Autentiseringsinformation som lösenord, krypteringsnycklar och kortchips är porten till informationssystem som är värd för känslig informationstillgångar.
Dålig hantering eller felaktig tilldelning av autentiseringsinformation kan resultera i obehörig åtkomst till informationssystem och i förlust av konfidentialitet, tillgänglighet och integritet för känsliga informationstillgångar.
Till exempel, GoodFirms forskning 2021 visar att 30 % av alla dataintrång uppstår som ett resultat av svaga lösenord eller dåliga rutiner för lösenordshantering.
Därför bör organisationer ha en robust process för hantering av autentiseringsinformation för att allokera, hantera och skydda autentiseringsinformation.
Kontroll 5.17 gör det möjligt för organisationer att korrekt allokera och hantera autentiseringsinformation, eliminera risker för fel i autentiseringsprocessen och förhindra säkerhetsrisker som kan uppstå på grund av att autentiseringsinformationen äventyras.
Kontroll 5.17 är en förebyggande typ av kontroll som kräver att organisationer upprättar och implementerar en lämplig process för hantering av autentiseringsinformation.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Identitets- och åtkomsthantering | #Skydd |
Med tanke på att kontroll 5.17 innebär upprättande och implementering av organisationsövergripande regler, procedurer och åtgärder för tilldelning och hantering av autentiseringsinformation, bör informationssäkerhetsansvariga ansvara för efterlevnaden av kontroll 5.17.
Organisationer bör uppfylla följande sex krav för tilldelning och hantering av autentiseringsinformation:
Användare som kan komma åt och använda autentiseringsinformation bör instrueras att följa följande:
Organisationer bör följa följande när de upprättar ett lösenordshanteringssystem:
Dessutom bör organisationer utföra hash- och krypteringstekniker i enlighet med de auktoriserade kryptografimetoderna för lösenord som anges i Kontroll 8.24.
Förutom lösenord finns det andra typer av autentiseringsinformation som kryptografiska nycklar, smartkort och biometriska data som fingeravtryck.
Organisationer rekommenderas att hänvisa till ISO/IEC 24760-serien för mer detaljerad vägledning om autentiseringsinformation.
Med tanke på att frekventa byten av lösenord kan vara besvärligt och irriterande för användare, kan organisationer överväga att implementera alternativa metoder som enkel inloggning eller lösenordsvalv. Det bör dock noteras att dessa alternativa metoder kan utsätta autentiseringsinformation för högre risk för obehörigt avslöjande.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
27002:2022/5.17 ersätter 27002:2013/(9.2.4, 9.3.1 9.4.3)
Även om 2013- och 2022-versionen är mycket lika när det gäller kraven för tilldelning och hantering av autentiseringsinformation, introducerar Control 5.17 i 2022-versionen följande krav, som inte ingick i 2013-versionen:
Kontroll 5.17 introducerar följande krav för användaransvar som inte hänvisades till i Kontroll 9.3.1 i 2013 års version.
Till skillnad från 2022 års version innehöll kontroll 9.3.1 följande krav för användning av autentiseringsinformation:
Kontroll 9.4.3 i 2013 års version inkluderade följande krav för lösenordshanteringssystem.
Kontroll 5.17 i 2022 års version innehöll tvärtom inte detta krav.
ISMS.Online hjälper organisationer och företag att uppfylla kraven i ISO 27002 genom att förse dem med en plattform som gör det enkelt att hantera deras policyer och procedurer för sekretess eller sekretess, uppdatera dem vid behov, testa dem och övervaka deras effektivitet.
Vi tillhandahåller en molnbaserad plattform för hantering av ledningssystem för konfidentialitet och informationssäkerhet, inklusive klausuler om sekretess, riskhantering, policyer, planer och procedurer, på en central plats. Plattformen är lätt att använda och har ett intuitivt gränssnitt som gör det enkelt att lära sig att använda.
Kontakta oss idag för att schema en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
