Stawingsinligting soos wagwoorde, enkripsiesleutels en kaartskyfies is die poort na inligtingstelsels wat sensitiewe inligtingbates huisves.
Swak bestuur of onbehoorlike toekenning van stawinginligting kan lei tot ongemagtigde toegang tot inligtingstelsels en tot die verlies van vertroulikheid, beskikbaarheid en integriteit van sensitiewe inligtingbates.
Byvoorbeeld, GoodFirm se 2021-navorsing toon dat 30% van alle data-oortredings plaasvind as gevolg van swak wagwoorde of swak wagwoordbestuurspraktyke.
Daarom moet organisasies 'n robuuste verifikasie-inligtingbestuursproses in plek hê om verifikasie-inligting toe te wys, te bestuur en te beskerm.
Beheer 5.17 stel organisasies in staat om verifikasie-inligting behoorlik toe te ken en te bestuur, risiko's van mislukking in die stawingsproses uit te skakel en sekuriteitsrisiko's te voorkom wat kan ontstaan as gevolg van die kompromie van verifikasie-inligting.
Beheer 5.17 is 'n voorkomende tipe beheer wat van organisasies vereis om 'n toepaslike stawinginligtingbestuursproses daar te stel en te implementeer.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | # Identiteit en toegangsbestuur | #Beskerming |
As in ag geneem word dat Beheer 5.17 daarstelling en implementering van organisasiewye reëls, prosedures en maatreëls vir die toekenning en bestuur van stawinginligting behels, behoort inligtingsekuriteitsbeamptes verantwoordelik te wees vir die nakoming van Beheer 5.17.
Organisasies moet aan die volgende ses vereistes voldoen vir die toekenning en bestuur van stawinginligting:
Gebruikers wat toegang tot stawinginligting het en gebruik, moet opdrag gegee word om aan die volgende te voldoen:
Organisasies moet aan die volgende voldoen wanneer hulle 'n wagwoordbestuurstelsel daarstel:
Verder moet organisasies hashing- en enkripsietegnieke uitvoer in ooreenstemming met die gemagtigde kriptografiemetodes vir wagwoorde soos uiteengesit in Beheer 8.24.
Benewens wagwoorde, is daar ander soorte verifikasie-inligting soos kriptografiese sleutels, slimkaarte en biometriese data soos vingerafdrukke.
Organisasies word aangeraai om na ISO/IEC 24760-reeks te verwys vir meer gedetailleerde leiding oor verifikasie-inligting.
Aangesien gereelde verandering van wagwoorde omslagtig en irriterend vir gebruikers kan wees, kan organisasies oorweeg om alternatiewe metodes soos enkelaanmelding of wagwoordkluise te implementeer. Daar moet egter kennis geneem word dat hierdie alternatiewe metodes verifikasie-inligting aan 'n groter risiko van ongemagtigde openbaarmaking kan blootstel.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
27002:2022/5.17 vervang 27002:2013/(9.2.4, 9.3.1 9.4.3)
Alhoewel die 2013- en die 2022-weergawe baie soortgelyk is in terme van die vereistes vir die toekenning en bestuur van stawinginligting, stel die Beheer 5.17 in die 2022-weergawe die volgende vereiste in, wat nie in die 2013-weergawe ingesluit is nie:
Beheer 5.17 stel die volgende vereiste vir gebruikerverantwoordelikhede bekend waarna nie in Beheer 9.3.1 in die 2013-weergawe verwys is nie.
In teenstelling met die 2022-weergawe, bevat Beheer 9.3.1 die volgende vereiste vir die gebruik van stawinginligting:
Beheer 9.4.3 in die 2013-weergawe het die volgende vereiste vir wagwoordbestuurstelsels ingesluit.
Beheer 5.17 in die 2022-weergawe het inteendeel nie hierdie vereiste bevat nie.
ISMS.Online help organisasies en besighede om aan die vereistes van ISO 27002 te voldoen deur aan hulle 'n platform te bied wat dit maklik maak om hul vertroulikheid of nie-openbaarmakingsbeleide en -prosedures te bestuur, dit op te dateer soos nodig, dit te toets en hul doeltreffendheid te monitor.
Ons bied 'n wolkgebaseerde platform vir die bestuur van vertroulikheids- en inligtingsekuriteitbestuurstelsels, insluitend nie-openbaarmakingsklousules, risikobestuur, beleide, planne en prosedures, op een sentrale plek. Die platform is maklik om te gebruik en het 'n intuïtiewe koppelvlak wat dit maklik maak om te leer hoe om te gebruik.
Kontak ons vandag nog om beplan 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |