ISO 27001:2022 Bylae A Beheer 8.5

Veilige verifikasie

Bespreek 'n demo

naby, op, van, afrikaanse, kind, blaai, internet, op, skootrekenaar., hande

Doel van ISO 27001:2022 Bylae A 8.5

Veilige stawing is die belangrikste manier waarop gebruikers, beide menslike en nie-menslike, toegang tot 'n organisasie se IKT-hulpbronne verkry.

In die afgelope tien jaar het stawingstegnologie 'n groot transformasie beleef van klassieke gebruikersnaam/wagwoordvalidering na 'n verskeidenheid aanvullende metodes wat biometriese data, logiese en fisiese toegangskontroles, eksterne toestelverifikasies, SMS-kodes en eenmalige wagwoorde (OTP) behels. .

Bylae A 8.5 verskaf aan organisasies 'n raamwerk vir die beheer van toegang tot hul IKT-stelsels en bates via 'n veilige aanmeldpoort. Dit beskryf presies hoe dit gedoen moet word.

Die ISO 27001: 2022 Bylae A Beheer 8.5 is a voorkomende maatreël wat risiko handhaaf vlakke deur tegnologie bekend te stel en veilige verifikasieprosedures in te stel, wat verseker dat menslike en nie-menslike gebruikers en identiteite 'n veilige verifikasieproses onderneem wanneer hulle probeer om toegang tot IKT-hulpbronne te verkry.

Eienaarskap van Bylae A 8.5

ISO 27001:2022 Bylae A 8.5 spreek 'n organisasie se vermoë aan om toegang tot sy netwerk (en die data en inligting daarin gehuisves) te beheer by sleutelpunte, bv. 'n aanmeldportaal.

Die beheer dek inligting- en datasekuriteit as geheel, met die operasionele leiding wat hoofsaaklik op tegniese aspekte fokus.

Die Hoof van IT (of ekwivalent) behoort eienaarskap te hê as gevolg van die verantwoordelikheid van IT-administrasiepligte op 'n dag-tot-dag basis.

Spring na Onderwerp
100% ISO 27001 sukses

Jou eenvoudige, praktiese, tydbesparende pad na die eerste keer nakoming of sertifisering van ISO 27001

Bespreek jou demo
Metode van versekerde resultate

Algemene riglyne oor ISO 27001:2022 Bylae A 8.5

Organisasies moet die tipe en sensitiwiteit van die data en netwerk waartoe toegang verkry word in ag neem wanneer verifikasiekontroles oorweeg word. Voorbeelde van sulke kontroles sluit in:

  • Slim toegangskontroles (slimkaarte).

  • Biometriese aanmeldings.

  • Veilige tekens.

  • Multi-faktor-verifikasie (MFA).

  • Digitale sertifikate.

Die primêre doel van 'n maatskappy se veilige stawingmaatreëls moet wees om die moontlikheid van ongemagtigde toegang tot sy beveiligde stelsels af te weer en te verminder.

Om dit te bereik, stel ISO 27001:2022 Bylae A 8.5 twaalf voorste riglyne uiteen. Ondernemings moet:

  1. Maak seker dat inligting slegs vertoon word na 'n suksesvolle stawingsproses.

  2. Wys 'n waarskuwingsboodskap voor aanmelding wat duidelik aandui dat slegs gemagtigde gebruikers toegang tot die data mag verkry.

  3. Verminder die hulp wat gegee word aan ongemagtigde mense wat probeer om in die stelsel te kom. Besighede behoort byvoorbeeld nie te verklap watter deel van die aanmelding verkeerd was nie, soos 'n biometriese faktor van 'n multi-faktor-verifikasie-aanmelding – eerder net meld dat die aanmelding nie gewerk het nie.

  4. Verifieer die aanmeldpoging slegs wanneer alle nodige inligting aan die aanmelddiens verskaf is, om veiligheid te handhaaf.

  5. Implementeer industriestandaard sekuriteitsmaatreëls om te beskerm teen komberse toegang en brute force-aanvalle op aanmeldportale. Dit kan insluit:

    • CAPTCHA is 'n sekuriteitskenmerk wat vereis dat jy 'n string karakters invoer om te verifieer dat jy 'n menslike gebruiker is.

    • Afdwinging van 'n terugstelling van 'n wagwoord na 'n definitiewe aantal onsuksesvolle aanmeldpogings.

    • Na 'n sekere aantal onsuksesvolle pogings word verdere aanmeldings gedwarsboom. Om dit te voorkom, stel 'n limiet.

  6. Vir ouditering en sekuriteit sal elke mislukte aanmeldpoging aangeteken word, insluitend vir kriminele en/of regulatoriese verrigtinge.

  7. In die geval van enige groot aanmeldafwykings, soos 'n vermoedelike inbraak, moet 'n sekuriteitsvoorval onmiddellik begin word. Interne personeel, veral diegene met toegang tot stelseladministrateur of die vermoë om kwaadwillige aanmeldpogings te stuit, moet dadelik in kennis gestel word.

  8. Sodra 'n suksesvolle aanmelding bevestig is, moet sekere data na 'n ander bewaarplek oorgedra word met besonderhede:

    • Die laaste suksesvolle aanmelding het plaasgevind op [datum] om [tyd].

    • Rekord van alle pogings om aan te meld sedert die laaste geverifieerde aanmelding.

  9. Wys wagwoorde as sterretjies of ander soortgelyke abstrakte simbole, tensy daar 'n rede is om dit nie te doen nie (bv. gebruikerstoeganklikheid).

  10. Geen verdraagsaamheid vir wagwoorde om gedeel of vertoon te word in gewone, leesbare teks nie.

  11. Maak seker dat ledige aanmeldsessies na 'n vasgestelde tydraamwerk beëindig word. Dit is veral relevant vir sessies in hoërisiko-liggings (afgeleë werk situasies) of op toestelle wat deur gebruikers besit word, soos persoonlike skootrekenaars of selfone.

  12. Beperk die duur waarvoor 'n geverifieerde sessie oop mag bly, selfs wanneer dit aktief is, afhangende van die data waartoe toegang verkry word (bv. noodsaaklike besigheidsinligting of geldverwante programme).

Leiding oor biometriese aanmeldings

Die Internasionale Organisasie vir Standaardisering dring daarop aan dat biometriese aanmeldprosesse gekombineer word met ten minste een ander aanmeldtegniek, as gevolg van hul vergelykende doeltreffendheid en integriteit in vergelyking met tradisionele metodes soos wagwoorde, MFA en tokens.

Veranderinge en verskille vanaf ISO 27001:2013

ISO 27001:2022 Bylae A 8.5 vervang ISO 27001:2013 Bylae A 9.4.2 (Veilige aanmeldprotokolle).

ISO 27001:2022 Bylae A 8.5 is 'n hersiening van die 2013-weergawe, met geringe wysigings aan taal en dieselfde sekuriteitsbeginsels wat dit onderlê. Die dokument bevat steeds die 12 bekende riglyne.

In ooreenstemming met die toenemende gebruik van multi-faktor stawing en biometriese aanmeldtegnologieë oor die afgelope tien jaar, verskaf die ISO 27001:2022 Bylae A 8.5 eksplisiete instruksies oor hoe organisasies hierdie tegnieke moet inkorporeer wanneer hulle hul eie aanmeldkontroles formuleer.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.

ISO 27001:2022 Organisatoriese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Organisatoriese kontrolesBylae A 5.1Bylae A 5.1.1
Bylae A 5.1.2		Beleide vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.2Bylae A 6.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.3Bylae A 6.1.2Skeiding van pligte
Organisatoriese kontrolesBylae A 5.4Bylae A 7.2.1Bestuursverantwoordelikhede
Organisatoriese kontrolesBylae A 5.5Bylae A 6.1.3Kontak met owerhede
Organisatoriese kontrolesBylae A 5.6Bylae A 6.1.4Kontak met spesiale belangegroepe
Organisatoriese kontrolesBylae A 5.7NUWEBedreiging Intelligensie
Organisatoriese kontrolesBylae A 5.8Bylae A 6.1.5
Bylae A 14.1.1		Inligtingsekuriteit in projekbestuur
Organisatoriese kontrolesBylae A 5.9Bylae A 8.1.1
Bylae A 8.1.2		Inventaris van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.10Bylae A 8.1.3
Bylae A 8.2.3		Aanvaarbare gebruik van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.11Bylae A 8.1.4Teruggawe van bates
Organisatoriese kontrolesBylae A 5.12Bylae A 8.2.1Klassifikasie van inligting
Organisatoriese kontrolesBylae A 5.13Bylae A 8.2.2Etikettering van inligting
Organisatoriese kontrolesBylae A 5.14Bylae A 13.2.1
Bylae A 13.2.2
Bylae A 13.2.3		Inligtingsoordrag
Organisatoriese kontrolesBylae A 5.15Bylae A 9.1.1
Bylae A 9.1.2		Toegangsbeheer
Organisatoriese kontrolesBylae A 5.16Bylae A 9.2.1Identiteitsbestuur
Organisatoriese kontrolesBylae A 5.17Bylae A 9.2.4
Bylae A 9.3.1
Bylae A 9.4.3		Verifikasie inligting
Organisatoriese kontrolesBylae A 5.18Bylae A 9.2.2
Bylae A 9.2.5
Bylae A 9.2.6		Toegangsregte
Organisatoriese kontrolesBylae A 5.19Bylae A 15.1.1Inligtingsekuriteit in Verskaffersverhoudings
Organisatoriese kontrolesBylae A 5.20Bylae A 15.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
Organisatoriese kontrolesBylae A 5.21Bylae A 15.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
Organisatoriese kontrolesBylae A 5.22Bylae A 15.2.1
Bylae A 15.2.2		Monitering, hersiening en veranderingsbestuur van verskafferdienste
Organisatoriese kontrolesBylae A 5.23NUWEInligtingsekuriteit vir gebruik van wolkdienste
Organisatoriese kontrolesBylae A 5.24Bylae A 16.1.1Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur
Organisatoriese kontrolesBylae A 5.25Bylae A 16.1.4Assessering en besluit oor inligtingsekuriteitsgebeurtenisse
Organisatoriese kontrolesBylae A 5.26Bylae A 16.1.5Reaksie op inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.27Bylae A 16.1.6Leer uit inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.28Bylae A 16.1.7Versameling van bewyse
Organisatoriese kontrolesBylae A 5.29Bylae A 17.1.1
Bylae A 17.1.2
Bylae A 17.1.3		Inligtingsekuriteit tydens ontwrigting
Organisatoriese kontrolesBylae A 5.30NUWEIKT-gereedheid vir besigheidskontinuïteit
Organisatoriese kontrolesBylae A 5.31Bylae A 18.1.1
Bylae A 18.1.5		Wetlike, statutêre, regulatoriese en kontraktuele vereistes
Organisatoriese kontrolesBylae A 5.32Bylae A 18.1.2Intellektuele eiendomsregte
Organisatoriese kontrolesBylae A 5.33Bylae A 18.1.3Beskerming van rekords
Organisatoriese kontrolesBylae A 5.34 Bylae A 18.1.4Privaatheid en beskerming van PII
Organisatoriese kontrolesBylae A 5.35Bylae A 18.2.1Onafhanklike oorsig van inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.36Bylae A 18.2.2
Bylae A 18.2.3		Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.37Bylae A 12.1.1Gedokumenteerde bedryfsprosedures

ISO 27001:2022 Mensekontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Mense beheerBylae A 6.1Bylae A 7.1.1Screening
Mense beheerBylae A 6.2Bylae A 7.1.2Terme en diensvoorwaardes
Mense beheerBylae A 6.3Bylae A 7.2.2Bewusmaking, onderwys en opleiding van inligtingsekuriteit
Mense beheerBylae A 6.4Bylae A 7.2.3Dissiplinêre Proses
Mense beheerBylae A 6.5Bylae A 7.3.1Verantwoordelikhede na beëindiging of verandering van diens
Mense beheerBylae A 6.6Bylae A 13.2.4Vertroulikheid of nie-openbaarmakingsooreenkomste
Mense beheerBylae A 6.7Bylae A 6.2.2Afstand werk
Mense beheerBylae A 6.8Bylae A 16.1.2
Bylae A 16.1.3		Rapportering van inligtingsekuriteitsgebeurtenisse

ISO 27001:2022 Fisiese kontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Fisiese beheerBylae A 7.1Bylae A 11.1.1Fisiese sekuriteitsgrense
Fisiese beheerBylae A 7.2Bylae A 11.1.2
Bylae A 11.1.6		Fisiese toegang
Fisiese beheerBylae A 7.3Bylae A 11.1.3Beveiliging van kantore, kamers en fasiliteite
Fisiese beheerBylae A 7.4NUWEFisiese sekuriteitsmonitering
Fisiese beheerBylae A 7.5Bylae A 11.1.4Beskerming teen fisiese en omgewingsbedreigings
Fisiese beheerBylae A 7.6Bylae A 11.1.5Werk in veilige gebiede
Fisiese beheerBylae A 7.7Bylae A 11.2.9Duidelike lessenaar en duidelike skerm
Fisiese beheerBylae A 7.8Bylae A 11.2.1Toerustingopstelling en beskerming
Fisiese beheerBylae A 7.9Bylae A 11.2.6Sekuriteit van bates buite die perseel
Fisiese beheerBylae A 7.10Bylae A 8.3.1
Bylae A 8.3.2
Bylae A 8.3.3
 Bylae A 11.2.5		Berging media
Fisiese beheerBylae A 7.11Bylae A 11.2.2Ondersteunende nutsprogramme
Fisiese beheerBylae A 7.12Bylae A 11.2.3Bekabeling sekuriteit
Fisiese beheerBylae A 7.13Bylae A 11.2.4Onderhoud van toerusting
Fisiese beheerBylae A 7.14Bylae A 11.2.7Veilige wegdoening of hergebruik van toerusting

ISO 27001:2022 Tegnologiese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Tegnologiese kontrolesBylae A 8.1Bylae A 6.2.1
Bylae A 11.2.8		Gebruikerseindpunttoestelle
Tegnologiese kontrolesBylae A 8.2Bylae A 9.2.3Bevoorregte toegangsregte
Tegnologiese kontrolesBylae A 8.3Bylae A 9.4.1Inligtingtoegangbeperking
Tegnologiese kontrolesBylae A 8.4Bylae A 9.4.5Toegang tot bronkode
Tegnologiese kontrolesBylae A 8.5Bylae A 9.4.2Veilige verifikasie
Tegnologiese kontrolesBylae A 8.6Bylae A 12.1.3Kapasiteitsbestuur
Tegnologiese kontrolesBylae A 8.7Bylae A 12.2.1Beskerming teen wanware
Tegnologiese kontrolesBylae A 8.8Bylae A 12.6.1
Bylae A 18.2.3		Bestuur van Tegniese Kwesbaarhede
Tegnologiese kontrolesBylae A 8.9NUWEKonfigurasiebestuur
Tegnologiese kontrolesBylae A 8.10NUWEInligting skrap
Tegnologiese kontrolesBylae A 8.11NUWEDatamaskering
Tegnologiese kontrolesBylae A 8.12NUWEVoorkoming van datalekkasies
Tegnologiese kontrolesBylae A 8.13Bylae A 12.3.1Inligting rugsteun
Tegnologiese kontrolesBylae A 8.14Bylae A 17.2.1Oortolligheid van inligtingsverwerkingsfasiliteite
Tegnologiese kontrolesBylae A 8.15Bylae A 12.4.1
Bylae A 12.4.2
Bylae A 12.4.3		Logging
Tegnologiese kontrolesBylae A 8.16NUWEMoniteringsaktiwiteite
Tegnologiese kontrolesBylae A 8.17Bylae A 12.4.4Kloksynchronisasie
Tegnologiese kontrolesBylae A 8.18Bylae A 9.4.4Gebruik van bevoorregte nutsprogramme
Tegnologiese kontrolesBylae A 8.19Bylae A 12.5.1
Bylae A 12.6.2		Installering van sagteware op bedryfstelsels
Tegnologiese kontrolesBylae A 8.20Bylae A 13.1.1Netwerksekuriteit
Tegnologiese kontrolesBylae A 8.21Bylae A 13.1.2Sekuriteit van netwerkdienste
Tegnologiese kontrolesBylae A 8.22Bylae A 13.1.3Skeiding van netwerke
Tegnologiese kontrolesBylae A 8.23NUWEWebfiltrering
Tegnologiese kontrolesBylae A 8.24Bylae A 10.1.1
Bylae A 10.1.2		Gebruik van kriptografie
Tegnologiese kontrolesBylae A 8.25Bylae A 14.2.1Veilige ontwikkelingslewensiklus
Tegnologiese kontrolesBylae A 8.26Bylae A 14.1.2
Bylae A 14.1.3		Toepassingsekuriteitsvereistes
Tegnologiese kontrolesBylae A 8.27Bylae A 14.2.5Veilige stelselargitektuur en ingenieursbeginsels
Tegnologiese kontrolesBylae A 8.28NUWEVeilige kodering
Tegnologiese kontrolesBylae A 8.29Bylae A 14.2.8
Bylae A 14.2.9		Sekuriteitstoetsing in ontwikkeling en aanvaarding
Tegnologiese kontrolesBylae A 8.30Bylae A 14.2.7Uitgekontrakteerde Ontwikkeling
Tegnologiese kontrolesBylae A 8.31Bylae A 12.1.4
Bylae A 14.2.6		Skeiding van ontwikkeling-, toets- en produksie-omgewings
Tegnologiese kontrolesBylae A 8.32Bylae A 12.1.2
Bylae A 14.2.2
Bylae A 14.2.3
Bylae A 14.2.4		Veranderings bestuur
Tegnologiese kontrolesBylae A 8.33Bylae A 14.3.1Toets inligting
Tegnologiese kontrolesBylae A 8.34Bylae A 12.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online Help

Ons wolk-gebaseerde platform rus jou toe met 'n sterk raamwerk van inligting-sekuriteit kontroles om die ISMS-proses te help en te verseker dat dit aan die ISO 27001:2022-kriteria voldoen. Reg aangewend, ISMS.online kan jou help om sertifisering te behaal met minimale tyd en hulpbronne.

Kontak ons ​​vandag nog om reël 'n demonstrasie.

Sien ISMS.online
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind