Meteen naar de inhoud
Werk slimmer met onze nieuwe, verbeterde navigatie!
Ontdek hoe IO naleving eenvoudiger maakt. Lees de blog
ISMS.online

ISO 27002:2022 – Controle 5.17 – Authenticatie-informatie

ISO 27002:2022 Control 5.17 richt zich op het veilig beheren van authenticatie-informatie (bijv. wachtwoorden, pincodes en encryptiesleutels) om ongeautoriseerde toegang te voorkomen. Het schetst best practices voor het genereren, verzenden en verwerken van credentials, terwijl naleving en verantwoordelijkheid van de gebruiker worden gewaarborgd.

Auteur
Sam Peters
Bijgewerkt juli 25, 2025
4 / 5 sterren

Veilig authenticatie-informatiebeheer: ISO 27002 Control 5.17 uitgelegd

Authenticatie-informatie zoals wachtwoorden, coderingssleutels en kaartchips vormen de toegangspoort tot informatiesystemen die gevoelige informatie bevatten.

Slecht beheer of onjuiste toewijzing van authenticatie-informatie kan resulteren in ongeoorloofde toegang tot informatiesystemen en in verlies van vertrouwelijkheid, beschikbaarheid en integriteit van gevoelige informatiemiddelen.

Bijvoorbeeld GoodFirms onderzoek uit 2021 laat zien dat 30% van alle datalekken het gevolg zijn van zwakke wachtwoorden of slecht wachtwoordbeheer.

Daarom moeten organisaties beschikken over een robuust proces voor het beheer van authenticatie-informatie om authenticatie-informatie toe te wijzen, te beheren en te beschermen.

Doel van de controle 5.17

Controle 5.17 stelt organisaties in staat om authenticatie-informatie op de juiste manier toe te wijzen en te beheren, de risico's van mislukking in het authenticatieproces te elimineren en veiligheidsrisico's te voorkomen die kunnen ontstaan ​​als gevolg van het compromitteren van authenticatie-informatie.

Kenmerken van controle 5.17

Controle 5.17 is een preventieve vorm van controle die van organisaties vereist dat zij een passend authenticatie-informatiebeheerproces opzetten en implementeren.

controle Type Eigenschappen voor informatiebeveiliging Cyberbeveiligingsconcepten Operationele mogelijkheden Beveiligingsdomeinen
#Preventief #Vertrouwelijkheid #Beschermen #Identiteits- en toegangsbeheer #Bescherming
#Integriteit
#Beschikbaarheid

Eigendom van zeggenschap 5.17

Gezien het feit dat Controle 5.17 het vaststellen en implementeren van regels, procedures en maatregelen voor de hele organisatie voor de toewijzing en het beheer van authenticatie-informatie inhoudt, moeten informatiebeveiligingsfunctionarissen verantwoordelijk zijn voor de naleving van Controle 5.17.



beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


Richtlijnen voor de toewijzing van authenticatie-informatie

Organisaties moeten voldoen aan de volgende zes vereisten voor de toewijzing en het beheer van authenticatie-informatie:

  • Wanneer persoonlijke wachtwoorden of persoonlijke identificatienummers automatisch worden gegenereerd voor de inschrijving van nieuwe gebruikers, mogen deze niet te raden zijn. Bovendien moeten wachtwoorden uniek zijn voor elke gebruiker en moet het verplicht zijn om wachtwoorden na het eerste gebruik te wijzigen.
  • Organisaties moeten robuuste procedures opzetten om de identiteit van een gebruiker te authenticeren voordat hij/zij nieuwe of vervangende authenticatie-informatie krijgt of hij/zij tijdelijke informatie krijgt.
  • Organisaties moeten zorgen voor de veilige overdracht van authenticatie-informatie naar individuen via beveiligde kanalen en zij mogen deze informatie niet via onveilige elektronische berichten (bijvoorbeeld leesbare tekst) verzenden.
  • Gebruikers moeten de ontvangst van de authenticatie-informatie bevestigen.
  • Nadat nieuwe IT-systemen en softwareprogramma's zijn geïnstalleerd, moeten organisaties de standaardauthenticatie-informatie onmiddellijk wijzigen.
  • Organisaties moeten registraties bijhouden en bijhouden van alle belangrijke gebeurtenissen die verband houden met het beheer en de toewijzing van authenticatie-informatie. Bovendien moeten deze gegevens vertrouwelijk worden behandeld en moeten methoden voor het bijhouden van gegevens worden toegestaan, bijvoorbeeld door het gebruik van een goedgekeurde wachtwoordtool.

Richtlijnen voor de verantwoordelijkheden van gebruikers

Gebruikers die toegang hebben tot authenticatie-informatie en deze kunnen gebruiken, moeten worden geïnstrueerd om aan het volgende te voldoen:

  1. Gebruikers moeten de vertrouwelijkheid van geheime authenticatie-informatie, zoals wachtwoorden, bewaren en mogen dergelijke geheime informatie met niemand anders delen. Wanneer meerdere gebruikers betrokken zijn bij het gebruik van authenticatie-informatie of de informatie is gekoppeld aan niet-persoonlijke entiteiten, mag de authenticatie-informatie niet worden bekendgemaakt aan onbevoegde personen.
  2. Gebruikers moeten hun wachtwoord onmiddellijk wijzigen als de vertrouwelijkheid van hun wachtwoorden in gevaar komt.
  3. Gebruikers moeten moeilijk te raden sterke wachtwoorden selecteren door de best practices uit de branche te volgen. Bijvoorbeeld:

    • Wachtwoorden mogen niet worden geselecteerd op basis van persoonlijke informatie die gemakkelijk te verkrijgen is, zoals namen of geboortedata.
    • Wachtwoorden mogen niet worden gemaakt op basis van iets dat gemakkelijk te raden is.
    • Wachtwoorden mogen geen woordenboekwoorden of combinaties van deze woorden bevatten.
    • In het wachtwoord moeten alfanumerieke en speciale tekens worden gebruikt.
    • Er moet een minimale lengte zijn voor wachtwoorden.
  4. Gebruikers mogen niet hetzelfde wachtwoord gebruiken voor verschillende diensten.
  5. Organisaties moeten de vereisten voor het aanmaken en gebruiken van wachtwoorden opnemen in hun arbeidsovereenkomsten met hun werknemers.


ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Richtlijnen voor wachtwoordbeheersystemen

Organisaties moeten aan het volgende voldoen bij het opzetten van een wachtwoordbeheersysteem:

  • Gebruikers moeten de mogelijkheid krijgen om hun wachtwoorden aan te maken en te wijzigen, en er moet een bevestigingsprocedure bestaan ​​om ervoor te zorgen dat invoerfouten worden geïdentificeerd en opgelost.
  • Organisaties moeten een sterk wachtwoordselectieproces implementeren, waarbij rekening wordt gehouden met de beste praktijken in de sector voor wachtwoordselectie.
  • Gebruikers moeten worden gedwongen hun standaardwachtwoorden te wijzigen nadat ze voor het eerst toegang hebben gekregen tot een systeem.
  • Wachtwoordwijzigingen moeten worden doorgevoerd wanneer dit nodig is. Wachtwoordwijziging zal bijvoorbeeld nodig zijn na een beveiligingsincident of na de beëindiging van een dienstverband met een gebruiker als die gebruiker toegang heeft tot wachtwoorden.
  • Eerdere wachtwoorden mogen niet opnieuw worden gebruikt.
  • Het gebruik van veelgebruikte wachtwoorden of gecompromitteerde wachtwoorden of gebruikersnamen die worden gebruikt voor toegang tot gehackte systemen moet worden verboden.
  • Wanneer wachtwoorden worden ingevoerd, moeten deze in platte tekst op het scherm zichtbaar zijn.
  • Wachtwoorden moeten worden opgeslagen en overgedragen via beveiligde kanalen en in een veilig formaat.

Bovendien moeten organisaties hashing- en encryptietechnieken toepassen in overeenstemming met de geautoriseerde cryptografiemethoden voor wachtwoorden zoals uiteengezet in Controle 8.24.

Aanvullend richtsnoer voor controle 5.17

Naast wachtwoorden zijn er nog andere soorten authenticatie-informatie, zoals cryptografische sleutels, smartcards en biometrische gegevens zoals vingerafdrukken.

Organisaties wordt geadviseerd de ISO/IEC 24760-serie te raadplegen voor meer gedetailleerde richtlijnen over authenticatie-informatie.

Gezien het feit dat het regelmatig wijzigen van wachtwoorden omslachtig en vervelend kan zijn voor gebruikers, kunnen organisaties overwegen alternatieve methoden te implementeren, zoals eenmalige aanmelding of wachtwoordkluizen. Er moet echter worden opgemerkt dat deze alternatieve methoden authenticatie-informatie kunnen blootstellen aan een groter risico op ongeoorloofde openbaarmaking.



ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/5.17 vervangt 27002:2013/(9.2.4, 9.3.1 9.4.3)

De 2022-versie bevat een nieuwe vereiste voor de toewijzing en het beheer van authenticatie-informatie

Hoewel de versie van 2013 en de versie van 2022 sterk op elkaar lijken wat betreft de vereisten voor toewijzing en beheer van authenticatie-informatie, introduceert Controle 5.17 in de versie van 2022 de volgende vereiste, die niet was opgenomen in de versie van 2013:

  • Organisaties moeten registraties bijhouden en bijhouden van alle belangrijke gebeurtenissen die verband houden met het beheer en de toewijzing van authenticatie-informatie. Bovendien moeten deze gegevens vertrouwelijk worden behandeld en moeten methoden voor het bijhouden van gegevens worden toegestaan, bijvoorbeeld door het gebruik van een goedgekeurde wachtwoordtool.

Controle 5.17 in de 2022-versie bevat een aanvullende vereiste voor het gebruik van authenticatie-informatie

Controle 5.17 introduceert de volgende vereiste voor gebruikersverantwoordelijkheden waarnaar niet werd verwezen in Controle 9.3.1 in de versie van 2013.

  • Organisaties moeten de vereisten voor het aanmaken en gebruiken van wachtwoorden opnemen in hun arbeidsovereenkomsten met hun werknemers en personeel.

De versie van 2013 bevatte aanvullende vereisten voor gebruikersverantwoordelijkheden die niet waren opgenomen in de versie van 2022

In tegenstelling tot de 2022-versie bevatte Control 9.3.1 de volgende vereiste voor het gebruik van authenticatie-informatie:

  • Gebruikers mogen niet dezelfde authenticatie-informatie, zoals een wachtwoord, gebruiken voor zowel zakelijke als niet-zakelijke doeleinden.

De versie van 2013 bevatte een aanvullende vereiste voor wachtwoordbeheersystemen die niet was opgenomen in de versie van 2022

Controle 9.4.3 in de versie van 2013 bevatte de volgende vereiste voor wachtwoordbeheersystemen.

  • Bestanden met wachtwoorden moeten worden gehost in een systeem dat gescheiden is van de applicatiesysteemgegevens.

Controle 5.17 in de versie van 2022 bevatte deze vereiste daarentegen niet.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.7 NIEUW Bedreigingsintelligentie
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.30 NIEUW ICT gereed voor bedrijfscontinuïteit
7.4 NIEUW Fysieke beveiligingsmonitoring
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.16 NIEUW Monitoring activiteiten
8.23 NIEUW Web filtering
8.28 NIEUW Veilige codering
Organisatorische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.1 05.1.1, 05.1.2 Beleid voor informatiebeveiliging
5.2 06.1.1 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3 06.1.2 Scheiding van taken
5.4 07.2.1 Directie verantwoordelijkheden
5.5 06.1.3 Contact met autoriteiten
5.6 06.1.4 Contact met speciale belangengroepen
5.7 NIEUW Bedreigingsintelligentie
5.8 06.1.5, 14.1.1 Informatiebeveiliging in projectmanagement
5.9 08.1.1, 08.1.2 Inventarisatie van informatie en andere bijbehorende activa
5.10 08.1.3, 08.2.3 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11 08.1.4 Teruggave van activa
5.12 08.2.1 Classificatie van informatie
5.13 08.2.2 Etikettering van informatie
5.14 13.2.1, 13.2.2, 13.2.3 Informatieoverdracht
5.15 09.1.1, 09.1.2 Toegangscontrole
5.16 09.2.1 Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3 Authenticatie-informatie
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsrechten
5.19 15.1.1 Informatiebeveiliging in leveranciersrelaties
5.20 15.1.2 Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21 15.1.3 Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22 15.2.1, 15.2.2 Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.24 16.1.1 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25 16.1.4 Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26 16.1.5 Reactie op informatiebeveiligingsincidenten
5.27 16.1.6 Leren van informatiebeveiligingsincidenten
5.28 16.1.7 Verzameling van bewijs
5.29 17.1.1, 17.1.2, 17.1.3 Informatiebeveiliging tijdens verstoring
5.30 5.30 ICT gereed voor bedrijfscontinuïteit
5.31 18.1.1, 18.1.5 Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32 18.1.2 Intellectuele eigendomsrechten
5.33 18.1.3 Bescherming van documenten
5.34 18.1.4 Privacy en bescherming van PII
5.35 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
5.36 18.2.2, 18.2.3 Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37 12.1.1 Gedocumenteerde operationele procedures
Mensencontroles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
6.1 07.1.1 Doorlichting
6.2 07.1.2 Arbeidsvoorwaarden
6.3 07.2.2 Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4 07.2.3 Disciplinair proces
6.5 07.3.1 Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7 06.2.2 Werken op afstand
6.8 16.1.2, 16.1.3 Rapportage van informatiebeveiligingsgebeurtenissen
Fysieke controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
7.1 11.1.1 Fysieke veiligheidsperimeters
7.2 11.1.2, 11.1.6 Fysieke toegang
7.3 11.1.3 Beveiligen van kantoren, kamers en faciliteiten
7.4 NIEUW Fysieke beveiligingsmonitoring
7.5 11.1.4 Bescherming tegen fysieke en ecologische bedreigingen
7.6 11.1.5 Werken in beveiligde ruimtes
7.7 11.2.9 Overzichtelijk bureau en helder scherm
7.8 11.2.1 Locatie en bescherming van apparatuur
7.9 11.2.6 Beveiliging van activa buiten het terrein
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Opslag media
7.11 11.2.2 Ondersteunende nutsvoorzieningen
7.12 11.2.3 Beveiliging van de bekabeling
7.13 11.2.4 Apparatuuronderhoud
7.14 11.2.7 Veilige verwijdering of hergebruik van apparatuur
Technologische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
8.1 06.2.1, 11.2.8 Eindpuntapparaten van gebruikers
8.2 09.2.3 Bevoorrechte toegangsrechten
8.3 09.4.1 Beperking van toegang tot informatie
8.4 09.4.5 Toegang tot broncode
8.5 09.4.2 Veilige authenticatie
8.6 12.1.3 Capaciteitsmanagement
8.7 12.2.1 Bescherming tegen malware
8.8 12.6.1, 18.2.3 Beheer van technische kwetsbaarheden
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.13 12.3.1 Informatie back-up
8.14 17.2.1 Redundantie van informatieverwerkingsfaciliteiten
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NIEUW Monitoring activiteiten
8.17 12.4.4 klok synchronisatie
8.18 09.4.4 Gebruik van bevoorrechte hulpprogramma's
8.19 12.5.1, 12.6.2 Installatie van software op operationele systemen
8.20 13.1.1 Netwerkbeveiliging
8.21 13.1.2 Beveiliging van netwerkdiensten
8.22 13.1.3 Segregatie van netwerken
8.23 NIEUW Web filtering
8.24 10.1.1, 10.1.2 Gebruik van cryptografie
8.25 14.2.1 Veilige ontwikkelingslevenscyclus
8.26 14.1.2, 14.1.3 Beveiligingsvereisten voor applicaties
8.27 14.2.5 Veilige systeemarchitectuur en engineeringprincipes
8.28 NIEUW Veilige codering
8.29 14.2.8, 14.2.9 Beveiligingstesten in ontwikkeling en acceptatie
8.30 14.2.7 Uitbestede ontwikkeling
8.31 12.1.4, 14.2.6 Scheiding van ontwikkel-, test- en productieomgevingen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Wijzig beheer
8.33 14.3.1 Test informatie
8.34 12.7.1 Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.Online helpt organisaties en bedrijven te voldoen aan de vereisten van ISO 27002 door hen een platform te bieden waarmee ze eenvoudig hun vertrouwelijkheids- of geheimhoudingsbeleid en -procedures kunnen beheren, indien nodig kunnen bijwerken, testen en de effectiviteit ervan kunnen controleren.

Wij bieden een cloudgebaseerd platform voor het beheer van vertrouwelijkheids- en informatiebeveiligingsbeheersystemen, inclusief geheimhoudingsclausules, risicobeheer, beleid, plannen en procedures, op één centrale locatie. Het platform is eenvoudig te gebruiken en heeft een intuïtieve interface waardoor u eenvoudig kunt leren hoe u het moet gebruiken.

Neem vandaag nog contact met ons op een demo plannen.

Sam Peters

Sam is Chief Product Officer bij ISMS.online en leidt de ontwikkeling van alle producteigenschappen en functionaliteit. Sam is een expert op veel gebieden van compliance en werkt samen met klanten aan maatwerk- of grootschalige projecten.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.