ISO 27001:2022 Bylae A Beheer 5.17

Verifikasie inligting

Bespreek 'n demo

naby, op, op, hande, van, afwyking, groep, studente, sit

ISO 27001:2022 Bylae A Beheer 5.17 bepaal dat verifikasie-inligting veilig gehou moet word.

Dit beteken dat organisasies gepaste stappe moet neem om beskerm gebruiker geloofsbriewe, soos wagwoorde en sekuriteitsvrae, van ongemagtigde toegang. Hulle moet ook verseker dat gebruikers op 'n veilige manier toegang tot die stelsel kan kry met hul geloofsbriewe. Verder moet organisasies ook seker maak dat gebruikers hul geloofsbriewe kan terugstel wanneer nodig.

Stawingbesonderhede (wagwoorde, enkripsiesleutels en kaartskyfies) verskaf toegang tot inligtingstelsels wat sensitiewe data bevat.

Swak hantering van stawinginligting kan lei tot ongemagtigde toegang tot datastelsels en die verlies van vertroulikheid, beskikbaarheid en integriteit van sensitiewe data.

Wat is die doel van ISO 27001:2022 Bylae A Beheer 5.17?

Bylae A Beheer 5.17 stel organisasies in staat om verifikasie-inligting effektief toe te ken en te bestuur, om onderbrekings in die stawingsproses te vermy en te waak teen sekuriteitsbedreigings wat kan voortspruit uit die manipulasie van verifikasie-inligting.

Eienaarskap van Bylae A 5.17

ISO 27001:2022 Bylae A Beheer 5.17 vereis die daarstelling en implementering van organisasiewye reëls, prosedures en maatreëls vir die toekenning en bestuur van stawinginligting. Inligtingsveiligheidsbeamptes moet die nakoming van hierdie beheer verseker.

Spring na Onderwerp

Bylae A 5.17 Riglyne oor die toekenning van stawinginligting

Organisasies moet aan hierdie ses vereistes voldoen vir die toekenning en administrasie van stawinginligting:

  • By die inskrywing van nuwe gebruikers, moet outomaties gegenereerde persoonlike wagwoorde en persoonlike identifikasienommers nie-raaibaar wees nie. Daarbenewens moet elke gebruiker 'n unieke wagwoord hê en dit is verpligtend om wagwoorde te verander na aanvanklike gebruik.

  • Organisasies moet soliede prosesse hê om 'n gebruiker se identiteit na te gaan voordat hulle nuwe of vervangende stawinginligting gegee word, of van tydelike inligting voorsien word.

  • Organisasies moet die veilige oordrag van verifikasiebesonderhede aan individue via veilige paaie waarborg, en moet nie sulke inligting oor onveilige elektroniese boodskappe (bv. gewone teks) stuur nie.

  • Gebruikers moet seker maak dat hulle die stawingbesonderhede ontvang het.

  • Organisasies moet vinnig optree nadat hulle nuwe IT-stelsels en sagteware geïnstalleer het, en die verstekstawingbesonderhede dadelik verander.

  • Organisasies behoort alle belangrike gebeurtenisse met betrekking tot die bestuur en toewysing van stawinginligting op te stel en aanhoudend rekords te hou. Hierdie rekords moet privaat gehou word en metodes van rekordhouding moet gemagtig word, bv met die gebruik van 'n gemagtigde wagwoordhulpmiddel.

Bylae A 5.17 Riglyne oor Gebruikersverantwoordelikhede

Gebruikers met toegang tot stawinginligting moet opdrag gegee word om by die volgende te hou:

  • Gebruikers moet geheime stawinginligting soos wagwoorde vertroulik hou en moet dit nie met enigiemand anders deel nie. Wanneer veelvuldige gebruikers betrokke is by die gebruik van stawinginligting of die inligting aan nie-persoonlike entiteite gekoppel is, moet hulle dit nie aan ongemagtigde individue bekend maak nie.

  • Gebruikers moet hul wagwoorde dadelik verander as die geheimhouding van hul wagwoorde oortree is.

  • Gebruikers moet moeilik raaibare, sterk wagwoorde kies in ooreenstemming met industriestandaarde. Byvoorbeeld:

    • Wagwoorde moet nie gebaseer wees op persoonlike inligting wat maklik verkry kan word nie, soos name of geboortedatums.

    • Wagwoorde moet nie gegrond wees op inligting wat maklik geraai kan word nie.

    • Wagwoorde moet nie bestaan ​​uit woorde of rye van woorde wat algemeen is nie.

    • Gebruik alfanumerieke en spesiale karakters in jou wagwoord.

    • Wagwoorde moet 'n minimum lengtevereiste hê.
  • Gebruikers moet nie dieselfde wagwoord vir verskeie dienste gebruik nie.

  • Organisasies moet hul werknemers die verantwoordelikheid vir die skep en gebruik van wagwoorde in hul dienskontrakte laat aanvaar.

Bylae A 5.17 Riglyne oor wagwoordbestuurstelsels

Organisasies moet die volgende in ag neem wanneer hulle 'n wagwoordbestuurstelsel opstel:

  • Gebruikers moet die vermoë hê om hul wagwoorde te skep en te verander, met 'n verifikasieprosedure in plek om enige foute op te spoor en reg te stel wanneer data ingevoer word.

  • Organisasies moet by industrie se beste praktyke hou wanneer hulle 'n robuuste wagwoordkeuseproses ontwikkel.

  • Gebruikers moet hul verstekwagwoorde verander wanneer hulle eers toegang tot 'n stelsel verkry.

  • Dit is noodsaaklik om wagwoorde te verander wanneer toepaslik. Byvoorbeeld, na a veiligheidsvoorval of wanneer 'n werknemer hul werk verlaat en toegang tot wagwoorde gehad het, is 'n wagwoordverandering nodig.

  • Vorige wagwoorde moet nie herwin word nie.

  • Die gebruik van wagwoorde wat wyd bekend is, of waartoe toegang verkry is in 'n skending van sekuriteit, moet nie toegelaat word vir toegang tot enige gekapte stelsels nie.

  • Wanneer wagwoorde ingevoer word, moet dit in duidelike teks op die skerm vertoon word.

  • Wagwoorde moet deur veilige kanale in 'n veilige formaat versend en gestoor word.

Organisasies moet ook hashing- en enkripsieprosedures implementeer in ooreenstemming met die goedgekeurde kriptografiese metodes vir wagwoorde soos uiteengesit in Bylae A Beheer 8.24 van ISO 27001:2022.

Aanvullende leiding oor Bylae A Beheer 5.17

Benewens wagwoorde, ander vorme van verifikasie, soos kriptografiese sleutels, slimkaarte en biometriese data soos vingerafdrukke.

Organisasies moet na die ISO/IEC 24760-reeks kyk vir verdere advies oor verifikasiedata.

Met inagneming van die rompslomp en irritasie om wagwoorde gereeld te verander, kan organisasies alternatiewe soos enkelaanmelding of wagwoordkluise oorweeg. Daar moet egter op gelet word dat hierdie opsies die risiko verhoog dat vertroulike verifikasie-inligting aan ongemagtigde partye blootgestel word.

Veranderinge en verskille vanaf ISO 27001:2013

Die ISO 27001: 2022 Bylae A 5.17 is die vervanging vir ISO 27001:2013 Bylae A 9.2.4, 9.3.1 en 9.4.3.

ISO 27001:2022 bevat 'n nuwe vereiste vir die toekenning en bestuur van verifikasie-inligting

In 2013 was die vereistes vir die toekenning en bestuur van stawinginligting baie soortgelyk. ISO 27001:2022 Bylae A Beheer 5.17 'n vereiste ingestel wat nie in 2013 teenwoordig was nie.

Organisasies moet rekords skep en in stand hou vir alle belangrike gebeurtenisse wat verband hou met die bestuur en verspreiding van stawinginligting. Hierdie rekords moet vertroulik gehou word, met gemagtigde rekordhoudingstegnieke, byvoorbeeld die gebruik van 'n aanvaarde wagwoordhulpmiddel.

Die 2022-weergawe bevat 'n bykomende vereiste vir die gebruik van stawinginligting

ISO 27001:2022 Bylae A Beheer 5.17 stel 'n vereiste vir gebruikersverantwoordelikhede in wat nie in Beheer 9.3.1 van die 2013-weergawe gespesifiseer is nie.

Organisasies moet wagwoordvereistes in hul kontrakte met werknemers en personeel insluit. Sulke vereistes moet die skepping en gebruik van wagwoorde dek.

ISO 27001:2013 bevat 'n bykomende vereistes vir gebruikersverantwoordelikhede wat nie in die 2022-weergawe ingesluit is nie

In vergelyking met die 2022-weergawe, bevat Beheer 9.3.1 die volgende mandaat vir die gebruik van stawingsdata:

Gebruikers behoort nie dieselfde verifikasiebesonderhede, byvoorbeeld 'n wagwoord, vir beide werk- en nie-werkdoeleindes te gebruik nie.

ISO 27001:2013 bevat 'n bykomende vereiste vir wagwoordbestuurstelsels wat nie in die 2022-weergawe ingesluit is nie

Beheer 9.4.3 van die 2013-weergawe vereis dat wagwoordbestuurstelsels:

Maak seker dat lêers met wagwoorde op 'n ander stelsel gehou moet word as die een wat toepassingdata aanbied.

ISO 27001:2022 Bylae A Beheer 5.17 vereis dit nie.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.

ISO 27001:2022 Organisatoriese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Organisatoriese kontrolesBylae A 5.1Bylae A 5.1.1
Bylae A 5.1.2		Beleide vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.2Bylae A 6.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.3Bylae A 6.1.2Skeiding van pligte
Organisatoriese kontrolesBylae A 5.4Bylae A 7.2.1Bestuursverantwoordelikhede
Organisatoriese kontrolesBylae A 5.5Bylae A 6.1.3Kontak met owerhede
Organisatoriese kontrolesBylae A 5.6Bylae A 6.1.4Kontak met spesiale belangegroepe
Organisatoriese kontrolesBylae A 5.7NUWEBedreiging Intelligensie
Organisatoriese kontrolesBylae A 5.8Bylae A 6.1.5
Bylae A 14.1.1		Inligtingsekuriteit in projekbestuur
Organisatoriese kontrolesBylae A 5.9Bylae A 8.1.1
Bylae A 8.1.2		Inventaris van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.10Bylae A 8.1.3
Bylae A 8.2.3		Aanvaarbare gebruik van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.11Bylae A 8.1.4Teruggawe van bates
Organisatoriese kontrolesBylae A 5.12Bylae A 8.2.1Klassifikasie van inligting
Organisatoriese kontrolesBylae A 5.13Bylae A 8.2.2Etikettering van inligting
Organisatoriese kontrolesBylae A 5.14Bylae A 13.2.1
Bylae A 13.2.2
Bylae A 13.2.3		Inligtingsoordrag
Organisatoriese kontrolesBylae A 5.15Bylae A 9.1.1
Bylae A 9.1.2		Toegangsbeheer
Organisatoriese kontrolesBylae A 5.16Bylae A 9.2.1Identiteitsbestuur
Organisatoriese kontrolesBylae A 5.17Bylae A 9.2.4
Bylae A 9.3.1
Bylae A 9.4.3		Verifikasie inligting
Organisatoriese kontrolesBylae A 5.18Bylae A 9.2.2
Bylae A 9.2.5
Bylae A 9.2.6		Toegangsregte
Organisatoriese kontrolesBylae A 5.19Bylae A 15.1.1Inligtingsekuriteit in Verskaffersverhoudings
Organisatoriese kontrolesBylae A 5.20Bylae A 15.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
Organisatoriese kontrolesBylae A 5.21Bylae A 15.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
Organisatoriese kontrolesBylae A 5.22Bylae A 15.2.1
Bylae A 15.2.2		Monitering, hersiening en veranderingsbestuur van verskafferdienste
Organisatoriese kontrolesBylae A 5.23NUWEInligtingsekuriteit vir gebruik van wolkdienste
Organisatoriese kontrolesBylae A 5.24Bylae A 16.1.1Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur
Organisatoriese kontrolesBylae A 5.25Bylae A 16.1.4Assessering en besluit oor inligtingsekuriteitsgebeurtenisse
Organisatoriese kontrolesBylae A 5.26Bylae A 16.1.5Reaksie op inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.27Bylae A 16.1.6Leer uit inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.28Bylae A 16.1.7Versameling van bewyse
Organisatoriese kontrolesBylae A 5.29Bylae A 17.1.1
Bylae A 17.1.2
Bylae A 17.1.3		Inligtingsekuriteit tydens ontwrigting
Organisatoriese kontrolesBylae A 5.30NUWEIKT-gereedheid vir besigheidskontinuïteit
Organisatoriese kontrolesBylae A 5.31Bylae A 18.1.1
Bylae A 18.1.5		Wetlike, statutêre, regulatoriese en kontraktuele vereistes
Organisatoriese kontrolesBylae A 5.32Bylae A 18.1.2Intellektuele eiendomsregte
Organisatoriese kontrolesBylae A 5.33Bylae A 18.1.3Beskerming van rekords
Organisatoriese kontrolesBylae A 5.34 Bylae A 18.1.4Privaatheid en beskerming van PII
Organisatoriese kontrolesBylae A 5.35Bylae A 18.2.1Onafhanklike oorsig van inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.36Bylae A 18.2.2
Bylae A 18.2.3		Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.37Bylae A 12.1.1Gedokumenteerde bedryfsprosedures

ISO 27001:2022 Mensekontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Mense beheerBylae A 6.1Bylae A 7.1.1Screening
Mense beheerBylae A 6.2Bylae A 7.1.2Terme en diensvoorwaardes
Mense beheerBylae A 6.3Bylae A 7.2.2Bewusmaking, onderwys en opleiding van inligtingsekuriteit
Mense beheerBylae A 6.4Bylae A 7.2.3Dissiplinêre Proses
Mense beheerBylae A 6.5Bylae A 7.3.1Verantwoordelikhede na beëindiging of verandering van diens
Mense beheerBylae A 6.6Bylae A 13.2.4Vertroulikheid of nie-openbaarmakingsooreenkomste
Mense beheerBylae A 6.7Bylae A 6.2.2Afstand werk
Mense beheerBylae A 6.8Bylae A 16.1.2
Bylae A 16.1.3		Rapportering van inligtingsekuriteitsgebeurtenisse

ISO 27001:2022 Fisiese kontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Fisiese beheerBylae A 7.1Bylae A 11.1.1Fisiese sekuriteitsgrense
Fisiese beheerBylae A 7.2Bylae A 11.1.2
Bylae A 11.1.6		Fisiese toegang
Fisiese beheerBylae A 7.3Bylae A 11.1.3Beveiliging van kantore, kamers en fasiliteite
Fisiese beheerBylae A 7.4NUWEFisiese sekuriteitsmonitering
Fisiese beheerBylae A 7.5Bylae A 11.1.4Beskerming teen fisiese en omgewingsbedreigings
Fisiese beheerBylae A 7.6Bylae A 11.1.5Werk in veilige gebiede
Fisiese beheerBylae A 7.7Bylae A 11.2.9Duidelike lessenaar en duidelike skerm
Fisiese beheerBylae A 7.8Bylae A 11.2.1Toerustingopstelling en beskerming
Fisiese beheerBylae A 7.9Bylae A 11.2.6Sekuriteit van bates buite die perseel
Fisiese beheerBylae A 7.10Bylae A 8.3.1
Bylae A 8.3.2
Bylae A 8.3.3
 Bylae A 11.2.5		Berging media
Fisiese beheerBylae A 7.11Bylae A 11.2.2Ondersteunende nutsprogramme
Fisiese beheerBylae A 7.12Bylae A 11.2.3Bekabeling sekuriteit
Fisiese beheerBylae A 7.13Bylae A 11.2.4Onderhoud van toerusting
Fisiese beheerBylae A 7.14Bylae A 11.2.7Veilige wegdoening of hergebruik van toerusting

ISO 27001:2022 Tegnologiese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Tegnologiese kontrolesBylae A 8.1Bylae A 6.2.1
Bylae A 11.2.8		Gebruikerseindpunttoestelle
Tegnologiese kontrolesBylae A 8.2Bylae A 9.2.3Bevoorregte toegangsregte
Tegnologiese kontrolesBylae A 8.3Bylae A 9.4.1Inligtingtoegangbeperking
Tegnologiese kontrolesBylae A 8.4Bylae A 9.4.5Toegang tot bronkode
Tegnologiese kontrolesBylae A 8.5Bylae A 9.4.2Veilige verifikasie
Tegnologiese kontrolesBylae A 8.6Bylae A 12.1.3Kapasiteitsbestuur
Tegnologiese kontrolesBylae A 8.7Bylae A 12.2.1Beskerming teen wanware
Tegnologiese kontrolesBylae A 8.8Bylae A 12.6.1
Bylae A 18.2.3		Bestuur van Tegniese Kwesbaarhede
Tegnologiese kontrolesBylae A 8.9NUWEKonfigurasiebestuur
Tegnologiese kontrolesBylae A 8.10NUWEInligting skrap
Tegnologiese kontrolesBylae A 8.11NUWEDatamaskering
Tegnologiese kontrolesBylae A 8.12NUWEVoorkoming van datalekkasies
Tegnologiese kontrolesBylae A 8.13Bylae A 12.3.1Inligting rugsteun
Tegnologiese kontrolesBylae A 8.14Bylae A 17.2.1Oortolligheid van inligtingsverwerkingsfasiliteite
Tegnologiese kontrolesBylae A 8.15Bylae A 12.4.1
Bylae A 12.4.2
Bylae A 12.4.3		Logging
Tegnologiese kontrolesBylae A 8.16NUWEMoniteringsaktiwiteite
Tegnologiese kontrolesBylae A 8.17Bylae A 12.4.4Kloksynchronisasie
Tegnologiese kontrolesBylae A 8.18Bylae A 9.4.4Gebruik van bevoorregte nutsprogramme
Tegnologiese kontrolesBylae A 8.19Bylae A 12.5.1
Bylae A 12.6.2		Installering van sagteware op bedryfstelsels
Tegnologiese kontrolesBylae A 8.20Bylae A 13.1.1Netwerksekuriteit
Tegnologiese kontrolesBylae A 8.21Bylae A 13.1.2Sekuriteit van netwerkdienste
Tegnologiese kontrolesBylae A 8.22Bylae A 13.1.3Skeiding van netwerke
Tegnologiese kontrolesBylae A 8.23NUWEWebfiltrering
Tegnologiese kontrolesBylae A 8.24Bylae A 10.1.1
Bylae A 10.1.2		Gebruik van kriptografie
Tegnologiese kontrolesBylae A 8.25Bylae A 14.2.1Veilige ontwikkelingslewensiklus
Tegnologiese kontrolesBylae A 8.26Bylae A 14.1.2
Bylae A 14.1.3		Toepassingsekuriteitsvereistes
Tegnologiese kontrolesBylae A 8.27Bylae A 14.2.5Veilige stelselargitektuur en ingenieursbeginsels
Tegnologiese kontrolesBylae A 8.28NUWEVeilige kodering
Tegnologiese kontrolesBylae A 8.29Bylae A 14.2.8
Bylae A 14.2.9		Sekuriteitstoetsing in ontwikkeling en aanvaarding
Tegnologiese kontrolesBylae A 8.30Bylae A 14.2.7Uitgekontrakteerde Ontwikkeling
Tegnologiese kontrolesBylae A 8.31Bylae A 12.1.4
Bylae A 14.2.6		Skeiding van ontwikkeling-, toets- en produksie-omgewings
Tegnologiese kontrolesBylae A 8.32Bylae A 12.1.2
Bylae A 14.2.2
Bylae A 14.2.3
Bylae A 14.2.4		Veranderings bestuur
Tegnologiese kontrolesBylae A 8.33Bylae A 14.3.1Toets inligting
Tegnologiese kontrolesBylae A 8.34Bylae A 12.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online Help

ISMS.Online stel organisasies en besighede in staat om aan ISO 27001:2022-behoeftes te voldoen deur aan hulle 'n platform te voorsien wat die bestuur, opdatering, toetsing en monitering van die doeltreffendheid van hul vertroulikheids- of nie-openbaarmakingsbeleide en -prosedures vergemaklik.

Ons bied 'n wolk-gebaseerde platform vir die administrasie van vertroulikheid en Bestuurstelsels vir inligtingsekuriteit, met nie-openbaarmakingsklousules, risikobestuur, beleide, planne en prosedures, alles op een gerieflike plek. Dit is eenvoudig om te gebruik, met 'n intuïtiewe koppelvlak wat dit maklik maak om te leer.

Kontak ons ​​vandag nog om reël 'n demonstrasie.

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind