ISO 27002:2022 – Kontroll 5.17 – Autentiseringsinformation

ISO 27002:2022 Control 5.17 fokuserar på att säkert hantera autentiseringsinformation (t.ex. lösenord, PIN-koder och krypteringsnycklar) för att förhindra obehörig åtkomst. Den beskriver bästa praxis för att generera, överföra och hantera referenser samtidigt som man säkerställer efterlevnad och användaransvar.

Boka en demo
Författare
Max Edwards
Uppdaterad 10 februari 2025
LinkedIn Twitter Twitter

Säker autentiseringsinformationshantering: ISO 27002 Kontroll 5.17 förklaras

Autentiseringsinformation som lösenord, krypteringsnycklar och kortchips är porten till informationssystem som är värd för känslig informationstillgångar.

Dålig hantering eller felaktig tilldelning av autentiseringsinformation kan resultera i obehörig åtkomst till informationssystem och i förlust av konfidentialitet, tillgänglighet och integritet för känsliga informationstillgångar.

Till exempel, GoodFirms forskning 2021 visar att 30 % av alla dataintrång uppstår som ett resultat av svaga lösenord eller dåliga rutiner för lösenordshantering.

Därför bör organisationer ha en robust process för hantering av autentiseringsinformation för att allokera, hantera och skydda autentiseringsinformation.

Syfte med kontroll 5.17

Kontroll 5.17 gör det möjligt för organisationer att korrekt allokera och hantera autentiseringsinformation, eliminera risker för fel i autentiseringsprocessen och förhindra säkerhetsrisker som kan uppstå på grund av att autentiseringsinformationen äventyras.

Kontrollattribut 5.17

Kontroll 5.17 är en förebyggande typ av kontroll som kräver att organisationer upprättar och implementerar en lämplig process för hantering av autentiseringsinformation.

Kontroll typInformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande#Sekretess#Skydda#Identitets- och åtkomsthantering#Skydd
#Integritet
#Tillgänglighet

Äganderätt till kontroll 5.17

Med tanke på att kontroll 5.17 innebär upprättande och implementering av organisationsövergripande regler, procedurer och åtgärder för tilldelning och hantering av autentiseringsinformation, bör informationssäkerhetsansvariga ansvara för efterlevnaden av kontroll 5.17.



Efterlevnad behöver inte vara komplicerat.

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo


Vägledning om tilldelning av autentiseringsinformation

Organisationer bör uppfylla följande sex krav för tilldelning och hantering av autentiseringsinformation:

  • När personliga lösenord eller personliga identifikationsnummer genereras automatiskt för registrering av nya användare, bör de vara omöjliga att gissa. Dessutom bör lösenord vara unika för varje användare och det måste vara obligatoriskt att byta lösenord efter första användningen.
  • Organisationer bör upprätta robusta procedurer för att autentisera en användares identitet innan han/hon beviljas en ny eller ersättningsinformation om autentisering eller han/hon förses med tillfällig information.
  • Organisationer bör säkerställa säker överföring av autentiseringsinformation till individer via säkra kanaler och de bör inte skicka denna information via osäkra elektroniska meddelanden (t.ex. klartext).
  • Användare bör bekräfta mottagandet av autentiseringsinformationen.
  • Efter att nya IT-system och program har installerats bör organisationer omedelbart ändra standardautentiseringsinformationen.
  • Organisationer bör upprätta och underhålla register över alla viktiga händelser relaterade till hantering och tilldelning av autentiseringsinformation. Dessutom bör dessa register hållas konfidentiella och registreringsmetoder bör tillåtas, t.ex. genom att använda ett godkänt lösenordsverktyg.

Vägledning om användaransvar

Användare som kan komma åt och använda autentiseringsinformation bör instrueras att följa följande:

  1. Användare måste upprätthålla konfidentialitet för hemlig autentiseringsinformation såsom lösenord och bör inte dela sådan hemlig information med någon annan. När flera användare är inblandade i användningen av autentiseringsinformation eller informationen är kopplad till icke-personliga enheter, bör autentiseringsinformationen inte lämnas ut till obehöriga.
  2. Användare måste ändra sina lösenord omedelbart om konfidentialiteten för deras lösenord äventyras.
  3. Användare bör välja svåra att gissa starka lösenord genom att följa branschens bästa praxis. Till exempel:

    • Lösenord bör inte väljas baserat på personlig information som är lätt att få tag på, såsom namn eller födelsedatum.
    • Lösenord bör inte skapas baserat på något som lätt kan gissas.
    • Lösenord bör inte innehålla ordbok eller kombinationer av dessa ord.
    • Alfanumeriska och specialtecken ska användas i lösenordet.
    • Det bör finnas en minsta längd för lösenord.
  4. Användare ska inte använda samma lösenord för olika tjänster.
  5. Organisationer bör inkludera kraven för att skapa och använda lösenord i sina anställningsavtal med sina anställda.


Hantera all efterlevnad på ett ställe

ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.

Boka en demo


Vägledning om lösenordshanteringssystem

Organisationer bör följa följande när de upprättar ett lösenordshanteringssystem:

  • Användare bör tillåtas skapa och ändra sina lösenord och det bör finnas en bekräftelseprocedur för att säkerställa att inmatningsfel identifieras och åtgärdas.
  • Organisationer bör implementera en stark process för val av lösenord, med hänsyn till branschens bästa praxis för val av lösenord.
  • Användare bör tvingas ändra sina standardlösenord efter att de första gången kommit åt ett system.
  • Lösenordsändringar bör implementeras när det är nödvändigt. Till exempel kommer lösenordsbyte vara nödvändigt efter en säkerhetsincident eller efter uppsägning av en anställning hos en användare om den användaren har tillgång till lösenord.
  • Tidigare lösenord ska inte återanvändas.
  • Användning av mycket vanliga lösenord eller komprometterade lösenord eller användarnamn som används för åtkomst till hackade system bör förbjudas.
  • När lösenord skrivs in ska de synas på skärmen i vanlig text.
  • Lösenord bör lagras och överföras via skyddade kanaler och i ett säkert format.

