ISO 27001:2022 Anhang A Kontrolle 5.17

Anhang A 5.17 Hinweise zur Vergabe von Authentifizierungsinformationen

Organisationen sollten diese sechs Anforderungen für die Zuteilung und Verwaltung von Authentifizierungsinformationen einhalten:

• Bei der Registrierung neuer Benutzer müssen automatisch generierte persönliche Passwörter und persönliche Identifikationsnummern nicht erraten werden können. Darüber hinaus muss jeder Benutzer über ein eindeutiges Passwort verfügen und es ist obligatorisch, Passwörter nach der ersten Nutzung zu ändern.
• Organisationen sollten über solide Prozesse verfügen, um die Identität eines Benutzers zu überprüfen, bevor ihm neue oder Ersatzauthentifizierungsinformationen oder vorübergehende Informationen bereitgestellt werden.
• Organisationen sollten die sichere Übertragung von Authentifizierungsdaten an Einzelpersonen über sichere Wege gewährleisten und dürfen solche Informationen nicht über unsichere elektronische Nachrichten (z. B. Klartext) versenden.
• Benutzer müssen sicherstellen, dass sie die Authentifizierungsdaten erhalten haben.
• Unternehmen sollten nach der Installation neuer IT-Systeme und Software schnell handeln und die Standardauthentifizierungsdetails sofort ändern.
• Organisationen sollten Aufzeichnungen über alle wichtigen Ereignisse im Zusammenhang mit der Verwaltung und Zuweisung von Authentifizierungsinformationen erstellen und diese dauerhaft dokumentieren. Diese Aufzeichnungen müssen vertraulich behandelt werden und Methoden zur Aufzeichnung sollten autorisiert sein, z. B. durch die Verwendung eines autorisierten Passwort-Tools.

Anhang A 5.17 Leitlinien zu den Verantwortlichkeiten des Benutzers

Benutzer mit Zugriff auf Authentifizierungsinformationen sollten angewiesen werden, Folgendes einzuhalten:

• Benutzer müssen geheime Authentifizierungsinformationen wie Passwörter vertraulich behandeln und dürfen sie nicht an Dritte weitergeben. Wenn mehrere Benutzer an der Verwendung von Authentifizierungsinformationen beteiligt sind oder die Informationen mit nicht personenbezogenen Einheiten verknüpft sind, dürfen sie diese nicht an unbefugte Personen weitergeben.
• Benutzer müssen ihre Passwörter sofort ändern, wenn die Geheimhaltung ihrer Passwörter verletzt wurde.
• Benutzer sollten schwer zu erratende, sichere Passwörter wählen, die den Industriestandards entsprechen. Zum Beispiel:
• Passwörter sollten nicht auf leicht erhältlichen persönlichen Informationen wie Namen oder Geburtsdaten basieren.
• Passwörter sollten nicht auf leicht zu erratenden Informationen basieren.
• Passwörter dürfen nicht aus häufig vorkommenden Wörtern oder Wortfolgen bestehen.
• Verwenden Sie in Ihrem Passwort alphanumerische Zeichen und Sonderzeichen.
• Passwörter sollten eine Mindestlänge erfordern.
• Benutzer dürfen nicht für verschiedene Dienste dasselbe Passwort verwenden.
• Organisationen sollten ihre Mitarbeiter in ihren Arbeitsverträgen dazu verpflichten, die Verantwortung für die Erstellung und Verwendung von Passwörtern zu übernehmen.

Anhang A 5.17 Leitlinien zu Passwortverwaltungssystemen

Organisationen sollten beim Einrichten eines Passwortverwaltungssystems Folgendes beachten:

• Benutzer sollten die Möglichkeit haben, ihre Passwörter zu erstellen und zu ändern, und es sollte ein Überprüfungsverfahren vorhanden sein, um etwaige Fehler bei der Dateneingabe zu erkennen und zu korrigieren.
• Organisationen sollten sich bei der Entwicklung eines robusten Passwortauswahlprozesses an die Best Practices der Branche halten.
• Benutzer müssen ihre Standardkennwörter ändern, wenn sie zum ersten Mal auf ein System zugreifen.
• Es ist wichtig, Passwörter bei Bedarf zu ändern. Zum Beispiel nach einem Sicherheitsvorfall oder wenn ein Mitarbeiter seinen Arbeitsplatz verlässt und Zugriff auf Passwörter hatte, ist eine Passwortänderung erforderlich.
• Frühere Passwörter sollten nicht recycelt werden.
• Die Verwendung von Passwörtern, die weithin bekannt sind oder bei denen ein Sicherheitsverstoß vorliegt, sollte für den Zugriff auf gehackte Systeme nicht gestattet sein.
• Bei der Eingabe von Passwörtern sollten diese im Klartext auf dem Bildschirm angezeigt werden.
• Passwörter müssen über sichere Kanäle in einem sicheren Format übertragen und gespeichert werden.

Organisationen sollten außerdem Hashing- und Verschlüsselungsverfahren im Einklang mit den in Anhang A aufgeführten genehmigten kryptografischen Methoden für Passwörter implementieren Steuer 8.24 der ISO 27001:2022.

Ergänzende Leitlinien zur Anhang-A-Kontrolle 5.17

Neben Passwörtern auch andere Authentifizierungsformen wie kryptografische Schlüssel, Smartcards und biometrische Daten wie Fingerabdrücke.

Weitere Hinweise zu Authentifizierungsdaten finden Organisationen in der ISO/IEC 24760-Reihe.

Angesichts des Aufwands und Ärgers, der mit dem regelmäßigen Ändern von Passwörtern einhergeht, könnten Unternehmen Alternativen wie Single Sign-On oder Passwort-Tresore in Betracht ziehen. Es ist jedoch zu beachten, dass diese Optionen das Risiko erhöhen, dass vertrauliche Authentifizierungsinformationen an Unbefugte weitergegeben werden.

Änderungen und Unterschiede zu ISO 27001:2013

ISO 27001:2022 Anhang A 5.17 ist der Ersatz für ISO 27001:2013 Anhang A 9.2.4, 9.3.1 und 9.4.3.

ISO 27001:2022 enthält eine neue Anforderung für die Zuweisung und Verwaltung von Authentifizierungsinformationen

Im Jahr 2013 waren die Anforderungen an die Vergabe und Verwaltung von Authentifizierungsinformationen sehr ähnlich. Allerdings ISO 27001:2022 Anhang A Kontrolle 5.17 eine Anforderung eingeführt, die es 2013 noch nicht gab.

Organisationen müssen Aufzeichnungen für alle wichtigen Ereignisse im Zusammenhang mit der Verwaltung und Verteilung von Authentifizierungsinformationen erstellen und pflegen. Diese Aufzeichnungen sollten mit autorisierten Aufzeichnungstechniken, beispielsweise der Verwendung eines anerkannten Passwort-Tools, vertraulich behandelt werden.

Die Version 2022 enthält eine zusätzliche Anforderung für die Verwendung von Authentifizierungsinformationen

ISO 27001:2022 Annex A Control 5.17 führt eine Anforderung für Benutzerverantwortlichkeiten ein, die in Control 9.3.1 der Version 2013 nicht spezifiziert war.

Organisationen sollten Passwortanforderungen in ihre Verträge mit Mitarbeitern und Mitarbeitern aufnehmen. Solche Anforderungen sollten die Erstellung und Verwendung von Passwörtern umfassen.

ISO 27001:2013 enthielt zusätzliche Anforderungen an die Verantwortlichkeiten der Benutzer, die in der Version 2022 nicht enthalten waren

Im Vergleich zur Version 2022 enthielt Control 9.3.1 folgenden Auftrag für die Verwendung von Authentifizierungsdaten:

Benutzer sollten nicht dieselben Authentifizierungsdaten, beispielsweise ein Passwort, sowohl für geschäftliche als auch für private Zwecke verwenden.

ISO 27001:2013 enthielt eine zusätzliche Anforderung für Passwortverwaltungssysteme, die in der Version 2022 nicht enthalten war

Control 9.4.3 der Version 2013 erfordert, dass Passwortverwaltungssysteme:

Stellen Sie sicher, dass Dateien mit Passwörtern auf einem anderen System gespeichert werden als dem, auf dem Anwendungsdaten gehostet werden.

ISO 27001:2022 Annex A Control 5.17 erfordert dies nicht.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.

Wie ISMS.online hilft

ISMS.Online ermöglicht Organisationen und Unternehmen die Einhaltung der ISO 27001:2022-Anforderungen, indem es ihnen eine Plattform zur Verfügung stellt, die die Verwaltung, Aktualisierung, Prüfung und Überwachung der Wirksamkeit ihrer Vertraulichkeits- oder Geheimhaltungsrichtlinien und -verfahren erleichtert.

Wir bieten eine cloudbasierte Plattform zur Verwaltung von Vertraulichkeit und Managementsysteme für Informationssicherheit, mit Geheimhaltungsklauseln, Risikomanagement, Richtlinien, Plänen und Verfahren, alles an einem praktischen Ort. Es ist einfach zu bedienen und verfügt über eine intuitive Benutzeroberfläche, die das Erlernen erleichtert.

Nehmen Sie noch heute Kontakt mit uns auf Vereinbaren Sie eine Vorführung.