanvändas.
  • Användning av mycket vanliga lösenord eller komprometterade lösenord eller användarnamn som används för åtkomst till hackade system bör förbjudas.
  • När lösenord skrivs in ska de synas på skärmen i vanlig text.
  • Lösenord bör lagras och överföras via skyddade kanaler och i ett säkert format.

Dessutom bör organisationer utföra hash- och krypteringstekniker i enlighet med de auktoriserade kryptografimetoderna för lösenord som anges i Kontroll 8.24.

Kompletterande vägledning om kontroll 5.17

Förutom lösenord finns det andra typer av autentiseringsinformation som kryptografiska nycklar, smartkort och biometriska data som fingeravtryck.

Organisationer rekommenderas att hänvisa till ISO/IEC 24760-serien för mer detaljerad vägledning om autentiseringsinformation.

Med tanke på att frekventa byten av lösenord kan vara besvärligt och irriterande för användare, kan organisationer överväga att implementera alternativa metoder som enkel inloggning eller lösenordsvalv. Det bör dock noteras att dessa alternativa metoder kan utsätta autentiseringsinformation för högre risk för obehörigt avslöjande.



ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG


Ändringar och skillnader från ISO 27002:2013

27002:2022/5.17 ersätter 27002:2013/(9.2.4, 9.3.1 9.4.3)

2022-versionen innehåller ett nytt krav för tilldelning och hantering av autentiseringsinformation

Även om 2013- och 2022-versionen är mycket lika när det gäller kraven för tilldelning och hantering av autentiseringsinformation, introducerar Control 5.17 i 2022-versionen följande krav, som inte ingick i 2013-versionen:

  • Organisationer bör upprätta och underhålla register över alla viktiga händelser relaterade till hantering och tilldelning av autentiseringsinformation. Dessutom bör dessa register hållas konfidentiella och registreringsmetoder bör tillåtas, t.ex. genom att använda ett godkänt lösenordsverktyg.

Kontroll 5.17 i 2022 års version innehåller ett ytterligare krav på användning av autentiseringsinformation

Kontroll 5.17 introducerar följande krav för användaransvar som inte hänvisades till i Kontroll 9.3.1 i 2013 års version.

  • Organisationer bör inkludera kraven för att skapa och använda lösenord i sina anställningsavtal med sina anställda och personal.

2013-versionen innehöll ytterligare krav för användaransvar som inte ingick i 2022-versionen

Till skillnad från 2022 års version innehöll kontroll 9.3.1 följande krav för användning av autentiseringsinformation:

  • Användare bör inte använda samma autentiseringsinformation som ett lösenord för både affärs- och icke-affärsändamål.

2013-versionen innehöll ett ytterligare krav för lösenordshanteringssystem som inte ingick i 2022-versionen

Kontroll 9.4.3 i 2013 års version inkluderade följande krav för lösenordshanteringssystem.

  • Filer som innehåller lösenord bör lagras i ett separat system från applikationssystemdata.

Kontroll 5.17 i 2022 års version innehöll tvärtom inte detta krav.

Nya ISO 27002 kontroller

Nya kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.7 NYA Hot intelligens
5.23 NYA Informationssäkerhet för användning av molntjänster
5.30 NYA ICT-beredskap för kontinuitet i verksamheten
7.4 NYA Fysisk säkerhetsövervakning
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.16 NYA Övervakningsaktiviteter
8.23 NYA Webbfiltrering
8.28 NYA Säker kodning
Organisatoriska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.1 05.1.1, 05.1.2 Policyer för informationssäkerhet
5.2 06.1.1 Informationssäkerhetsroller och ansvar
5.3 06.1.2 Uppdelning av arbetsuppgifter
5.4 07.2.1 Ledningsansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med intressegrupper
5.7 NYA Hot intelligens
5.8 06.1.5, 14.1.1 Informationssäkerhet i projektledning
5.9 08.1.1, 08.1.2 Inventering av information och andra tillhörande tillgångar
5.10 08.1.3, 08.2.3 Acceptabel användning av information och andra tillhörande tillgångar
5.11 08.1.4 Återlämnande av tillgångar
5.12 08.2.1 Klassificering av information
5.13 08.2.2 Märkning av information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsöverföring
5.15 09.1.1, 09.1.2 Åtkomstkontroll
5.16 09.2.1 Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformation
5.18 09.2.2, 09.2.5, 09.2.6 Tillträdesrättigheter
5.19 15.1.1 Informationssäkerhet i leverantörsrelationer
5.20 15.1.2 Adressering av informationssäkerhet inom leverantörsavtal
5.21 15.1.3 Hantera informationssäkerhet i IKT-försörjningskedjan
5.22 15.2.1, 15.2.2 Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23 NYA Informationssäkerhet för användning av molntjänster
5.24 16.1.1 Informationssäkerhet incidenthantering planering och förberedelse
5.25 16.1.4 Bedömning och beslut om informationssäkerhetshändelser
5.26 16.1.5 Respons på informationssäkerhetsincidenter
5.27 16.1.6 Lär av informationssäkerhetsincidenter
5.28 16.1.7 Insamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informationssäkerhet vid avbrott
5.30 5.30 ICT-beredskap för kontinuitet i verksamheten
5.31 18.1.1, 18.1.5 Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32 18.1.2 Immateriella rättigheter
5.33 18.1.3 Skydd av register
5.34 18.1.4 Integritet och skydd av PII
5.35 18.2.1 Oberoende granskning av informationssäkerhet
5.36 18.2.2, 18.2.3 Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37 12.1.1 Dokumenterade driftprocedurer
Människor kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
6.1 07.1.1 Screening
6.2 07.1.2 Anställningsvillkor
6.3 07.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning
6.4 07.2.3 Disciplinär process
6.5 07.3.1 Ansvar efter uppsägning eller byte av anställning
6.6 13.2.4 Sekretess- eller sekretessavtal
6.7 06.2.2 Fjärrbearbetning
6.8 16.1.2, 16.1.3 Händelserapportering för informationssäkerhet
Fysiska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
7.1 11.1.1 Fysiska säkerhetsområden
7.2 11.1.2, 11.1.6 Fysiskt inträde
7.3 11.1.3 Säkra kontor, rum och lokaler
7.4 NYA Fysisk säkerhetsövervakning
7.5 11.1.4 Skydd mot fysiska och miljömässiga hot
7.6 11.1.5 Arbeta i säkra områden
7.7 11.2.9 Tydligt skrivbord och tydlig skärm
7.8 11.2.1 Utrustningsplacering och skydd
7.9 11.2.6 Säkerhet av tillgångar utanför lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedia
7.11 11.2.2 Stöd till verktyg
7.12 11.2.3 Kabelsäkerhet
7.13 11.2.4 Utrustningsunderhåll
7.14 11.2.7 Säker kassering eller återanvändning av utrustning
Tekniska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
8.1 06.2.1, 11.2.8 Användarslutpunktsenheter
8.2 09.2.3 Privilegerade åtkomsträttigheter
8.3 09.4.1 Begränsning av informationsåtkomst
8.4 09.4.5 Tillgång till källkod
8.5 09.4.2 Säker autentisering
8.6 12.1.3 Kapacitetshantering
8.7 12.2.1 Skydd mot skadlig programvara
8.8 12.6.1, 18.2.3 Hantering av tekniska sårbarheter
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.13 12.3.1 Säkerhetskopiering av information
8.14 17.2.1 Redundans av informationsbehandlingsanläggningar
8.15 12.4.1, 12.4.2, 12.4.3 Loggning
8.16 NYA Övervakningsaktiviteter
8.17 12.4.4 Klocksynkronisering
8.18 09.4.4 Användning av privilegierade verktygsprogram
8.19 12.5.1, 12.6.2 Installation av programvara på operativsystem
8.20 13.1.1 Nätverkssäkerhet
8.21 13.1.2 Säkerhet för nätverkstjänster
8.22 13.1.3 Segregation av nätverk
8.23 NYA Webbfiltrering
8.24 10.1.1, 10.1.2 Användning av kryptografi
8.25 14.2.1 Säker utvecklingslivscykel
8.26 14.1.2, 14.1.3 Säkerhetskrav för applikationer
8.27 14.2.5 Säker systemarkitektur och tekniska principer
8.28 NYA Säker kodning
8.29 14.2.8, 14.2.9 Säkerhetstestning i utveckling och acceptans
8.30 14.2.7 Outsourcade utveckling
8.31 12.1.4, 14.2.6 Separation av utvecklings-, test- och produktionsmiljöer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Ändra hanteringen
8.33 14.3.1 Testinformation
8.34 12.7.1 Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISMS.Online hjälper organisationer och företag att uppfylla kraven i ISO 27002 genom att förse dem med en plattform som gör det enkelt att hantera deras policyer och procedurer för sekretess eller sekretess, uppdatera dem vid behov, testa dem och övervaka deras effektivitet.

Vi tillhandahåller en molnbaserad plattform för hantering av ledningssystem för konfidentialitet och informationssäkerhet, inklusive klausuler om sekretess, riskhantering, policyer, planer och procedurer, på en central plats. Plattformen är lätt att använda och har ett intuitivt gränssnitt som gör det enkelt att lära sig att använda.

Kontakta oss idag för att BOKA EN DEMO.

Sam Peters

Sam är Chief Product Officer på ISMS.online och leder utvecklingen av alla produktegenskaper och funktionalitet. Sam är expert på många områden av efterlevnad och arbetar med kunder på alla skräddarsydda eller storskaliga projekt.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.