ISO 27701, Klousule 6.6.3 – Gebruikersverantwoordelikhede

ISO 27701 Kontroles en klousules verduidelik

Bespreek 'n demo

data, sentrum, programmeerder, gebruik, digitaal, skootrekenaar, rekenaar,, onderhoud, dit, spesialis.

Behoorlike en veilige stawingprosedures is die ruggraat van die meeste algemene en onderwerpspesifieke toegangsbeleide, of dit nou met PII of inligting, bates en data in die algemeen verband hou.

Maklik raaibare en swak saamgestelde wagwoorde is laaghangende vrugte vir voornemende kubermisdadigers wat toegang wil verkry tot 'n organisasie se PII, wat gewoonlik óf teruggekoop word, as reputasievoer gebruik word óf op die donker web aan die hoogste bieër verkoop word.

Gebruikers moet voldoen aan 'n streng toegepasde wagwoordbeleid wat generering, verspreiding, wagwoordkonstruksie dek en gebruik maak van beskikbare verifikasietegnologie (SSO, wagwoordkluise).

Wat word gedek in ISO 27701 Klousule 6.6.3

ISO 27702 6.6.3 bevat net een subklousule, wat saamgevoegde leiding van ISO 27002 bevat wat uiteensit hoe organisasies stawingsekuriteit moet benader:

  • ISO 27701 6.6.3.1 – Gebruik van geheime verifikasie-inligting (Verwysings ISO 27002 Beheer 5.17)

Daar is geen Britse GDPR-aanhalings om te oorweeg nie, en ISO verskaf ook geen PIMS- of PII-spesifieke riglyne om aan te voldoen nie.

Bereik ISO 27701-sukses

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISO 27701 Klousule 6.6.3.1 – Gebruik van geheime stawinginligting

Verwysings ISO 27002 Beheer 5.17

Uitreiking en bestuur van stawinginligting

Stawingbesonderhede moet versprei en bestuur word sodat:

  • Outomaties-gegenereerde stawinginligting (wagwoorde ens.) word geheim gehou vir enigiemand wat nie gemagtig is om dit te gebruik nie, is nie raaibaar nie en word bestuur op 'n manier wat 'n gebruiker dwing om dit te verander na aanvanklike aanmelding.
  • Voordat verifikasiebesonderhede uitgereik of vervang word, word prosedures ingestel om die identiteit van die individu wat dit benodig, te verifieer.
  • Die korrekte veilige kanale word gebruik om verifikasiebesonderhede oor te dra (dus nie per e-pos nie).
  • Nadat die besonderhede suksesvol gekommunikeer is aan wie dit ook al nodig het, erken die gebruiker(s) betyds ontvangs.
  • Enige verskaffer verskaf stawing inligting (soos die verstek gebruikersnaam en wagwoord routers en firewalls) word verander by ontvangs.
  • Rekords word gehou van relevante stawinggebeure – veral met betrekking tot die aanvanklike toekenning en daaropvolgende administrasie van stawingbesonderhede.

Enige personeel wat organisatoriese verifikasie-inligting gebruik, moet verseker dat:

  • Almal stawing besonderhede word streng vertroulik gehou.
  • As stawingbesonderhede óf gekompromitteer, bekyk of gedeel word deur enigiemand anders as die oorspronklike eienaar, word sulke besonderhede verander Onmiddellik.
  • Enige wagwoorde word geskep en/of gegenereer in ooreenstemming met die organisasie se wagwoordbeleid, en wagwoorde is uniek oor verskeie verskillende platforms (dws domeinwagwoorde is nie dieselfde as wolkdienswagwoorde nie).
  • Dienskontrakte bevat 'n uitdruklike vereiste om maatskappywagwoordbeleid te volg (sien ISO 27002 beheer 6.2).

Wagwoordbestuurstelsels

Organisasies moet dit oorweeg om 'n wagwoordbestuurstelsel (gespesialiseerde wagwoordbeheertoepassings) te implementeer wat:

  • Maak voorsiening vir gebruikers wat enige wagwoord wat hulle gebruik moet verander.
  • Is geprogrammeer om wagwoorde te verwerp wat buite die beste praktykriglyne val.
  • Dwing gebruikers om hul stelselgegenereerde wagwoord te verander nadat hulle dit vir die eerste keer gebruik het.
  • Laat nie die voortgesette gebruik van ou wagwoorde, of soortgelyke frases en alfanumeriese kombinasies toe nie.
  • Versteek wagwoorde terwyl hulle ingevoer word.
  • Stoor en stuur wagwoordinligting op 'n veilige manier.
  • Maak voorsiening vir wagwoordenkripsie en soortgelyke enkripsietegnieke (sien ISO 27002 beheer 8.24).

Wagwoord Data

Om PII te beskerm en organisatoriese privaatheidbeskermingspogings te verbeter, moet wagwoorde vier riglyne volg:

  • Wagwoorde moet nie rondom raaibare of biografiese inligting saamgestel word nie.
  • Wagwoorde moet geen herkenbare woorde bevat nie, in plaas van ewekansige alfanumeriese karakters.
  • Spesiale karakters moet gebruik word om wagwoordkompleksiteit te verhoog.
  • Alle wagwoorde moet 'n minimum lengte hê (verkieslik 12 karakters).

Organisasies moet ook die gebruik van stawingsprotokolle soos Single Sign-On (SSO) oorweeg om wagwoordsekuriteit te verbeter, maar sulke maatreëls moet slegs oorweeg word saam met die organisasie se unieke tegniese en operasionele vereistes.

Relevante ISO 27002-kontroles

  • ISO 27002 6.2
  • ISO 27002 8.24

Sien ISMS.online
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Ons is koste-effektief en vinnig

Ontdek hoe maklik ISO 27701 is met ISMS.online
Kry jou kwotasie

Ondersteunende kontroles vanaf ISO 27002 en GDPR

ISO 27701 Klousule IdentifiseerderISO 27701 Klousule NaamISO 27002 beheerGeassosieerde GDPR-artikels
6.6.3.1Gebruik van geheime verifikasie-inligting5.17 – Verifikasieinligting vir ISO 27002Geen

Hoe ISMS.online help

Hoe help ons?

Deur 'n PIMS by jou ISMS op die ISMS.online platform te voeg, bly jou sekuriteitsposisie alles-in-een-plek en jy sal duplisering vermy waar die standaarde oorvleuel.

Met jou PIMS wat onmiddellik toeganklik is vir belangstellendes, was dit nog nooit so maklik om met die klik van 'n knoppie teen ISO 27002 en ISO 27701 te monitor, verslag te doen en te oudit nie.

Al die kenmerke wat jy nodig het:

  • ROPA maklik gemaak
  • Ingeboude risikobank
  • Veilige spasie vir DRR

Vind uit hoeveel tyd en geld jy sal bespaar op jou reis na 'n gekombineerde ISO 27002- en 27701-sertifisering deur ISMS.online te gebruik deur bespreek 'n demo.

ISMS.online is 'n
eenstopoplossing wat ons implementering radikaal bespoedig het.

Evan Harris
stigter en bedryfshoof, vurig

Bespreek jou demo

Ons kan nie aan enige maatskappy dink wie se diens by ISMS.online kan kers vashou nie.
Vivian Kroner
ISO 27001, 27701 en GDPR hoofimplementeerder Aperian Global
100% van ons gebruikers slaag die eerste keer sertifisering
Bespreek jou demo

Stroomlyn jou werkvloei met ons nuwe Jira-integrasie! Kom meer te wete hier.