ISO 27001:2022 Bijlage A 8.5 – Veilige authenticatie

ISO 27001:2022 Bijlage A 8.5 schrijft veilige authenticatiemechanismen voor om ongeautoriseerde toegang te voorkomen. Hierbij worden multi-factor-authenticatie (MFA), biometrische logins en slimme toegangscontroles aanbevolen voor verbeterde beveiliging.

Demo Aanvragen
Auteur
Max Edwards
Bijgewerkt op 3 februari 2025
LinkedIn Twitter Twitter

Doel van ISO 27001:2022 Bijlage A 8.5

Veilige authenticatie is de belangrijkste manier waarop gebruikers, zowel menselijke als niet-menselijke, toegang krijgen tot de ICT-middelen van een organisatie.

In de afgelopen tien jaar heeft de authenticatietechnologie een grote transformatie ondergaan van klassieke gebruikersnaam-/wachtwoordvalidatie naar een verscheidenheid aan aanvullende methoden waarbij biometrische gegevens, logische en fysieke toegangscontroles, authenticatie van externe apparaten, sms-codes en eenmalige wachtwoorden (OTP) betrokken zijn. .

Bijlage A 8.5 biedt organisaties een raamwerk voor het controleren van de toegang tot hun ICT-systemen en -middelen via een beveiligde login-gateway. Er wordt precies beschreven hoe dit moet gebeuren.

ISO 27001:2022 Bijlage A Controle 8.5 is een preventieve maatregel welke houdt het risico in stand niveaus door technologie te introduceren en veilige authenticatieprocedures in te voeren, die ervoor zorgen dat menselijke en niet-menselijke gebruikers en identiteiten een veilig authenticatieproces doorlopen wanneer ze proberen toegang te krijgen tot ICT-bronnen.

Eigendom van bijlage A 8.5

ISO 27001:2022 bijlage A 8.5 gaat in op het vermogen van een organisatie om de toegang tot haar netwerk (en de gegevens en informatie die daarin zijn opgeslagen) op belangrijke punten te controleren, bijvoorbeeld een inlogportaal.

De controle heeft betrekking op de informatie- en gegevensbeveiliging als geheel, waarbij de operationele begeleiding zich vooral richt op technische aspecten.

De Hoofd IT (of gelijkwaardig) zou eigenaar moeten zijn vanwege de dagelijkse verantwoordelijkheid voor IT-beheertaken.



Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen


Algemene richtlijn voor ISO 27001:2022 bijlage A 8.5

Organisaties moeten rekening houden met het type en de gevoeligheid van de gegevens en het netwerk waartoe toegang wordt verkregen bij het overwegen van authenticatiecontroles. Voorbeelden van dergelijke controles zijn onder meer:

  • Slimme toegangscontroles (smartcards).
  • Biometrische logins.
  • Veilige tokens.
  • Multi-factor authenticatie (MFA).
  • Digitale certificaten.

Het primaire doel van de veilige authenticatiemaatregelen van een bedrijf moet het ontmoedigen en verminderen van de mogelijkheid van ongeoorloofde toegang tot de beveiligde systemen zijn.

Om dit te bereiken zet ISO 27001:2022 Annex A 8.5 twaalf belangrijkste richtlijnen uiteen. Bedrijven moeten:

  1. Zorg ervoor dat informatie alleen wordt weergegeven na een succesvol authenticatieproces.
  2. Toon vóór het inloggen een waarschuwingsbericht waarin duidelijk staat dat alleen geautoriseerde gebruikers toegang hebben tot de gegevens.
  3. Verminder de hulp die wordt gegeven aan onbevoegde mensen die proberen toegang te krijgen tot het systeem. Bedrijven mogen bijvoorbeeld niet onthullen welk deel van de login onjuist is, zoals een biometrische factor bij een login met meervoudige authenticatie, maar alleen vermelden dat de login niet heeft gewerkt.
  4. Verifieer de inlogpoging alleen als alle benodigde informatie aan de inlogservice is verstrekt, om de veiligheid te waarborgen.
  5. Implementeer industriestandaard beveiligingsmaatregelen ter bescherming tegen algemene toegang en brute force-aanvallen op inlogportals. Deze kunnen het volgende omvatten:

    • CAPTCHA is een beveiligingsfunctie waarbij u een reeks tekens moet invoeren om te verifiëren dat u een menselijke gebruiker bent.
    • Het afdwingen van een reset van een wachtwoord na een bepaald aantal mislukte inlogpogingen.
    • Na een bepaald aantal mislukte pogingen worden verdere aanmeldingen verijdeld. Om dit te voorkomen, stelt u een limiet in.
  6. Voor controle en veiligheid wordt elke mislukte inlogpoging genoteerd, ook voor strafrechtelijke en/of regelgevende procedures.
  7. Bij grote inlogverschillen, zoals een vermoedelijke inbraak, moet onmiddellijk een beveiligingsincident worden gestart. Intern personeel, met name degenen met systeembeheerderstoegang of de mogelijkheid kwaadwillige inlogpogingen te dwarsbomen, moet onmiddellijk op de hoogte worden gesteld.
  8. Zodra een succesvolle login is bevestigd, moeten bepaalde gegevens naar een andere repository worden verzonden, met details over:

    • De laatste succesvolle aanmelding vond plaats op [datum] om [tijd].
    • Registratie van alle inlogpogingen sinds de laatste geverifieerde aanmelding.
  9. Geef wachtwoorden weer als asterisken of andere soortgelijke abstracte symbolen, tenzij er een reden is om dit niet te doen (bijvoorbeeld toegankelijkheid voor gebruikers).
  10. Er wordt niet getolereerd dat wachtwoorden worden gedeeld of weergegeven in gewone, leesbare tekst.
  11. Zorg ervoor dat inactieve inlogsessies na een bepaald tijdsbestek worden beëindigd. Dit is vooral relevant voor sessies op locaties met een hoog risico (afstandswerk situaties) of op apparaten die eigendom zijn van de gebruiker, zoals persoonlijke laptops of mobiele telefoons.
  12. Beperk de duur gedurende welke een geauthenticeerde sessie open mag blijven, zelfs als deze actief is, afhankelijk van de gegevens waartoe toegang wordt verkregen (bijvoorbeeld essentiële bedrijfsinformatie of geldgerelateerde programma's).


Compliance hoeft niet ingewikkeld te zijn.

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen


Richtlijnen voor biometrische logins

De Internationale Organisatie voor Standaardisatie dringt erop aan dat biometrische inlogprocessen op zijn minst worden gecombineerd nog een andere inlogtechniek, vanwege hun relatieve effectiviteit en integriteit in vergelijking met traditionele methoden zoals wachtwoorden, MFA en tokens.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 8.5 vervangt ISO 27001:2013 Bijlage A 9.4.2 (Beveiligde inlogprotocollen).

ISO 27001:2022 Bijlage A 8.5 is een herziening van de versie uit 2013, met kleine wijzigingen in de taal en dezelfde beveiligingsprincipes die eraan ten grondslag liggen. Het document bevat nog steeds de 12 bekende richtpunten.

In lijn met het toegenomen gebruik van multi-factor authenticatie en biometrische login-technologieën in de afgelopen tien jaar, biedt ISO 27001:2022 Annex A 8.5 expliciete instructies over hoe organisaties deze technieken moeten integreren bij het formuleren van hun eigen login-controles.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Ons cloudgebaseerde platform voorziet u van een sterk raamwerk van informatiebeveiliging controles om het ISMS-proces te ondersteunen en ervoor te zorgen dat het voldoet aan de ISO 27001:2022-criteria. Correct gebruikt, ISMS.online kan u helpen bij het behalen van de certificering met minimale tijd en middelen.

Neem vandaag nog contact met ons op een demonstratie organiseren.

Ga naar onderwerp

Max Edwards

Max werkt als onderdeel van het marketingteam van ISMS.online en zorgt ervoor dat onze website wordt bijgewerkt met nuttige inhoud en informatie over alles wat met ISO 27001, 27002 en compliance te maken heeft.

ISMS-platformtour

Geïnteresseerd in een ISMS.online platform tour?

Start nu uw gratis interactieve demo van 2 minuten en ervaar de magie van ISMS.online in actie!

Probeer het gratis

Wij zijn een leider in ons vakgebied

Gebruikers houden van ons
Grid Leader - Lente 2025
Momentum Leader - Lente 2025
Regionale leider - voorjaar 2025 VK
Regionale leider - Lente 2025 EU
Beste schatting ROI onderneming - lente 2025
Meest waarschijnlijk om Enterprise aan te bevelen - Lente 2025

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

-Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

-Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

-Ben H.

SOC 2 is hier! Versterk uw beveiliging en bouw vandaag nog aan het vertrouwen van uw klanten met onze krachtige compliance-oplossing!