ISO 27001:2022 Bijlage A Controle 5.17

Authenticatie-informatie

Boek een demo

sluiten,omhoog,op,handen,van,afwijken,groep,studenten,zittend

ISO 27001:2022 bijlage A Controle 5.17 stelt dat authenticatie-informatie veilig moet worden bewaard.

Dit betekent dat organisaties passende maatregelen moeten nemen beschermen gebruikersreferenties, zoals wachtwoorden en beveiligingsvragen, tegen ongeautoriseerde toegang. Zij moeten ook verzekeren dat gebruikers op een veilige manier toegang kunnen krijgen tot het systeem met hun inloggegevens. Bovendien moeten organisaties er ook voor zorgen dat gebruikers hun inloggegevens indien nodig opnieuw kunnen instellen.

Authenticatiegegevens (wachtwoorden, encryptiesleutels en kaartchips) geven toegang tot informatiesystemen die gevoelige gegevens bevatten.

Een slechte verwerking van authenticatie-informatie kan leiden tot ongeoorloofde toegang tot datasystemen en het verlies van vertrouwelijkheid, beschikbaarheid en integriteit van gevoelige gegevens.

Wat is het doel van ISO 27001:2022 bijlage A Controle 5.17?

Bijlage A Controle 5.17 stelt organisaties in staat om authenticatie-informatie effectief toe te wijzen en te beheren, waardoor storingen in het authenticatieproces worden vermeden en bescherming wordt geboden tegen veiligheidsrisico's die zouden kunnen voortvloeien uit de manipulatie van authenticatie-informatie.

Eigendom van bijlage A 5.17

ISO 27001:2022 Bijlage A Controle 5.17 vereist het vaststellen en implementeren van organisatiebrede regels, procedures en maatregelen voor de toewijzing en het beheer van authenticatie-informatie. Ambtenaren op het gebied van informatiebeveiliging moet ervoor zorgen dat deze controle wordt nageleefd.

Bijlage A 5.17 Leidraad voor de toewijzing van authenticatie-informatie

Organisaties moeten zich houden aan deze zes vereisten voor de toewijzing en het beheer van authenticatie-informatie:

  • Bij de inschrijving van nieuwe gebruikers mogen automatisch gegenereerde persoonlijke wachtwoorden en persoonlijke identificatienummers niet te raden zijn. Bovendien moet elke gebruiker een uniek wachtwoord hebben en is het verplicht om wachtwoorden na het eerste gebruik te wijzigen.
  • Organisaties moeten solide processen hebben om de identiteit van een gebruiker te controleren voordat deze nieuwe of vervangende authenticatie-informatie krijgt, of tijdelijke informatie krijgt.
  • Organisaties moeten de veilige overdracht van authenticatiegegevens naar individuen via beveiligde routes garanderen, en mogen dergelijke informatie niet via onveilige elektronische berichten (bijvoorbeeld gewone tekst) verzenden.
  • Gebruikers moeten ervoor zorgen dat ze de authenticatiegegevens hebben ontvangen.
  • Organisaties moeten snel handelen na het installeren van nieuwe IT-systemen en software en de standaard authenticatiegegevens meteen wijzigen.
  • Organisaties moeten registers opzetten en voortdurend bijhouden van alle belangrijke gebeurtenissen met betrekking tot het beheer en de toewijzing van authenticatie-informatie. Deze gegevens moeten privé worden gehouden en de methoden voor het bijhouden van gegevens moeten worden geautoriseerd, bijvoorbeeld met behulp van een geautoriseerde wachtwoordtool.

Bijlage A 5.17 Leidraad voor verantwoordelijkheden van gebruikers

Gebruikers met toegang tot authenticatie-informatie moeten worden geïnstrueerd om zich aan het volgende te houden:

  • Gebruikers moeten geheime authenticatie-informatie, zoals wachtwoorden, vertrouwelijk houden en deze met niemand anders delen. Wanneer meerdere gebruikers betrokken zijn bij het gebruik van authenticatie-informatie of de informatie is gekoppeld aan niet-persoonlijke entiteiten, mogen zij deze niet bekendmaken aan onbevoegde personen.
  • Gebruikers moeten hun wachtwoord onmiddellijk wijzigen als de geheimhouding van hun wachtwoord is geschonden.
  • Gebruikers moeten moeilijk te raden, sterke wachtwoorden kiezen die voldoen aan de industriestandaarden. Bijvoorbeeld:
    • Wachtwoorden mogen niet gebaseerd zijn op persoonlijke informatie die gemakkelijk kan worden verkregen, zoals namen of geboortedata.
    • Wachtwoorden mogen niet gebaseerd zijn op informatie die gemakkelijk te raden is.
    • Wachtwoorden mogen geen veel voorkomende woorden of woordreeksen bevatten.
    • Gebruik alfanumerieke tekens en speciale tekens in uw wachtwoord.
    • Wachtwoorden moeten een minimumlengtevereiste hebben.
  • Gebruikers mogen niet voor verschillende diensten hetzelfde wachtwoord gebruiken.
  • Organisaties moeten hun werknemers de verantwoordelijkheid laten nemen voor het aanmaken en gebruiken van wachtwoorden in hun arbeidsovereenkomsten.

Bijlage A 5.17 Leidraad voor wachtwoordbeheersystemen

Organisaties moeten het volgende in acht nemen bij het opzetten van een wachtwoordbeheersysteem:

  • Gebruikers moeten de mogelijkheid hebben om hun wachtwoorden aan te maken en te wijzigen, met een verificatieprocedure om eventuele fouten bij het invoeren van gegevens op te sporen en te corrigeren.
  • Organisaties moeten zich houden aan de beste praktijken uit de sector bij het ontwikkelen van een robuust wachtwoordselectieproces.
  • Gebruikers moeten hun standaardwachtwoorden wijzigen wanneer ze voor het eerst toegang krijgen tot een systeem.
  • Het is essentieel om wachtwoorden te wijzigen wanneer dat nodig is. Bijvoorbeeld na een beveiligingsincident of wanneer een werknemer zijn baan verlaat en toegang heeft tot wachtwoorden, is een wachtwoordwijziging noodzakelijk.
  • Eerdere wachtwoorden mogen niet worden gerecycled.
  • Het gebruik van wachtwoorden die algemeen bekend zijn of waartoe toegang is verkregen via een inbreuk op de beveiliging, mag niet worden toegestaan ​​voor toegang tot gehackte systemen.
  • Wanneer wachtwoorden worden ingevoerd, moeten deze in duidelijke tekst op het scherm worden weergegeven.
  • Wachtwoorden moeten via beveiligde kanalen in een veilig formaat worden verzonden en opgeslagen.

Organisaties moeten ook hashing- en encryptieprocedures implementeren in overeenstemming met de goedgekeurde cryptografische methoden voor wachtwoorden zoals vermeld in bijlage A Controle 8.24 van ISO 27001:2022.

Aanvullend richtsnoer voor controle in bijlage A 5.17

Naast wachtwoorden zijn er ook andere vormen van authenticatie, zoals cryptografische sleutels, smartcards en biometrische gegevens zoals vingerafdrukken.

Organisaties moeten de ISO/IEC 24760-serie raadplegen voor verder advies over authenticatiegegevens.

Gezien het gedoe en de ergernis van het regelmatig wijzigen van wachtwoorden, kunnen organisaties alternatieven overwegen, zoals eenmalige aanmelding of wachtwoordkluizen. Er moet echter worden opgemerkt dat deze opties het risico vergroten dat vertrouwelijke authenticatie-informatie wordt blootgesteld aan ongeautoriseerde partijen.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 Bijlage A 5.17 is de vervanging van ISO 27001:2013 Bijlage A 9.2.4, 9.3.1 en 9.4.3.

ISO 27001:2022 bevat een nieuwe vereiste voor de toewijzing en het beheer van authenticatie-informatie

In 2013 waren de vereisten voor het toekennen en beheren van authenticatie-informatie zeer vergelijkbaar. ISO 27001:2022 Bijlage A Controle 5.17 heeft een vereiste ingevoerd die in 2013 nog niet bestond.

Organisaties moeten records aanmaken en bijhouden voor alle belangrijke gebeurtenissen die verband houden met het beheer en de distributie van authenticatie-informatie. Deze gegevens moeten vertrouwelijk worden behandeld, met geautoriseerde technieken voor het bijhouden van gegevens, bijvoorbeeld het gebruik van een geaccepteerde wachtwoordtool.

De versie 2022 bevat een aanvullende vereiste voor het gebruik van authenticatie-informatie

ISO 27001:2022 Bijlage A Controle 5.17 introduceert een vereiste voor gebruikersverantwoordelijkheden die niet gespecificeerd was in Controle 9.3.1 van de 2013-versie.

Organisaties moeten wachtwoordvereisten opnemen in hun contracten met werknemers en personeel. Dergelijke eisen moeten betrekking hebben op het aanmaken en gebruiken van wachtwoorden.

ISO 27001:2013 bevatte aanvullende vereisten voor gebruikersverantwoordelijkheden die niet waren opgenomen in de 2022-versie

In vergelijking met de 2022-versie bevatte Controle 9.3.1 het volgende mandaat voor het gebruik van authenticatiegegevens:

Gebruikers mogen niet dezelfde authenticatiegegevens, bijvoorbeeld een wachtwoord, gebruiken voor zowel werk- als privédoeleinden.

ISO 27001:2013 bevatte een aanvullende vereiste voor wachtwoordbeheersystemen die niet was opgenomen in de 2022-versie

Controle 9.4.3 van versie 2013 vereist dat wachtwoordbeheersystemen:

Zorg ervoor dat bestanden met wachtwoorden op een ander systeem worden bewaard dan het systeem waarop de applicatiegegevens worden gehost.

ISO 27001:2022 Bijlage A Controle 5.17 vereist dit niet.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.Online stelt organisaties en bedrijven in staat te voldoen aan de vereisten van ISO 27001:2022 door hen een platform te bieden dat het beheren, bijwerken, testen en monitoren van de effectiviteit van hun beleid en procedures op het gebied van vertrouwelijkheid of geheimhouding vergemakkelijkt.

Wij bieden een cloudgebaseerd platform voor het beheren van vertrouwelijkheid en Managementsystemen voor informatiebeveiliging, met geheimhoudingsclausules, risicobeheer, beleid, plannen en procedures, allemaal op één handige locatie. Het is eenvoudig te gebruiken, met een intuïtieve interface die het eenvoudig maakt om te leren.

Neem vandaag nog contact met ons op een demonstratie organiseren.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Bijgewerkt voor ISO 27001 2022
  • 81% van het werk wordt voor u gedaan
  • Methode met gegarandeerde resultaten voor succes bij certificering
  • Bespaar tijd, geld en moeite
Boek uw demo
img

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu