ISO 27002:2022 – Controle 5.17 – Authenticatie-informatie

ISO 27002:2022 Control 5.17 richt zich op het veilig beheren van authenticatie-informatie (bijv. wachtwoorden, pincodes en encryptiesleutels) om ongeautoriseerde toegang te voorkomen. Het schetst best practices voor het genereren, verzenden en verwerken van credentials, terwijl naleving en verantwoordelijkheid van de gebruiker worden gewaarborgd.

Demo Aanvragen
Auteur
Max Edwards
Bijgewerkt op 10 februari 2025
LinkedIn Twitter Twitter

Veilig authenticatie-informatiebeheer: ISO 27002 Control 5.17 uitgelegd

Authenticatie-informatie zoals wachtwoorden, coderingssleutels en kaartchips vormen de toegangspoort tot informatiesystemen die gevoelige informatie bevatten.

Slecht beheer of onjuiste toewijzing van authenticatie-informatie kan resulteren in ongeoorloofde toegang tot informatiesystemen en in verlies van vertrouwelijkheid, beschikbaarheid en integriteit van gevoelige informatiemiddelen.

Bijvoorbeeld GoodFirms onderzoek uit 2021 laat zien dat 30% van alle datalekken het gevolg zijn van zwakke wachtwoorden of slecht wachtwoordbeheer.

Daarom moeten organisaties beschikken over een robuust proces voor het beheer van authenticatie-informatie om authenticatie-informatie toe te wijzen, te beheren en te beschermen.

Doel van de controle 5.17

Controle 5.17 stelt organisaties in staat om authenticatie-informatie op de juiste manier toe te wijzen en te beheren, de risico's van mislukking in het authenticatieproces te elimineren en veiligheidsrisico's te voorkomen die kunnen ontstaan ​​als gevolg van het compromitteren van authenticatie-informatie.

Kenmerken van controle 5.17

Controle 5.17 is een preventieve vorm van controle die van organisaties vereist dat zij een passend authenticatie-informatiebeheerproces opzetten en implementeren.

controle TypeEigenschappen voor informatiebeveiligingCyberbeveiligingsconceptenOperationele mogelijkhedenBeveiligingsdomeinen
#Preventief#Vertrouwelijkheid#Beschermen#Identiteits- en toegangsbeheer#Bescherming
#Integriteit
#Beschikbaarheid

Eigendom van zeggenschap 5.17

Gezien het feit dat Controle 5.17 het vaststellen en implementeren van regels, procedures en maatregelen voor de hele organisatie voor de toewijzing en het beheer van authenticatie-informatie inhoudt, moeten informatiebeveiligingsfunctionarissen verantwoordelijk zijn voor de naleving van Controle 5.17.



Compliance hoeft niet ingewikkeld te zijn.

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen


Richtlijnen voor de toewijzing van authenticatie-informatie

Organisaties moeten voldoen aan de volgende zes vereisten voor de toewijzing en het beheer van authenticatie-informatie:

  • Wanneer persoonlijke wachtwoorden of persoonlijke identificatienummers automatisch worden gegenereerd voor de inschrijving van nieuwe gebruikers, mogen deze niet te raden zijn. Bovendien moeten wachtwoorden uniek zijn voor elke gebruiker en moet het verplicht zijn om wachtwoorden na het eerste gebruik te wijzigen.
  • Organisaties moeten robuuste procedures opzetten om de identiteit van een gebruiker te authenticeren voordat hij/zij nieuwe of vervangende authenticatie-informatie krijgt of hij/zij tijdelijke informatie krijgt.
  • Organisaties moeten zorgen voor de veilige overdracht van authenticatie-informatie naar individuen via beveiligde kanalen en zij mogen deze informatie niet via onveilige elektronische berichten (bijvoorbeeld leesbare tekst) verzenden.
  • Gebruikers moeten de ontvangst van de authenticatie-informatie bevestigen.
  • Nadat nieuwe IT-systemen en softwareprogramma's zijn geïnstalleerd, moeten organisaties de standaardauthenticatie-informatie onmiddellijk wijzigen.
  • Organisaties moeten registraties bijhouden en bijhouden van alle belangrijke gebeurtenissen die verband houden met het beheer en de toewijzing van authenticatie-informatie. Bovendien moeten deze gegevens vertrouwelijk worden behandeld en moeten methoden voor het bijhouden van gegevens worden toegestaan, bijvoorbeeld door het gebruik van een goedgekeurde wachtwoordtool.

Richtlijnen voor de verantwoordelijkheden van gebruikers

Gebruikers die toegang hebben tot authenticatie-informatie en deze kunnen gebruiken, moeten worden geïnstrueerd om aan het volgende te voldoen:

  1. Gebruikers moeten de vertrouwelijkheid van geheime authenticatie-informatie, zoals wachtwoorden, bewaren en mogen dergelijke geheime informatie met niemand anders delen. Wanneer meerdere gebruikers betrokken zijn bij het gebruik van authenticatie-informatie of de informatie is gekoppeld aan niet-persoonlijke entiteiten, mag de authenticatie-informatie niet worden bekendgemaakt aan onbevoegde personen.
  2. Gebruikers moeten hun wachtwoord onmiddellijk wijzigen als de vertrouwelijkheid van hun wachtwoorden in gevaar komt.
  3. Gebruikers moeten moeilijk te raden sterke wachtwoorden selecteren door de best practices uit de branche te volgen. Bijvoorbeeld:

    • Wachtwoorden mogen niet worden geselecteerd op basis van persoonlijke informatie die gemakkelijk te verkrijgen is, zoals namen of geboortedata.
    • Wachtwoorden mogen niet worden gemaakt op basis van iets dat gemakkelijk te raden is.
    • Wachtwoorden mogen geen woordenboekwoorden of combinaties van deze woorden bevatten.
    • In het wachtwoord moeten alfanumerieke en speciale tekens worden gebruikt.
    • Er moet een minimale lengte zijn voor wachtwoorden.
  4. Gebruikers mogen niet hetzelfde wachtwoord gebruiken voor verschillende diensten.
  5. Organisaties moeten de vereisten voor het aanmaken en gebruiken van wachtwoorden opnemen in hun arbeidsovereenkomsten met hun werknemers.


Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.

Demo Aanvragen


Richtlijnen voor wachtwoordbeheersystemen

Organisaties moeten aan het volgende voldoen bij het opzetten van een wachtwoordbeheersysteem:

  • Gebruikers moeten de mogelijkheid krijgen om hun wachtwoorden aan te maken en te wijzigen, en er moet een bevestigingsprocedure bestaan ​​om ervoor te zorgen dat invoerfouten worden geïdentificeerd en opgelost.
  • Organisaties moeten een sterk wachtwoordselectieproces implementeren, waarbij rekening wordt gehouden met de beste praktijken in de sector voor wachtwoordselectie.
  • Gebruikers moeten worden gedwongen hun standaardwachtwoorden te wijzigen nadat ze voor het eerst toegang hebben gekregen tot een systeem.
  • Wachtwoordwijzigingen moeten worden doorgevoerd wanneer dit nodig is. Wachtwoordwijziging zal bijvoorbeeld nodig zijn na een beveiligingsincident of na de beëindiging van een dienstverband met een gebruiker als die gebruiker toegang heeft tot wachtwoorden.
  • Eerdere wachtwoorden mogen niet opnieuw worden gebruikt.
  • Het gebruik van veelgebruikte wachtwoorden of gecompromitteerde wachtwoorden of gebruikersnamen die worden gebruikt voor toegang tot gehackte systemen moet worden verboden.
  • Wanneer wachtwoorden worden ingevoerd, moeten deze in platte tekst op het scherm zichtbaar zijn.
  • Wachtwoorden moeten worden opgeslagen en overgedragen via beveiligde kanalen en in een veilig formaat.

Bovendien moeten organisaties hashing- en encryptietechnieken toepassen in overeenstemming met de geautoriseerde cryptografiemethoden voor wachtwoorden zoals uiteengezet in Controle 8.24.

Aanvullend richtsnoer voor controle 5.17

Naast wachtwoorden zijn er nog andere soorten authenticatie-informatie, zoals cryptografische sleutels, smartcards en biometrische gegevens zoals vingerafdrukken.

Organisaties wordt geadviseerd de ISO/IEC 24760-serie te raadplegen voor meer gedetailleerde richtlijnen over authenticatie-informatie.

Gezien het feit dat het regelmatig wijzigen van wachtwoorden omslachtig en vervelend kan zijn voor gebruikers, kunnen organisaties overwegen alternatieve methoden te implementeren, zoals eenmalige aanmelding of wachtwoordkluizen. Er moet echter worden opgemerkt dat deze alternatieve methoden authenticatie-informatie kunnen blootstellen aan een groter risico op ongeoorloofde openbaarmaking.



Krijg een voorsprong van 81%

Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.

Demo Aanvragen


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/5.17 vervangt 27002:2013/(9.2.4, 9.3.1 9.4.3)

De 2022-versie bevat een nieuwe vereiste voor de toewijzing en het beheer van authenticatie-informatie

Hoewel de versie van 2013 en de versie van 2022 sterk op elkaar lijken wat betreft de vereisten voor toewijzing en beheer van authenticatie-informatie, introduceert Controle 5.17 in de versie van 2022 de volgende vereiste, die niet was opgenomen in de versie van 2013:

  • Organisaties moeten registraties bijhouden en bijhouden van alle belangrijke gebeurtenissen die verband houden met het beheer en de toewijzing van authenticatie-informatie. Bovendien moeten deze gegevens vertrouwelijk worden behandeld en moeten methoden voor het bijhouden van gegevens worden toegestaan, bijvoorbeeld door het gebruik van een goedgekeurde wachtwoordtool.

Controle 5.17 in de 2022-versie bevat een aanvullende vereiste voor het gebruik van authenticatie-informatie

Controle 5.17 introduceert de volgende vereiste voor gebruikersverantwoordelijkheden waarnaar niet werd verwezen in Controle 9.3.1 in de versie van 2013.

  • Organisaties moeten de vereisten voor het aanmaken en gebruiken van wachtwoorden opnemen in hun arbeidsovereenkomsten met hun werknemers en personeel.

De versie van 2013 bevatte aanvullende vereisten voor gebruikersverantwoordelijkheden die niet waren opgenomen in de versie van 2022

In tegenstelling tot de 2022-versie bevatte Control 9.3.1 de volgende vereiste voor het gebruik van authenticatie-informatie:

  • Gebruikers mogen niet dezelfde authenticatie-informatie, zoals een wachtwoord, gebruiken voor zowel zakelijke als niet-zakelijke doeleinden.

De versie van 2013 bevatte een aanvullende vereiste voor wachtwoordbeheersystemen die niet was opgenomen in de versie van 2022

Controle 9.4.3 in de versie van 2013 bevatte de volgende vereiste voor wachtwoordbeheersystemen.

  • Bestanden met wachtwoorden moeten worden gehost in een systeem dat gescheiden is van de applicatiesysteemgegevens.

Controle 5.17 in de versie van 2022 bevatte deze vereiste daarentegen niet.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.7NieuwBedreigingsintelligentie
5.23NieuwInformatiebeveiliging voor gebruik van clouddiensten
5.30NieuwICT gereed voor bedrijfscontinuïteit
7.4NieuwFysieke beveiligingsmonitoring
8.9NieuwConfiguratiebeheer
8.10NieuwVerwijdering van informatie
8.11NieuwGegevensmaskering
8.12NieuwPreventie van gegevenslekken
8.16NieuwMonitoring activiteiten
8.23NieuwWeb filtering
8.28NieuwVeilige codering

Organisatorische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
5.105.1.1, 05.1.2Beleid voor informatiebeveiliging
5.206.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.306.1.2Scheiding van taken
5.407.2.1Directie verantwoordelijkheden
5.506.1.3Contact met autoriteiten
5.606.1.4Contact met speciale belangengroepen
5.7NieuwBedreigingsintelligentie
5.806.1.5, 14.1.1Informatiebeveiliging in projectmanagement
5.908.1.1, 08.1.2Inventarisatie van informatie en andere bijbehorende activa
5.1008.1.3, 08.2.3Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.1108.1.4Teruggave van activa
5.1208.2.1Classificatie van informatie
5.1308.2.2Etikettering van informatie
5.1413.2.1, 13.2.2, 13.2.3Informatieoverdracht
5.1509.1.1, 09.1.2Toegangscontrole
5.1609.2.1Identiteitsbeheer
5.1709.2.4, 09.3.1, 09.4.3Authenticatie-informatie
5.1809.2.2, 09.2.5, 09.2.6Toegangsrechten
5.1915.1.1Informatiebeveiliging in leveranciersrelaties
5.2015.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.2115.1.3Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.2215.2.1, 15.2.2Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23NieuwInformatiebeveiliging voor gebruik van clouddiensten
5.2416.1.1Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.2516.1.4Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.2616.1.5Reactie op informatiebeveiligingsincidenten
5.2716.1.6Leren van informatiebeveiligingsincidenten
5.2816.1.7Verzameling van bewijs
5.2917.1.1, 17.1.2, 17.1.3Informatiebeveiliging tijdens verstoring
5.30NieuwICT gereed voor bedrijfscontinuïteit
5.3118.1.1, 18.1.5Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.3218.1.2Intellectuele eigendomsrechten
5.3318.1.3Bescherming van documenten
5.3418.1.4Privacy en bescherming van PII
5.3518.2.1Onafhankelijke beoordeling van informatiebeveiliging
5.3618.2.2, 18.2.3Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.3712.1.1Gedocumenteerde operationele procedures

Mensencontroles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
6.107.1.1Doorlichting
6.207.1.2Arbeidsvoorwaarden
6.307.2.2Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.407.2.3Disciplinair proces
6.507.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.613.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.706.2.2Werken op afstand
6.816.1.2, 16.1.3Rapportage van informatiebeveiligingsgebeurtenissen

Fysieke controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
7.111.1.1Fysieke veiligheidsperimeters
7.211.1.2, 11.1.6Fysieke toegang
7.311.1.3Beveiligen van kantoren, kamers en faciliteiten
7.4NieuwFysieke beveiligingsmonitoring
7.511.1.4Bescherming tegen fysieke en ecologische bedreigingen
7.611.1.5Werken in beveiligde ruimtes
7.711.2.9Overzichtelijk bureau en helder scherm
7.811.2.1Locatie en bescherming van apparatuur
7.911.2.6Beveiliging van activa buiten het terrein
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Opslag media
7.1111.2.2Ondersteunende nutsvoorzieningen
7.1211.2.3Beveiliging van de bekabeling
7.1311.2.4Apparatuuronderhoud
7.1411.2.7Veilige verwijdering of hergebruik van apparatuur

Technologische controles

ISO/IEC 27002:2022 Controle-identificatieISO/IEC 27002:2013 Controle-identificatieControle naam
8.106.2.1, 11.2.8Eindpuntapparaten van gebruikers
8.209.2.3Bevoorrechte toegangsrechten
8.309.4.1Beperking van toegang tot informatie
8.409.4.5Toegang tot broncode
8.509.4.2Veilige authenticatie
8.612.1.3Capaciteitsmanagement
8.712.2.1Bescherming tegen malware
8.812.6.1, 18.2.3Beheer van technische kwetsbaarheden
8.9NieuwConfiguratiebeheer
8.10NieuwVerwijdering van informatie
8.11NieuwGegevensmaskering
8.12NieuwPreventie van gegevenslekken
8.1312.3.1Informatie back-up
8.1417.2.1Redundantie van informatieverwerkingsfaciliteiten
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NieuwMonitoring activiteiten
8.1712.4.4klok synchronisatie
8.1809.4.4Gebruik van bevoorrechte hulpprogramma's
8.1912.5.1, 12.6.2Installatie van software op operationele systemen
8.2013.1.1Netwerkbeveiliging
8.2113.1.2Beveiliging van netwerkdiensten
8.2213.1.3Segregatie van netwerken
8.23NieuwWeb filtering
8.2410.1.1, 10.1.2Gebruik van cryptografie
8.2514.2.1Veilige ontwikkelingslevenscyclus
8.2614.1.2, 14.1.3Beveiligingsvereisten voor applicaties
8.2714.2.5Veilige systeemarchitectuur en engineeringprincipes
8.28NieuwVeilige codering
8.2914.2.8, 14.2.9Beveiligingstesten in ontwikkeling en acceptatie
8.3014.2.7Uitbestede ontwikkeling
8.3112.1.4, 14.2.6Scheiding van ontwikkel-, test- en productieomgevingen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Wijzig beheer
8.3314.3.1Test informatie
8.3412.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.Online helpt organisaties en bedrijven te voldoen aan de vereisten van ISO 27002 door hen een platform te bieden waarmee ze eenvoudig hun vertrouwelijkheids- of geheimhoudingsbeleid en -procedures kunnen beheren, indien nodig kunnen bijwerken, testen en de effectiviteit ervan kunnen controleren.

Wij bieden een cloudgebaseerd platform voor het beheer van vertrouwelijkheids- en informatiebeveiligingsbeheersystemen, inclusief geheimhoudingsclausules, risicobeheer, beleid, plannen en procedures, op één centrale locatie. Het platform is eenvoudig te gebruiken en heeft een intuïtieve interface waardoor u eenvoudig kunt leren hoe u het moet gebruiken.

Neem vandaag nog contact met ons op een demo plannen.

Ga naar onderwerp

Max Edwards

Max werkt als onderdeel van het marketingteam van ISMS.online en zorgt ervoor dat onze website wordt bijgewerkt met nuttige inhoud en informatie over alles wat met ISO 27001, 27002 en compliance te maken heeft.

ISMS-platformtour

Geïnteresseerd in een ISMS.online platform tour?

Start nu uw gratis interactieve demo van 2 minuten en ervaar de magie van ISMS.online in actie!

Probeer het gratis

Wij zijn een leider in ons vakgebied

Gebruikers houden van ons
Grid Leader - Lente 2025
Momentum Leader - Lente 2025
Regionale leider - voorjaar 2025 VK
Regionale leider - Lente 2025 EU
Beste schatting ROI onderneming - lente 2025
Meest waarschijnlijk om Enterprise aan te bevelen - Lente 2025

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

-Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

-Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

-Ben H.

SOC 2 is hier! Versterk uw beveiliging en bouw vandaag nog aan het vertrouwen van uw klanten met onze krachtige compliance-oplossing!