- sien ISO 27002:2022 Beheer 8.5 vir meer inligting.
- sien ISO 27001:2013 Bylae A 9.4.2 vir meer inligting.
Doel van ISO 27001:2022 Bylae A 8.5
Veilige stawing is die belangrikste manier waarop gebruikers, beide menslike en nie-menslike, toegang tot 'n organisasie se IKT-hulpbronne verkry.
In die afgelope tien jaar het stawingstegnologie 'n groot transformasie beleef van klassieke gebruikersnaam/wagwoordvalidering na 'n verskeidenheid aanvullende metodes wat biometriese data, logiese en fisiese toegangskontroles, eksterne toestelverifikasies, SMS-kodes en eenmalige wagwoorde (OTP) behels. .
Bylae A 8.5 verskaf aan organisasies 'n raamwerk vir die beheer van toegang tot hul IKT-stelsels en bates via 'n veilige aanmeldpoort. Dit beskryf presies hoe dit gedoen moet word.
Die ISO 27001: 2022 Bylae A Beheer 8.5 is a voorkomende maatreël wat risiko handhaaf vlakke deur tegnologie bekend te stel en veilige verifikasieprosedures in te stel, wat verseker dat menslike en nie-menslike gebruikers en identiteite 'n veilige verifikasieproses onderneem wanneer hulle probeer om toegang tot IKT-hulpbronne te verkry.
Eienaarskap van Bylae A 8.5
ISO 27001:2022 Bylae A 8.5 spreek 'n organisasie se vermoë aan om toegang tot sy netwerk (en die data en inligting daarin gehuisves) te beheer by sleutelpunte, bv. 'n aanmeldportaal.
Die beheer dek inligting- en datasekuriteit as geheel, met die operasionele leiding wat hoofsaaklik op tegniese aspekte fokus.
Die Hoof van IT (of ekwivalent) behoort eienaarskap te hê as gevolg van die verantwoordelikheid van IT-administrasiepligte op 'n dag-tot-dag basis.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Algemene riglyne oor ISO 27001:2022 Bylae A 8.5
Organisasies moet die tipe en sensitiwiteit van die data en netwerk waartoe toegang verkry word in ag neem wanneer verifikasiekontroles oorweeg word. Voorbeelde van sulke kontroles sluit in:
- Slim toegangskontroles (slimkaarte).
- Biometriese aanmeldings.
- Veilige tekens.
- Multi-faktor-verifikasie (MFA).
- Digitale sertifikate.
Die primêre doel van 'n maatskappy se veilige stawingmaatreëls moet wees om die moontlikheid van ongemagtigde toegang tot sy beveiligde stelsels af te weer en te verminder.
Om dit te bereik, stel ISO 27001:2022 Bylae A 8.5 twaalf voorste riglyne uiteen. Ondernemings moet:
- Maak seker dat inligting slegs vertoon word na 'n suksesvolle stawingsproses.
- Wys 'n waarskuwingsboodskap voor aanmelding wat duidelik aandui dat slegs gemagtigde gebruikers toegang tot die data mag verkry.
- Verminder die hulp wat gegee word aan ongemagtigde mense wat probeer om in die stelsel te kom. Besighede behoort byvoorbeeld nie te verklap watter deel van die aanmelding verkeerd was nie, soos 'n biometriese faktor van 'n multi-faktor-verifikasie-aanmelding – eerder net meld dat die aanmelding nie gewerk het nie.
- Verifieer die aanmeldpoging slegs wanneer alle nodige inligting aan die aanmelddiens verskaf is, om veiligheid te handhaaf.
- Implementeer industriestandaard sekuriteitsmaatreëls om te beskerm teen komberse toegang en brute force-aanvalle op aanmeldportale. Dit kan insluit:
- CAPTCHA is 'n sekuriteitskenmerk wat vereis dat jy 'n string karakters invoer om te verifieer dat jy 'n menslike gebruiker is.
- Afdwinging van 'n terugstelling van 'n wagwoord na 'n definitiewe aantal onsuksesvolle aanmeldpogings.
- Na 'n sekere aantal onsuksesvolle pogings word verdere aanmeldings gedwarsboom. Om dit te voorkom, stel 'n limiet.
- Vir ouditering en sekuriteit sal elke mislukte aanmeldpoging aangeteken word, insluitend vir kriminele en/of regulatoriese verrigtinge.
- In die geval van enige groot aanmeldafwykings, soos 'n vermoedelike inbraak, moet 'n sekuriteitsvoorval onmiddellik begin word. Interne personeel, veral diegene met toegang tot stelseladministrateur of die vermoë om kwaadwillige aanmeldpogings te stuit, moet dadelik in kennis gestel word.
- Sodra 'n suksesvolle aanmelding bevestig is, moet sekere data na 'n ander bewaarplek oorgedra word met besonderhede:
- Die laaste suksesvolle aanmelding het plaasgevind op [datum] om [tyd].
- Rekord van alle pogings om aan te meld sedert die laaste geverifieerde aanmelding.
- Wys wagwoorde as sterretjies of ander soortgelyke abstrakte simbole, tensy daar 'n rede is om dit nie te doen nie (bv. gebruikerstoeganklikheid).
- Geen verdraagsaamheid vir wagwoorde om gedeel of vertoon te word in gewone, leesbare teks nie.
- Maak seker dat ledige aanmeldsessies na 'n vasgestelde tydraamwerk beëindig word. Dit is veral relevant vir sessies in hoërisiko-liggings (afgeleë werk situasies) of op toestelle wat deur gebruikers besit word, soos persoonlike skootrekenaars of selfone.
- Beperk die duur waarvoor 'n geverifieerde sessie oop mag bly, selfs wanneer dit aktief is, afhangende van die data waartoe toegang verkry word (bv. noodsaaklike besigheidsinligting of geldverwante programme).
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Leiding oor biometriese aanmeldings
Die Internasionale Organisasie vir Standaardisering dring daarop aan dat biometriese aanmeldprosesse gekombineer word met ten minste een ander aanmeldtegniek, as gevolg van hul vergelykende doeltreffendheid en integriteit in vergelyking met tradisionele metodes soos wagwoorde, MFA en tokens.
Veranderinge en verskille vanaf ISO 27001:2013
ISO 27001:2022 Bylae A 8.5 vervang ISO 27001:2013 Bylae A 9.4.2 (Veilige aanmeldprotokolle).
ISO 27001:2022 Bylae A 8.5 is 'n hersiening van die 2013-weergawe, met geringe wysigings aan taal en dieselfde sekuriteitsbeginsels wat dit onderlê. Die dokument bevat steeds die 12 bekende riglyne.
In ooreenstemming met die toenemende gebruik van multi-faktor stawing en biometriese aanmeldtegnologieë oor die afgelope tien jaar, verskaf die ISO 27001:2022 Bylae A 8.5 eksplisiete instruksies oor hoe organisasies hierdie tegnieke moet inkorporeer wanneer hulle hul eie aanmeldkontroles formuleer.
Tabel van alle ISO 27001:2022 Bylae A-kontroles
In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 |
Bylae A 5.1.1 Bylae A 5.1.2 |
Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 |
Bylae A 6.1.5 Bylae A 14.1.1 |
Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 |
Bylae A 8.1.1 Bylae A 8.1.2 |
Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 |
Bylae A 8.1.3 Bylae A 8.2.3 |
Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 |
Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 |
Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 |
Bylae A 9.1.1 Bylae A 9.1.2 |
Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 |
Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 |
Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 |
Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 |
Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 |
Bylae A 15.2.1 Bylae A 15.2.2 |
Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 |
Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 |
Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 |
Bylae A 18.1.1 Bylae A 18.1.5 |
Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 |
Bylae A 18.2.2 Bylae A 18.2.3 |
Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 |
Bylae A 16.1.2 Bylae A 16.1.3 |
Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 |
Bylae A 11.1.2 Bylae A 11.1.6 |
Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 |
Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 |
Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 |
Bylae A 6.2.1 Bylae A 11.2.8 |
Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 |
Bylae A 12.6.1 Bylae A 18.2.3 |
Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 |
Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 |
Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van Bevoorregte Nutsdiensteprogramme Toegangsregte |
| Tegnologiese kontroles | Bylae A 8.19 |
Bylae A 12.5.1 Bylae A 12.6.2 |
Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 |
Bylae A 10.1.1 Bylae A 10.1.2 |
Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 |
Bylae A 14.1.2 Bylae A 14.1.3 |
Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige Stelselargitektuur en IngenieursbeginselsLeer uit Inligtingsekuriteitsvoorvalle |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 |
Bylae A 14.2.8 Bylae A 14.2.9 |
Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 |
Bylae A 12.1.4 Bylae A 14.2.6 |
Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 |
Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 |
Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Hoe ISMS.online Help
Ons wolk-gebaseerde platform rus jou toe met 'n sterk raamwerk van inligting-sekuriteit kontroles om die ISMS-proses te help en te verseker dat dit aan die ISO 27001:2022-kriteria voldoen. Reg aangewend, ISMS.online kan jou help om sertifisering te behaal met minimale tyd en hulpbronne.
Kontak ons vandag nog om reël 'n demonstrasie.