Dessutom bör organisationer utföra hash- och krypteringstekniker i enlighet med de auktoriserade kryptografimetoderna för lösenord som anges i Kontroll 8.24.

Kompletterande vägledning om kontroll 5.17

Förutom lösenord finns det andra typer av autentiseringsinformation som kryptografiska nycklar, smartkort och biometriska data som fingeravtryck.

Organisationer rekommenderas att hänvisa till ISO/IEC 24760-serien för mer detaljerad vägledning om autentiseringsinformation.

Med tanke på att frekventa byten av lösenord kan vara besvärligt och irriterande för användare, kan organisationer överväga att implementera alternativa metoder som enkel inloggning eller lösenordsvalv. Det bör dock noteras att dessa alternativa metoder kan utsätta autentiseringsinformation för högre risk för obehörigt avslöjande.



Få ett försprång på 81 %

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo


Ändringar och skillnader från ISO 27002:2013

27002:2022/5.17 ersätter 27002:2013/(9.2.4, 9.3.1 9.4.3)

2022-versionen innehåller ett nytt krav för tilldelning och hantering av autentiseringsinformation

Även om 2013- och 2022-versionen är mycket lika när det gäller kraven för tilldelning och hantering av autentiseringsinformation, introducerar Control 5.17 i 2022-versionen följande krav, som inte ingick i 2013-versionen:

  • Organisationer bör upprätta och underhålla register över alla viktiga händelser relaterade till hantering och tilldelning av autentiseringsinformation. Dessutom bör dessa register hållas konfidentiella och registreringsmetoder bör tillåtas, t.ex. genom att använda ett godkänt lösenordsverktyg.

Kontroll 5.17 i 2022 års version innehåller ett ytterligare krav på användning av autentiseringsinformation

Kontroll 5.17 introducerar följande krav för användaransvar som inte hänvisades till i Kontroll 9.3.1 i 2013 års version.

  • Organisationer bör inkludera kraven för att skapa och använda lösenord i sina anställningsavtal med sina anställda och personal.

2013-versionen innehöll ytterligare krav för användaransvar som inte ingick i 2022-versionen

Till skillnad från 2022 års version innehöll kontroll 9.3.1 följande krav för användning av autentiseringsinformation:

  • Användare bör inte använda samma autentiseringsinformation som ett lösenord för både affärs- och icke-affärsändamål.

2013-versionen innehöll ett ytterligare krav för lösenordshanteringssystem som inte ingick i 2022-versionen

Kontroll 9.4.3 i 2013 års version inkluderade följande krav för lösenordshanteringssystem.

  • Filer som innehåller lösenord bör lagras i ett separat system från applikationssystemdata.

Kontroll 5.17 i 2022 års version innehöll tvärtom inte detta krav.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyttHot intelligens
5.23NyttInformationssäkerhet för användning av molntjänster
5.30NyttICT-beredskap för kontinuitet i verksamheten
7.4NyttFysisk säkerhetsövervakning
8.9NyttKonfigurationshantering
8.10NyttRadering av information
8.11NyttDatamaskering
8.12NyttFörebyggande av dataläckage
8.16NyttÖvervakningsaktiviteter
8.23NyttWebbfiltrering
8.28NyttSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyttHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.1208.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.1709.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyttInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyttICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyttFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyttKonfigurationshantering
8.10NyttRadering av information
8.11NyttDatamaskering
8.12NyttFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyttÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyttWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyttSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISMS.Online hjälper organisationer och företag att uppfylla kraven i ISO 27002 genom att förse dem med en plattform som gör det enkelt att hantera deras policyer och procedurer för sekretess eller sekretess, uppdatera dem vid behov, testa dem och övervaka deras effektivitet.

Vi tillhandahåller en molnbaserad plattform för hantering av ledningssystem för konfidentialitet och informationssäkerhet, inklusive klausuler om sekretess, riskhantering, policyer, planer och procedurer, på en central plats. Plattformen är lätt att använda och har ett intuitivt gränssnitt som gör det enkelt att lära sig att använda.

Kontakta oss idag för att BOKA EN DEMO.

Hoppa till ämnet

Max Edwards

Max arbetar som en del av ISMS.online-marknadsföringsteamet och ser till att vår webbplats uppdateras med användbart innehåll och information om allt som rör ISO 27001, 27002 och efterlevnad.

ISMS-plattformstur

Intresserad av en ISMS.online-plattformsturné?

Starta din gratis 2-minuters interaktiva demo nu och upplev magin med ISMS.online i aktion!

Prova det gratis

Vi är ledande inom vårt område

Användare älskar oss
Grid Leader – våren 2025
Momentum Leader – våren 2025
Regional ledare - våren 2025 Storbritannien
Regional ledare - EU våren 2025
Bästa Est. ROI Enterprise – våren 2025
Kommer troligtvis att rekommendera företag – våren 2025

"ISMS.Online, enastående verktyg för regelefterlevnad"

-Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

-Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

- Ben H.

SOC 2 är här! Stärk din säkerhet och bygg kundernas förtroende med vår kraftfulla efterlevnadslösning idag!