ISO 27001:2022 Bijlage A Controle 5.17

Bijlage A 5.17 Leidraad voor de toewijzing van authenticatie-informatie

Organisaties moeten zich houden aan deze zes vereisten voor de toewijzing en het beheer van authenticatie-informatie:

• Bij de inschrijving van nieuwe gebruikers mogen automatisch gegenereerde persoonlijke wachtwoorden en persoonlijke identificatienummers niet te raden zijn. Bovendien moet elke gebruiker een uniek wachtwoord hebben en is het verplicht om wachtwoorden na het eerste gebruik te wijzigen.
• Organisaties moeten solide processen hebben om de identiteit van een gebruiker te controleren voordat deze nieuwe of vervangende authenticatie-informatie krijgt, of tijdelijke informatie krijgt.
• Organisaties moeten de veilige overdracht van authenticatiegegevens naar individuen via beveiligde routes garanderen, en mogen dergelijke informatie niet via onveilige elektronische berichten (bijvoorbeeld gewone tekst) verzenden.
• Gebruikers moeten ervoor zorgen dat ze de authenticatiegegevens hebben ontvangen.
• Organisaties moeten snel handelen na het installeren van nieuwe IT-systemen en software en de standaard authenticatiegegevens meteen wijzigen.
• Organisaties moeten registers opzetten en voortdurend bijhouden van alle belangrijke gebeurtenissen met betrekking tot het beheer en de toewijzing van authenticatie-informatie. Deze gegevens moeten privé worden gehouden en de methoden voor het bijhouden van gegevens moeten worden geautoriseerd, bijvoorbeeld met behulp van een geautoriseerde wachtwoordtool.

Bijlage A 5.17 Leidraad voor verantwoordelijkheden van gebruikers

Gebruikers met toegang tot authenticatie-informatie moeten worden geïnstrueerd om zich aan het volgende te houden:

• Gebruikers moeten geheime authenticatie-informatie, zoals wachtwoorden, vertrouwelijk houden en deze met niemand anders delen. Wanneer meerdere gebruikers betrokken zijn bij het gebruik van authenticatie-informatie of de informatie is gekoppeld aan niet-persoonlijke entiteiten, mogen zij deze niet bekendmaken aan onbevoegde personen.
• Gebruikers moeten hun wachtwoord onmiddellijk wijzigen als de geheimhouding van hun wachtwoord is geschonden.
• Gebruikers moeten moeilijk te raden, sterke wachtwoorden kiezen die voldoen aan de industriestandaarden. Bijvoorbeeld:
• Wachtwoorden mogen niet gebaseerd zijn op persoonlijke informatie die gemakkelijk kan worden verkregen, zoals namen of geboortedata.
• Wachtwoorden mogen niet gebaseerd zijn op informatie die gemakkelijk te raden is.
• Wachtwoorden mogen geen veel voorkomende woorden of woordreeksen bevatten.
• Gebruik alfanumerieke tekens en speciale tekens in uw wachtwoord.
• Wachtwoorden moeten een minimumlengtevereiste hebben.
• Gebruikers mogen niet voor verschillende diensten hetzelfde wachtwoord gebruiken.
• Organisaties moeten hun werknemers de verantwoordelijkheid laten nemen voor het aanmaken en gebruiken van wachtwoorden in hun arbeidsovereenkomsten.

Bijlage A 5.17 Leidraad voor wachtwoordbeheersystemen

Organisaties moeten het volgende in acht nemen bij het opzetten van een wachtwoordbeheersysteem:

• Gebruikers moeten de mogelijkheid hebben om hun wachtwoorden aan te maken en te wijzigen, met een verificatieprocedure om eventuele fouten bij het invoeren van gegevens op te sporen en te corrigeren.
• Organisaties moeten zich houden aan de beste praktijken uit de sector bij het ontwikkelen van een robuust wachtwoordselectieproces.
• Gebruikers moeten hun standaardwachtwoorden wijzigen wanneer ze voor het eerst toegang krijgen tot een systeem.
• Het is essentieel om wachtwoorden te wijzigen wanneer dat nodig is. Bijvoorbeeld na een beveiligingsincident of wanneer een werknemer zijn baan verlaat en toegang heeft tot wachtwoorden, is een wachtwoordwijziging noodzakelijk.
• Eerdere wachtwoorden mogen niet worden gerecycled.
• Het gebruik van wachtwoorden die algemeen bekend zijn of waartoe toegang is verkregen via een inbreuk op de beveiliging, mag niet worden toegestaan ​​voor toegang tot gehackte systemen.
• Wanneer wachtwoorden worden ingevoerd, moeten deze in duidelijke tekst op het scherm worden weergegeven.
• Wachtwoorden moeten via beveiligde kanalen in een veilig formaat worden verzonden en opgeslagen.

Organisaties moeten ook hashing- en encryptieprocedures implementeren in overeenstemming met de goedgekeurde cryptografische methoden voor wachtwoorden zoals vermeld in bijlage A Controle 8.24 van ISO 27001:2022.

Aanvullend richtsnoer voor controle in bijlage A 5.17

Naast wachtwoorden zijn er ook andere vormen van authenticatie, zoals cryptografische sleutels, smartcards en biometrische gegevens zoals vingerafdrukken.

Organisaties moeten de ISO/IEC 24760-serie raadplegen voor verder advies over authenticatiegegevens.

Gezien het gedoe en de ergernis van het regelmatig wijzigen van wachtwoorden, kunnen organisaties alternatieven overwegen, zoals eenmalige aanmelding of wachtwoordkluizen. Er moet echter worden opgemerkt dat deze opties het risico vergroten dat vertrouwelijke authenticatie-informatie wordt blootgesteld aan ongeautoriseerde partijen.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 Bijlage A 5.17 is de vervanging van ISO 27001:2013 Bijlage A 9.2.4, 9.3.1 en 9.4.3.

ISO 27001:2022 bevat een nieuwe vereiste voor de toewijzing en het beheer van authenticatie-informatie

In 2013 waren de vereisten voor het toekennen en beheren van authenticatie-informatie zeer vergelijkbaar. ISO 27001:2022 Bijlage A Controle 5.17 heeft een vereiste ingevoerd die in 2013 nog niet bestond.

Organisaties moeten records aanmaken en bijhouden voor alle belangrijke gebeurtenissen die verband houden met het beheer en de distributie van authenticatie-informatie. Deze gegevens moeten vertrouwelijk worden behandeld, met geautoriseerde technieken voor het bijhouden van gegevens, bijvoorbeeld het gebruik van een geaccepteerde wachtwoordtool.

De versie 2022 bevat een aanvullende vereiste voor het gebruik van authenticatie-informatie

ISO 27001:2022 Bijlage A Controle 5.17 introduceert een vereiste voor gebruikersverantwoordelijkheden die niet gespecificeerd was in Controle 9.3.1 van de 2013-versie.

Organisaties moeten wachtwoordvereisten opnemen in hun contracten met werknemers en personeel. Dergelijke eisen moeten betrekking hebben op het aanmaken en gebruiken van wachtwoorden.

ISO 27001:2013 bevatte aanvullende vereisten voor gebruikersverantwoordelijkheden die niet waren opgenomen in de 2022-versie

In vergelijking met de 2022-versie bevatte Controle 9.3.1 het volgende mandaat voor het gebruik van authenticatiegegevens:

Gebruikers mogen niet dezelfde authenticatiegegevens, bijvoorbeeld een wachtwoord, gebruiken voor zowel werk- als privédoeleinden.

ISO 27001:2013 bevatte een aanvullende vereiste voor wachtwoordbeheersystemen die niet was opgenomen in de 2022-versie

Controle 9.4.3 van versie 2013 vereist dat wachtwoordbeheersystemen:

Zorg ervoor dat bestanden met wachtwoorden op een ander systeem worden bewaard dan het systeem waarop de applicatiegegevens worden gehost.

ISO 27001:2022 Bijlage A Controle 5.17 vereist dit niet.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

Hoe ISMS.online helpt

ISMS.Online stelt organisaties en bedrijven in staat te voldoen aan de vereisten van ISO 27001:2022 door hen een platform te bieden dat het beheren, bijwerken, testen en monitoren van de effectiviteit van hun beleid en procedures op het gebied van vertrouwelijkheid of geheimhouding vergemakkelijkt.

Wij bieden een cloudgebaseerd platform voor het beheren van vertrouwelijkheid en Managementsystemen voor informatiebeveiliging, met geheimhoudingsclausules, risicobeheer, beleid, plannen en procedures, allemaal op één handige locatie. Het is eenvoudig te gebruiken, met een intuïtieve interface die het eenvoudig maakt om te leren.

Neem vandaag nog contact met ons op een demonstratie organiseren.