Authenticatie-informatie zoals wachtwoorden, coderingssleutels en kaartchips vormen de toegangspoort tot informatiesystemen die gevoelige informatie bevatten.
Slecht beheer of onjuiste toewijzing van authenticatie-informatie kan resulteren in ongeoorloofde toegang tot informatiesystemen en in verlies van vertrouwelijkheid, beschikbaarheid en integriteit van gevoelige informatiemiddelen.
Bijvoorbeeld GoodFirms onderzoek uit 2021 laat zien dat 30% van alle datalekken het gevolg zijn van zwakke wachtwoorden of slecht wachtwoordbeheer.
Daarom moeten organisaties beschikken over een robuust proces voor het beheer van authenticatie-informatie om authenticatie-informatie toe te wijzen, te beheren en te beschermen.
Controle 5.17 stelt organisaties in staat om authenticatie-informatie op de juiste manier toe te wijzen en te beheren, de risico's van mislukking in het authenticatieproces te elimineren en veiligheidsrisico's te voorkomen die kunnen ontstaan als gevolg van het compromitteren van authenticatie-informatie.
Controle 5.17 is een preventieve vorm van controle die van organisaties vereist dat zij een passend authenticatie-informatiebeheerproces opzetten en implementeren.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Identiteits- en toegangsbeheer | #Bescherming |
Gezien het feit dat Controle 5.17 het vaststellen en implementeren van regels, procedures en maatregelen voor de hele organisatie voor de toewijzing en het beheer van authenticatie-informatie inhoudt, moeten informatiebeveiligingsfunctionarissen verantwoordelijk zijn voor de naleving van Controle 5.17.
Organisaties moeten voldoen aan de volgende zes vereisten voor de toewijzing en het beheer van authenticatie-informatie:
Gebruikers die toegang hebben tot authenticatie-informatie en deze kunnen gebruiken, moeten worden geïnstrueerd om aan het volgende te voldoen:
Organisaties moeten aan het volgende voldoen bij het opzetten van een wachtwoordbeheersysteem:
Bovendien moeten organisaties hashing- en encryptietechnieken toepassen in overeenstemming met de geautoriseerde cryptografiemethoden voor wachtwoorden zoals uiteengezet in Controle 8.24.
Naast wachtwoorden zijn er nog andere soorten authenticatie-informatie, zoals cryptografische sleutels, smartcards en biometrische gegevens zoals vingerafdrukken.
Organisaties wordt geadviseerd de ISO/IEC 24760-serie te raadplegen voor meer gedetailleerde richtlijnen over authenticatie-informatie.
Gezien het feit dat het regelmatig wijzigen van wachtwoorden omslachtig en vervelend kan zijn voor gebruikers, kunnen organisaties overwegen alternatieve methoden te implementeren, zoals eenmalige aanmelding of wachtwoordkluizen. Er moet echter worden opgemerkt dat deze alternatieve methoden authenticatie-informatie kunnen blootstellen aan een groter risico op ongeoorloofde openbaarmaking.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
27002:2022/5.17 vervangt 27002:2013/(9.2.4, 9.3.1 9.4.3)
Hoewel de versie van 2013 en de versie van 2022 sterk op elkaar lijken wat betreft de vereisten voor toewijzing en beheer van authenticatie-informatie, introduceert Controle 5.17 in de versie van 2022 de volgende vereiste, die niet was opgenomen in de versie van 2013:
Controle 5.17 introduceert de volgende vereiste voor gebruikersverantwoordelijkheden waarnaar niet werd verwezen in Controle 9.3.1 in de versie van 2013.
In tegenstelling tot de 2022-versie bevatte Control 9.3.1 de volgende vereiste voor het gebruik van authenticatie-informatie:
Controle 9.4.3 in de versie van 2013 bevatte de volgende vereiste voor wachtwoordbeheersystemen.
Controle 5.17 in de versie van 2022 bevatte deze vereiste daarentegen niet.
ISMS.Online helpt organisaties en bedrijven te voldoen aan de vereisten van ISO 27002 door hen een platform te bieden waarmee ze eenvoudig hun vertrouwelijkheids- of geheimhoudingsbeleid en -procedures kunnen beheren, indien nodig kunnen bijwerken, testen en de effectiviteit ervan kunnen controleren.
Wij bieden een cloudgebaseerd platform voor het beheer van vertrouwelijkheids- en informatiebeveiligingsbeheersystemen, inclusief geheimhoudingsclausules, risicobeheer, beleid, plannen en procedures, op één centrale locatie. Het platform is eenvoudig te gebruiken en heeft een intuïtieve interface waardoor u eenvoudig kunt leren hoe u het moet gebruiken.
Neem vandaag nog contact met ons op een demo plannen.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |