- לִרְאוֹת ISO 27002:2022 בקרה 5.17 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 9.2.4 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 9.3.1 לקבלת מידע נוסף.
- לִרְאוֹת ISO 27001:2013 נספח A 9.4.3 לקבלת מידע נוסף.
ISO 27001:2022 בקרה 5.17 הסבר: שמירה על נתוני אימות
ISO 27001:2022 נספח א' בקרה 5.17 קובעת שמידע אימות צריך להישמר מאובטח.
המשמעות היא שארגונים חייבים לנקוט בצעדים מתאימים להגן אישורי משתמש, כגון סיסמאות ושאלות אבטחה, מגישה לא מורשית. הם חייבים גם לְהַבטִיחַ שמשתמשים יכולים לגשת למערכת עם האישורים שלהם בצורה מאובטחת. יתר על כן, ארגונים צריכים גם לוודא שמשתמשים יכולים לאפס את האישורים שלהם בעת הצורך.
פרטי אימות (סיסמאות, מפתחות הצפנה ושבבי כרטיסים) מספקים כניסה למערכות מידע המכילות נתונים רגישים.
טיפול לקוי במידע אימות עלול להוביל לגישה לא מורשית למערכות נתונים ולאובדן סודיות, זמינות ושלמות של נתונים רגישים.
מהי המטרה של ISO 27001:2022 נספח A Control 5.17?
נספח א' בקרה 5.17 מאפשר לארגונים להקצות ולנהל ביעילות מידע אימות, הימנעות מתקלות בתהליך האימות ושמירה מפני איומי אבטחה שעלולים לנבוע ממניפולציה של מידע אימות.
קבל headstart של 81%.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
בעלות על נספח א' 5.17
ISO 27001:2022 נספח A בקרה 5.17 מחייב הקמה ויישום של כללים, נהלים ואמצעים כלל-ארגוניים להקצאה וניהול של מידע אימות. קציני אבטחת מידע צריך להבטיח עמידה בבקרה זו.
נספח A 5.17 הנחיות בנושא הקצאת מידע אימות
ארגונים צריכים לעמוד בשש הדרישות הללו להקצאה וניהול של מידע אימות:
- עם הרשמה של משתמשים חדשים, סיסמאות אישיות שנוצרו אוטומטית ומספרי זיהוי אישיים חייבים להיות בלתי ניתנים לניחוש. בנוסף, לכל משתמש חייבת להיות סיסמה ייחודית וחובה להחליף סיסמאות לאחר השימוש הראשוני.
- לארגונים צריכים להיות תהליכים מוצקים לבדיקת זהות המשתמש לפני שהם מקבלים מידע אימות חדש או חלופי, או שמסופקים להם מידע זמני.
- ארגונים צריכים להבטיח העברה מאובטחת של פרטי אימות לאנשים באמצעות מסלולים מאובטחים, ואסור לשלוח מידע כזה באמצעות הודעות אלקטרוניות לא מאובטחות (למשל טקסט רגיל).
- על המשתמשים לוודא שקיבלו את פרטי האימות.
- ארגונים צריכים לפעול במהירות לאחר התקנת מערכות IT ותוכנות חדשות, ולשנות מיד את פרטי האימות המוגדרים כברירת מחדל.
- ארגונים צריכים להקים ולנהל רישומים בהתמדה של כל האירועים המשמעותיים ביחס לניהול והקצאת מידע אימות. יש לשמור על רשומות אלו בפרטיות ויש לאשר שיטות לשמירת רישומים, למשל באמצעות כלי סיסמה מורשה.
ציות לא חייב להיות מסובך.
עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה.
כל שעליכם לעשות הוא להשלים את החסר.
נספח A 5.17 הנחיות לגבי אחריות המשתמש
יש להורות למשתמשים עם גישה למידע אימות לציית לדרישות הבאות:
- על המשתמשים לשמור סודיות פרטי אימות כגון סיסמאות ואסור לשתף אותו עם אף אחד אחר. כאשר משתמשים מרובים מעורבים בשימוש במידע אימות או שהמידע מקושר לגורמים לא אישיים, אסור להם לחשוף אותו לאנשים לא מורשים.
- המשתמשים חייבים להחליף את הסיסמאות שלהם מיד אם סודיות הסיסמאות שלהם הופרה.
- על המשתמשים לבחור סיסמאות חזקות קשות לניחוש בהתאם לתקני התעשייה. לדוגמה:
- סיסמאות לא אמורות להתבסס על מידע אישי שניתן להשיג בקלות, כגון שמות או תאריכי לידה.
- אין לבסס סיסמאות על מידע שניתן לנחש בקלות.
- אסור לסיסמאות להכיל מילים או רצפים של מילים שכיחות.
- השתמש באלפאנומריה ובתווים מיוחדים בסיסמה שלך.
- לסיסמאות צריך להיות דרישת אורך מינימלי.
- אסור למשתמשים להשתמש באותה סיסמה עבור שירותים שונים.
- ארגונים צריכים לחייב את העובדים שלהם לקבל את האחריות ליצירת ושימוש בסיסמאות בחוזי העבודה שלהם.
נספח A 5.17 הנחיות בנושא מערכות ניהול סיסמאות
ארגונים צריכים להקפיד על הדברים הבאים בעת הגדרת מערכת ניהול סיסמאות:
- למשתמשים צריכה להיות היכולת ליצור ולשנות את הסיסמאות שלהם, עם נוהל אימות כדי לזהות ולתקן כל שגיאה בעת הזנת נתונים.
- ארגונים צריכים לציית לשיטות העבודה המומלצות בתעשייה בעת פיתוח תהליך בחירת סיסמאות חזק.
- המשתמשים חייבים לשנות את סיסמאות ברירת המחדל שלהם עם הגישה הראשונה למערכת.
- חיוני לשנות סיסמאות כאשר הדבר מתאים. למשל, אחרי א אירוע ביטחוני או כאשר עובד עוזב את עבודתו, והייתה לו גישה לסיסמאות, יש צורך בשינוי סיסמה.
- אין למחזר סיסמאות קודמות.
- אין לאפשר שימוש בסיסמאות ידועות ברבים, או שהגישה אליהן הייתה הפרת אבטחה, לצורך גישה למערכות פרוצים כלשהן.
- כאשר סיסמאות מוזנות, הן צריכות להיות מוצגות על המסך בטקסט ברור.
- יש להעביר ולאחסן סיסמאות בערוצים מאובטחים בפורמט מאובטח.
ארגונים צריכים גם ליישם נהלי גיבוב והצפנה בהתאם לשיטות ההצפנה המאושרות עבור סיסמאות המצוינות בנספח א' שליטה 8.24 של ISO 27001:2022.
הנחיות משלימות על נספח א' בקרה 5.17
בנוסף לסיסמאות, צורות אחרות של אימות, כגון מפתחות הצפנה, כרטיסים חכמים ונתונים ביומטריים כמו טביעות אצבע.
ארגונים צריכים להסתכל על סדרת ISO/IEC 24760 לקבלת עצות נוספות לגבי נתוני אימות.
בהתחשב בטרחה והמטרד של החלפת סיסמאות באופן קבוע, ארגונים עשויים לשקול חלופות כגון כניסה יחידה או כספות סיסמאות. עם זאת, יש לציין כי אפשרויות אלו מגדילות את הסיכון שמידע אימות סודי ייחשף לגורמים לא מורשים.
נהל את כל התאימות שלך במקום אחד
ISMS.online תומך ביותר מ-100 תקנים
ותקנות, נותן לך יחיד
פלטפורמה לכל צרכי התאימות שלך.
שינויים והבדלים מ-ISO 27001:2013
ISO 27001: 2022 נספח A 5.17 הוא התחליף ל-ISO 27001:2013 נספח A 9.2.4, 9.3.1 ו-9.4.3.
ISO 27001:2022 מכיל דרישה חדשה להקצאה וניהול של מידע אימות
בשנת 2013, הדרישות להקצאה וניהול של מידע אימות היו דומות מאוד. עם זאת, ISO 27001:2022 נספח A בקרת 5.17 הציג דרישה שלא הייתה קיימת ב-2013.
ארגונים חייבים ליצור ולתחזק רשומות עבור כל האירועים המשמעותיים הקשורים לניהול והפצה של פרטי אימות. יש לשמור על רשומות אלה בסודיות, עם טכניקות מורשות לשמירת רישומים, למשל, שימוש בכלי סיסמאות מקובל.
גרסת 2022 מכילה דרישה נוספת לשימוש במידע אימות
ISO 27001:2022 נספח A Control 5.17 מציג דרישה לאחריות המשתמש שלא צוינה בבקרה 9.3.1 של גרסת 2013.
ארגונים צריכים לכלול דרישות סיסמה בחוזים שלהם עם עובדים וצוות. דרישות כאלה צריכות לכסות את היצירה והשימוש בסיסמאות.
ISO 27001:2013 הכיל דרישות נוספות לאחריות המשתמש שלא נכללה בגרסת 2022
בהשוואה לגרסת 2022, בקרה 9.3.1 הכילה את המנדט הבא להעסקת נתוני אימות:
על המשתמשים לא להשתמש באותם פרטי אימות, למשל סיסמה, למטרות עבודה ולא עבודה.
ISO 27001:2013 הכיל דרישה נוספת למערכות ניהול סיסמאות שלא נכללה בגרסת 2022
בקרה 9.4.3 של גירסת 2013 דורשת שמערכות ניהול סיסמאות חייבות:
ודא שיש להחזיק קבצים עם סיסמאות במערכת שונה מזו המארחת את נתוני האפליקציה.
ISO 27001:2022 נספח A Control 5.17 אינו מחייב זאת.
טבלה של כל בקרות ISO 27001:2022 נספח A
בטבלה למטה תמצא מידע נוסף על כל בקרת ISO 27001:2022 נספח A בנפרד.
ISO 27001:2022 בקרות ארגוניות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות ארגוניות | נספח א' 5.1 | נספח א' 5.1.1 נספח א' 5.1.2 | מדיניות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.2 | נספח א' 6.1.1 | תפקידים ואחריות של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.3 | נספח א' 6.1.2 | הפרדת תפקידים |
| בקרות ארגוניות | נספח א' 5.4 | נספח א' 7.2.1 | אחריות ניהול |
| בקרות ארגוניות | נספח א' 5.5 | נספח א' 6.1.3 | קשר עם הרשויות |
| בקרות ארגוניות | נספח א' 5.6 | נספח א' 6.1.4 | צור קשר עם קבוצות עניין מיוחדות |
| בקרות ארגוניות | נספח א' 5.7 | NEW | מודיעין סייבר |
| בקרות ארגוניות | נספח א' 5.8 | נספח א' 6.1.5 נספח א' 14.1.1 | אבטחת מידע בניהול פרויקטים |
| בקרות ארגוניות | נספח א' 5.9 | נספח א' 8.1.1 נספח א' 8.1.2 | מלאי מידע ונכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.10 | נספח א' 8.1.3 נספח א' 8.2.3 | שימוש מקובל במידע ובנכסים נלווים אחרים |
| בקרות ארגוניות | נספח א' 5.11 | נספח א' 8.1.4 | החזרת נכסים |
| בקרות ארגוניות | נספח א' 5.12 | נספח א' 8.2.1 | סיווג מידע |
| בקרות ארגוניות | נספח א' 5.13 | נספח א' 8.2.2 | תיוג מידע |
| בקרות ארגוניות | נספח א' 5.14 | נספח א' 13.2.1 נספח א' 13.2.2 נספח א' 13.2.3 | העברת מידע |
| בקרות ארגוניות | נספח א' 5.15 | נספח א' 9.1.1 נספח א' 9.1.2 | בקרת גישה |
| בקרות ארגוניות | נספח א' 5.16 | נספח א' 9.2.1 | ניהול זהות |
| בקרות ארגוניות | נספח א' 5.17 | נספח א' 9.2.4 נספח א' 9.3.1 נספח א' 9.4.3 | מידע אימות |
| בקרות ארגוניות | נספח א' 5.18 | נספח א' 9.2.2 נספח א' 9.2.5 נספח א' 9.2.6 | זכויות גישה |
| בקרות ארגוניות | נספח א' 5.19 | נספח א' 15.1.1 | אבטחת מידע ביחסי ספקים |
| בקרות ארגוניות | נספח א' 5.20 | נספח א' 15.1.2 | טיפול באבטחת מידע במסגרת הסכמי ספקים |
| בקרות ארגוניות | נספח א' 5.21 | נספח א' 15.1.3 | ניהול אבטחת מידע בשרשרת אספקת ה-ICT |
| בקרות ארגוניות | נספח א' 5.22 | נספח א' 15.2.1 נספח א' 15.2.2 | ניטור, סקירה וניהול שינויים של שירותי ספקים |
| בקרות ארגוניות | נספח א' 5.23 | NEW | אבטחת מידע לשימוש בשירותי ענן |
| בקרות ארגוניות | נספח א' 5.24 | נספח א' 16.1.1 | תכנון והכנה לניהול אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.25 | נספח א' 16.1.4 | הערכה והחלטה על אירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.26 | נספח א' 16.1.5 | תגובה לאירועי אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.27 | נספח א' 16.1.6 | למידה מתקריות אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.28 | נספח א' 16.1.7 | אוסף ראיות |
| בקרות ארגוניות | נספח א' 5.29 | נספח א' 17.1.1 נספח א' 17.1.2 נספח א' 17.1.3 | אבטחת מידע בזמן שיבוש |
| בקרות ארגוניות | נספח א' 5.30 | NEW | מוכנות ICT להמשכיות עסקית |
| בקרות ארגוניות | נספח א' 5.31 | נספח א' 18.1.1 נספח א' 18.1.5 | דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות |
| בקרות ארגוניות | נספח א' 5.32 | נספח א' 18.1.2 | זכויות קניין רוחני |
| בקרות ארגוניות | נספח א' 5.33 | נספח א' 18.1.3 | הגנה על רשומות |
| בקרות ארגוניות | נספח א' 5.34 | נספח א' 18.1.4 | פרטיות והגנה על PII |
| בקרות ארגוניות | נספח א' 5.35 | נספח א' 18.2.1 | סקירה עצמאית של אבטחת מידע |
| בקרות ארגוניות | נספח א' 5.36 | נספח א' 18.2.2 נספח א' 18.2.3 | עמידה במדיניות, כללים ותקנים לאבטחת מידע |
| בקרות ארגוניות | נספח א' 5.37 | נספח א' 12.1.1 | נהלי הפעלה מתועדים |
ISO 27001:2022 בקרות אנשים
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| אנשים בקרות | נספח א' 6.1 | נספח א' 7.1.1 | סריקה |
| אנשים בקרות | נספח א' 6.2 | נספח א' 7.1.2 | תנאי העסקה |
| אנשים בקרות | נספח א' 6.3 | נספח א' 7.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
| אנשים בקרות | נספח א' 6.4 | נספח א' 7.2.3 | תהליך משמעתי |
| אנשים בקרות | נספח א' 6.5 | נספח א' 7.3.1 | אחריות לאחר סיום או שינוי עבודה |
| אנשים בקרות | נספח א' 6.6 | נספח א' 13.2.4 | הסכמי סודיות או סודיות |
| אנשים בקרות | נספח א' 6.7 | נספח א' 6.2.2 | עבודה מרחוק |
| אנשים בקרות | נספח א' 6.8 | נספח א' 16.1.2 נספח א' 16.1.3 | דיווח אירועי אבטחת מידע |
ISO 27001:2022 בקרות פיזיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות פיזיות | נספח א' 7.1 | נספח א' 11.1.1 | היקפי אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.2 | נספח א' 11.1.2 נספח א' 11.1.6 | כניסה פיזית |
| בקרות פיזיות | נספח א' 7.3 | נספח א' 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
| בקרות פיזיות | נספח א' 7.4 | NEW | ניטור אבטחה פיזית |
| בקרות פיזיות | נספח א' 7.5 | נספח א' 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
| בקרות פיזיות | נספח א' 7.6 | נספח א' 11.1.5 | עבודה באזורים מאובטחים |
| בקרות פיזיות | נספח א' 7.7 | נספח א' 11.2.9 | Clear Desk ומסך ברור |
| בקרות פיזיות | נספח א' 7.8 | נספח א' 11.2.1 | מיקום ומיגון ציוד |
| בקרות פיזיות | נספח א' 7.9 | נספח א' 11.2.6 | אבטחת נכסים מחוץ לשטח |
| בקרות פיזיות | נספח א' 7.10 | נספח א' 8.3.1 נספח א' 8.3.2 נספח א' 8.3.3 נספח א' 11.2.5 | אחסון מדיה |
| בקרות פיזיות | נספח א' 7.11 | נספח א' 11.2.2 | כלי עזר תומכים |
| בקרות פיזיות | נספח א' 7.12 | נספח א' 11.2.3 | אבטחת כבלים |
| בקרות פיזיות | נספח א' 7.13 | נספח א' 11.2.4 | תחזוקת ציוד |
| בקרות פיזיות | נספח א' 7.14 | נספח א' 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |
ISO 27001:2022 בקרות טכנולוגיות
| נספח א' סוג בקרה | מזהה ISO/IEC 27001:2022 נספח A | מזהה ISO/IEC 27001:2013 נספח A | שם נספח א' |
|---|---|---|---|
| בקרות טכנולוגיות | נספח א' 8.1 | נספח א' 6.2.1 נספח א' 11.2.8 | התקני נקודת קצה של משתמש |
| בקרות טכנולוגיות | נספח א' 8.2 | נספח א' 9.2.3 | זכויות גישה מועדפות |
| בקרות טכנולוגיות | נספח א' 8.3 | נספח א' 9.4.1 | הגבלת גישה למידע |
| בקרות טכנולוגיות | נספח א' 8.4 | נספח א' 9.4.5 | גישה לקוד המקור |
| בקרות טכנולוגיות | נספח א' 8.5 | נספח א' 9.4.2 | אימות מאובטח |
| בקרות טכנולוגיות | נספח א' 8.6 | נספח א' 12.1.3 | ניהול קיבולת |
| בקרות טכנולוגיות | נספח א' 8.7 | נספח א' 12.2.1 | הגנה מפני תוכנות זדוניות |
| בקרות טכנולוגיות | נספח א' 8.8 | נספח א' 12.6.1 נספח א' 18.2.3 | ניהול נקודות תורפה טכניות |
| בקרות טכנולוגיות | נספח א' 8.9 | NEW | ניהול תצורה |
| בקרות טכנולוגיות | נספח א' 8.10 | NEW | מחיקת מידע |
| בקרות טכנולוגיות | נספח א' 8.11 | NEW | מיסוך נתונים |
| בקרות טכנולוגיות | נספח א' 8.12 | NEW | מניעת דליפת נתונים |
| בקרות טכנולוגיות | נספח א' 8.13 | נספח א' 12.3.1 | גיבוי מידע |
| בקרות טכנולוגיות | נספח א' 8.14 | נספח א' 17.2.1 | יתירות של מתקנים לעיבוד מידע |
| בקרות טכנולוגיות | נספח א' 8.15 | נספח א' 12.4.1 נספח א' 12.4.2 נספח א' 12.4.3 | רישום |
| בקרות טכנולוגיות | נספח א' 8.16 | NEW | פעולות ניטור |
| בקרות טכנולוגיות | נספח א' 8.17 | נספח א' 12.4.4 | סנכרון שעון |
| בקרות טכנולוגיות | נספח א' 8.18 | נספח א' 9.4.4 | שימוש בתוכניות שירות מועדפות |
| בקרות טכנולוגיות | נספח א' 8.19 | נספח א' 12.5.1 נספח א' 12.6.2 | התקנת תוכנה על מערכות תפעוליות |
| בקרות טכנולוגיות | נספח א' 8.20 | נספח א' 13.1.1 | אבטחת רשתות |
| בקרות טכנולוגיות | נספח א' 8.21 | נספח א' 13.1.2 | אבטחת שירותי רשת |
| בקרות טכנולוגיות | נספח א' 8.22 | נספח א' 13.1.3 | הפרדת רשתות |
| בקרות טכנולוגיות | נספח א' 8.23 | NEW | סינון אינטרנט |
| בקרות טכנולוגיות | נספח א' 8.24 | נספח א' 10.1.1 נספח א' 10.1.2 | שימוש בקריפטוגרפיה |
| בקרות טכנולוגיות | נספח א' 8.25 | נספח א' 14.2.1 | מחזור חיים של פיתוח מאובטח |
| בקרות טכנולוגיות | נספח א' 8.26 | נספח א' 14.1.2 נספח א' 14.1.3 | דרישות אבטחת יישומים |
| בקרות טכנולוגיות | נספח א' 8.27 | נספח א' 14.2.5 | ארכיטקטורת מערכת ועקרונות הנדסה מאובטחת |
| בקרות טכנולוגיות | נספח א' 8.28 | NEW | קידוד מאובטח |
| בקרות טכנולוגיות | נספח א' 8.29 | נספח א' 14.2.8 נספח א' 14.2.9 | בדיקות אבטחה בפיתוח וקבלה |
| בקרות טכנולוגיות | נספח א' 8.30 | נספח א' 14.2.7 | פיתוח במיקור חוץ |
| בקרות טכנולוגיות | נספח א' 8.31 | נספח א' 12.1.4 נספח א' 14.2.6 | הפרדת סביבות פיתוח, בדיקה וייצור |
| בקרות טכנולוגיות | נספח א' 8.32 | נספח א' 12.1.2 נספח א' 14.2.2 נספח א' 14.2.3 נספח א' 14.2.4 | שינוי הנהלה |
| בקרות טכנולוגיות | נספח א' 8.33 | נספח א' 14.3.1 | מידע על בדיקה |
| בקרות טכנולוגיות | נספח א' 8.34 | נספח א' 12.7.1 | הגנה על מערכות מידע במהלך בדיקות ביקורת |
מקרים לדוגמא
הכלי Proteus של Xergy מייצר צמיחה באמצעות תאימות ל-ISO 27001 באמצעות ISMS.online
קרא מקרה מבחןכיצד ISMS.online עזרה
ISMS.Online מאפשרת לארגונים ועסקים לעמוד בצרכי ISO 27001:2022 על ידי מתן פלטפורמה המאפשרת ניהול, עדכון, בדיקה ומעקב אחר האפקטיביות של מדיניות ונהלי הסודיות או אי החשיפה שלהם.
אנו מציעים פלטפורמה מבוססת ענן לניהול סודיות ו מערכות ניהול אבטחת מידע, הכולל סעיפי אי גילוי, ניהול סיכונים, מדיניות, תוכניות ונהלים, הכל במיקום נוח אחד. זה פשוט לשימוש, עם ממשק אינטואיטיבי שמקל על הלמידה.
צור איתנו קשר עוד היום כדי לארגן הפגנה.
קפוץ לנושא
