ISO 27701 – Klousule 6.6.3 – Gebruikersverantwoordelikhede

Klousule 6.6.3 van ISO/IEC 27701 skets gebruikersverantwoordelikhede in stawingsekuriteit, en beklemtoon die behoefte vir organisasies om sterk verifikasiemeganismes te implementeer en te bestuur om inligtingsekuriteit te beskerm.

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 25 Februarie 2025
LinkedIn Twitter Twitter

Verseker sterk verifikasie: Gebruikersverantwoordelikhede onder ISO 27701

Behoorlike en veilige stawingprosedures is die ruggraat van die meeste algemene en onderwerpspesifieke toegangsbeleide, of dit nou met PII of inligting, bates en data in die algemeen verband hou.

Maklik raaibare en swak saamgestelde wagwoorde is laaghangende vrugte vir voornemende kubermisdadigers wat toegang wil verkry tot 'n organisasie se PII, wat gewoonlik óf teruggekoop word, as reputasievoer gebruik word óf op die donker web aan die hoogste bieër verkoop word.

Gebruikers moet voldoen aan 'n streng toegepasde wagwoordbeleid wat generering, verspreiding, wagwoordkonstruksie dek en gebruik maak van beskikbare verifikasietegnologie (SSO, wagwoordkluise).

Wat word gedek in ISO 27701 Klousule 6.6.3

ISO 27702 6.6.3 bevat net een subklousule, wat saamgevoegde leiding van ISO 27002 bevat wat uiteensit hoe organisasies stawingsekuriteit moet benader:

  • ISO 27701 6.6.3.1 – Gebruik van geheime verifikasie-inligting (Verwysings ISO 27002 Beheer 5.17)

Daar is geen Britse GDPR-aanhalings om te oorweeg nie, en ISO verskaf ook geen PIMS- of PII-spesifieke riglyne om aan te voldoen nie.



Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


ISO 27701 Klousule 6.6.3.1 – Gebruik van geheime stawinginligting

Verwysings ISO 27002 Beheer 5.17

Uitreiking en bestuur van stawinginligting

Stawingbesonderhede moet versprei en bestuur word sodat:

  • Outomaties-gegenereerde stawinginligting (wagwoorde ens.) word geheim gehou vir enigiemand wat nie gemagtig is om dit te gebruik nie, is nie raaibaar nie en word bestuur op 'n manier wat 'n gebruiker dwing om dit te verander na aanvanklike aanmelding.
  • Voordat verifikasiebesonderhede uitgereik of vervang word, word prosedures ingestel om die identiteit van die individu wat dit benodig, te verifieer.
  • Die korrekte veilige kanale word gebruik om verifikasiebesonderhede oor te dra (dus nie per e-pos nie).
  • Nadat die besonderhede suksesvol gekommunikeer is aan wie dit ook al nodig het, erken die gebruiker(s) betyds ontvangs.
  • Enige verskaffer verskaf stawing inligting (soos die verstek gebruikersnaam en wagwoord routers en firewalls) word verander by ontvangs.
  • Rekords word gehou van relevante stawinggebeure – veral met betrekking tot die aanvanklike toekenning en daaropvolgende administrasie van stawingbesonderhede.

Enige personeel wat organisatoriese verifikasie-inligting gebruik, moet verseker dat:

  • Almal stawing besonderhede word streng vertroulik gehou.
  • As stawingbesonderhede óf gekompromitteer, bekyk of gedeel word deur enigiemand anders as die oorspronklike eienaar, word sulke besonderhede verander Onmiddellik.
  • Enige wagwoorde word geskep en/of gegenereer in ooreenstemming met die organisasie se wagwoordbeleid, en wagwoorde is uniek oor verskeie verskillende platforms (dws domeinwagwoorde is nie dieselfde as wolkdienswagwoorde nie).
  • Dienskontrakte bevat 'n uitdruklike vereiste om maatskappywagwoordbeleid te volg (sien ISO 27002 beheer 6.2).

Wagwoordbestuurstelsels

Organisasies moet dit oorweeg om 'n wagwoordbestuurstelsel (gespesialiseerde wagwoordbeheertoepassings) te implementeer wat:

  • Maak voorsiening vir gebruikers wat enige wagwoord wat hulle gebruik moet verander.
  • Is geprogrammeer om wagwoorde te verwerp wat buite die beste praktykriglyne val.
  • Dwing gebruikers om hul stelselgegenereerde wagwoord te verander nadat hulle dit vir die eerste keer gebruik het.
  • Laat nie die voortgesette gebruik van ou wagwoorde, of soortgelyke frases en alfanumeriese kombinasies toe nie.
  • Versteek wagwoorde terwyl hulle ingevoer word.
  • Stoor en stuur wagwoordinligting op 'n veilige manier.
  • Maak voorsiening vir wagwoordenkripsie en soortgelyke enkripsietegnieke (sien ISO 27002 beheer 8.24).

Wagwoord Data

Om PII te beskerm en organisatoriese privaatheidbeskermingspogings te verbeter, moet wagwoorde vier riglyne volg:

  • Wagwoorde moet nie rondom raaibare of biografiese inligting saamgestel word nie.
  • Wagwoorde moet geen herkenbare woorde bevat nie, in plaas van ewekansige alfanumeriese karakters.
  • Spesiale karakters moet gebruik word om wagwoordkompleksiteit te verhoog.
  • Alle wagwoorde moet 'n minimum lengte hê (verkieslik 12 karakters).

Organisasies moet ook die gebruik van stawingsprotokolle soos Single Sign-On (SSO) oorweeg om wagwoordsekuriteit te verbeter, maar sulke maatreëls moet slegs oorweeg word saam met die organisasie se unieke tegniese en operasionele vereistes.

Relevante ISO 27002-kontroles

  • ISO 27002 6.2
  • ISO 27002 8.24


Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


Ondersteunende kontroles vanaf ISO 27002 en GDPR

ISO 27701 Klousule IdentifiseerderISO 27701 Klousule NaamISO 27002-vereisteGeassosieerde GDPR-artikels
6.6.3.1Gebruik van geheime verifikasie-inligting 5.17 – Verifikasieinligting vir ISO 27002Geen

Hoe ISMS.online help

Hoe help ons?

Deur 'n PIMS by jou ISMS op die ISMS.online platform te voeg, bly jou sekuriteitsposisie alles-in-een-plek en jy sal duplisering vermy waar die standaarde oorvleuel.

Met jou PIMS wat onmiddellik toeganklik is vir belangstellendes, was dit nog nooit so maklik om met die klik van 'n knoppie teen ISO 27002 en ISO 27701 te monitor, verslag te doen en te oudit nie.

Al die kenmerke wat jy nodig het:

  • ROPA maklik gemaak
  • Ingeboude risikobank
  • Veilige spasie vir DRR

Vind uit hoeveel tyd en geld jy sal bespaar op jou reis na 'n gekombineerde ISO 27002- en 27701-sertifisering deur ISMS.online te gebruik deur bespreek 'n demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!