ISO 27001:2022 Bylae A 5.17 – Stawinginligting

Wat is die doel van ISO 27001:2022 Bylae A Beheer 5.17?

Bylae A Beheer 5.17 stel organisasies in staat om verifikasie-inligting effektief toe te ken en te bestuur, om onderbrekings in die stawingsproses te vermy en te waak teen sekuriteitsbedreigings wat kan voortspruit uit die manipulasie van verifikasie-inligting.

Eienaarskap van Bylae A 5.17

ISO 27001:2022 Bylae A Beheer 5.17 vereis die daarstelling en implementering van organisasiewye reëls, prosedures en maatreëls vir die toekenning en bestuur van stawinginligting. Inligtingsveiligheidsbeamptes moet die nakoming van hierdie beheer verseker.

Bylae A 5.17 Riglyne oor die toekenning van stawinginligting

Organisasies moet aan hierdie ses vereistes voldoen vir die toekenning en administrasie van stawinginligting:

• By die inskrywing van nuwe gebruikers, moet outomaties gegenereerde persoonlike wagwoorde en persoonlike identifikasienommers nie-raaibaar wees nie. Daarbenewens moet elke gebruiker 'n unieke wagwoord hê en dit is verpligtend om wagwoorde te verander na aanvanklike gebruik.
• Organisasies moet soliede prosesse hê om 'n gebruiker se identiteit na te gaan voordat hulle nuwe of vervangende stawinginligting gegee word, of van tydelike inligting voorsien word.
• Organisasies moet die veilige oordrag van verifikasiebesonderhede aan individue via veilige paaie waarborg, en moet nie sulke inligting oor onveilige elektroniese boodskappe (bv. gewone teks) stuur nie.
• Gebruikers moet seker maak dat hulle die stawingbesonderhede ontvang het.
• Organisasies moet vinnig optree nadat hulle nuwe IT-stelsels en sagteware geïnstalleer het, en die verstekstawingbesonderhede dadelik verander.
• Organisasies behoort alle belangrike gebeurtenisse met betrekking tot die bestuur en toewysing van stawinginligting op te stel en aanhoudend rekords te hou. Hierdie rekords moet privaat gehou word en metodes van rekordhouding moet gemagtig word, bv met die gebruik van 'n gemagtigde wagwoordhulpmiddel.

Bylae A 5.17 Riglyne oor Gebruikersverantwoordelikhede

Gebruikers met toegang tot stawinginligting moet opdrag gegee word om by die volgende te hou:

• Gebruikers moet geheime stawinginligting soos wagwoorde vertroulik hou en moet dit nie met enigiemand anders deel nie. Wanneer veelvuldige gebruikers betrokke is by die gebruik van stawinginligting of die inligting aan nie-persoonlike entiteite gekoppel is, moet hulle dit nie aan ongemagtigde individue bekend maak nie.
• Gebruikers moet hul wagwoorde dadelik verander as die geheimhouding van hul wagwoorde oortree is.
• Gebruikers moet moeilik raaibare, sterk wagwoorde kies in ooreenstemming met industriestandaarde. Byvoorbeeld:
• Wagwoorde moet nie gebaseer wees op persoonlike inligting wat maklik verkry kan word nie, soos name of geboortedatums.
• Wagwoorde moet nie gegrond wees op inligting wat maklik geraai kan word nie.
• Wagwoorde moet nie bestaan ​​uit woorde of rye van woorde wat algemeen is nie.
• Gebruik alfanumerieke en spesiale karakters in jou wagwoord.
• Wagwoorde moet 'n minimum lengtevereiste hê.
• Gebruikers moet nie dieselfde wagwoord vir verskeie dienste gebruik nie.
• Organisasies moet hul werknemers die verantwoordelikheid vir die skep en gebruik van wagwoorde in hul dienskontrakte laat aanvaar.

Bylae A 5.17 Riglyne oor wagwoordbestuurstelsels

Organisasies moet die volgende in ag neem wanneer hulle 'n wagwoordbestuurstelsel opstel:

• Gebruikers moet die vermoë hê om hul wagwoorde te skep en te verander, met 'n verifikasieprosedure in plek om enige foute op te spoor en reg te stel wanneer data ingevoer word.
• Organisasies moet by industrie se beste praktyke hou wanneer hulle 'n robuuste wagwoordkeuseproses ontwikkel.
• Gebruikers moet hul verstekwagwoorde verander wanneer hulle eers toegang tot 'n stelsel verkry.
• Dit is noodsaaklik om wagwoorde te verander wanneer toepaslik. Byvoorbeeld, na a veiligheidsvoorval of wanneer 'n werknemer hul werk verlaat en toegang tot wagwoorde gehad het, is 'n wagwoordverandering nodig.
• Vorige wagwoorde moet nie herwin word nie.
• Die gebruik van wagwoorde wat wyd bekend is, of waartoe toegang verkry is in 'n skending van sekuriteit, moet nie toegelaat word vir toegang tot enige gekapte stelsels nie.
• Wanneer wagwoorde ingevoer word, moet dit in duidelike teks op die skerm vertoon word.
• Wagwoorde moet deur veilige kanale in 'n veilige formaat versend en gestoor word.

Organisasies moet ook hashing- en enkripsieprosedures implementeer in ooreenstemming met die goedgekeurde kriptografiese metodes vir wagwoorde soos uiteengesit in Bylae A Beheer 8.24 van ISO 27001:2022.

Aanvullende leiding oor Bylae A Beheer 5.17

Benewens wagwoorde, ander vorme van verifikasie, soos kriptografiese sleutels, slimkaarte en biometriese data soos vingerafdrukke.

Organisasies moet na die ISO/IEC 24760-reeks kyk vir verdere advies oor verifikasiedata.

Met inagneming van die rompslomp en irritasie om wagwoorde gereeld te verander, kan organisasies alternatiewe soos enkelaanmelding of wagwoordkluise oorweeg. Daar moet egter op gelet word dat hierdie opsies die risiko verhoog dat vertroulike verifikasie-inligting aan ongemagtigde partye blootgestel word.

Veranderinge en verskille vanaf ISO 27001:2013

Die ISO 27001: 2022 Bylae A 5.17 is die vervanging vir ISO 27001:2013 Bylae A 9.2.4, 9.3.1 en 9.4.3.

ISO 27001:2022 bevat 'n nuwe vereiste vir die toekenning en bestuur van verifikasie-inligting

In 2013 was die vereistes vir die toekenning en bestuur van stawinginligting baie soortgelyk. ISO 27001:2022 Bylae A Beheer 5.17 'n vereiste ingestel wat nie in 2013 teenwoordig was nie.

Organisasies moet rekords skep en in stand hou vir alle belangrike gebeurtenisse wat verband hou met die bestuur en verspreiding van stawinginligting. Hierdie rekords moet vertroulik gehou word, met gemagtigde rekordhoudingstegnieke, byvoorbeeld die gebruik van 'n aanvaarde wagwoordhulpmiddel.

Die 2022-weergawe bevat 'n bykomende vereiste vir die gebruik van stawinginligting

ISO 27001:2022 Bylae A Beheer 5.17 stel 'n vereiste vir gebruikersverantwoordelikhede in wat nie in Beheer 9.3.1 van die 2013-weergawe gespesifiseer is nie.

Organisasies moet wagwoordvereistes in hul kontrakte met werknemers en personeel insluit. Sulke vereistes moet die skepping en gebruik van wagwoorde dek.

ISO 27001:2013 bevat 'n bykomende vereistes vir gebruikersverantwoordelikhede wat nie in die 2022-weergawe ingesluit is nie

In vergelyking met die 2022-weergawe, bevat Beheer 9.3.1 die volgende mandaat vir die gebruik van stawingsdata:

Gebruikers behoort nie dieselfde verifikasiebesonderhede, byvoorbeeld 'n wagwoord, vir beide werk- en nie-werkdoeleindes te gebruik nie.

ISO 27001:2013 bevat 'n bykomende vereiste vir wagwoordbestuurstelsels wat nie in die 2022-weergawe ingesluit is nie

Beheer 9.4.3 van die 2013-weergawe vereis dat wagwoordbestuurstelsels:

Maak seker dat lêers met wagwoorde op 'n ander stelsel gehou moet word as die een wat toepassingdata aanbied.

ISO 27001:2022 Bylae A Beheer 5.17 vereis dit nie.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.

Hoe ISMS.online Help

ISMS.Online stel organisasies en besighede in staat om aan ISO 27001:2022-behoeftes te voldoen deur aan hulle 'n platform te voorsien wat die bestuur, opdatering, toetsing en monitering van die doeltreffendheid van hul vertroulikheids- of nie-openbaarmakingsbeleide en -prosedures vergemaklik.

Ons bied 'n wolk-gebaseerde platform vir die administrasie van vertroulikheid en Bestuurstelsels vir inligtingsekuriteit, met nie-openbaarmakingsklousules, risikobestuur, beleide, planne en prosedures, alles op een gerieflike plek. Dit is eenvoudig om te gebruik, met 'n intuïtiewe koppelvlak wat dit maklik maak om te leer.

Kontak ons ​​vandag nog om reël 'n demonstrasie.