עבור לתוכן
ISMS.online

ISO 27701 – סעיף 6.6.3 – אחריות המשתמש

סעיף 6.6.3 של ISO/IEC 27701 מתאר את אחריות המשתמש באבטחת אימות, תוך שימת דגש על הצורך של ארגונים ליישם ולנהל מנגנוני אימות חזקים לשמירה על אבטחת מידע.

מְחַבֵּר
טובי קיין
עודכן בספטמבר 19, 2025
4/5 כוכבים

הבטחת אימות חזק: אחריות משתמש תחת ISO 27701

נהלי אימות נאותים ומאובטחים הם עמוד השדרה של רוב מדיניות הגישה הכללית והספציפית לנושא, בין אם הם מתייחסים ל-PII או מידע, נכסים ונתונים באופן כללי.

סיסמאות ניתנות לניחוש ובנוי בצורה גרועה הן פרי נמוך עבור פושעי סייבר המבקשים לקבל גישה ל-PII של ארגון, שבדרך כלל נפדה בחזרה, משמש כמזון למוניטין או נמכר ברשת האפלה לכל ההצעה הגבוהה ביותר.

המשתמשים צריכים לדבוק במדיניות סיסמאות שנאכפת בקפדנות, המכסה יצירה, הפצה, בניית סיסמאות ועושה שימוש בטכנולוגיית אימות זמינה (SSO, כספות סיסמאות).

מה מכוסה בסעיף 27701 של ISO 6.6.3

ISO 27702 6.6.3 כולל סעיף משנה אחד בלבד, המכיל הנחיות מאוחדות מ-ISO 27002 המתאר כיצד ארגונים צריכים לגשת לאבטחת אימות:

  • ISO 27701 6.6.3.1 - שימוש במידע אימות סודי (References ISO 27002 Control 5.17)

אין ציטוטים של GDPR בבריטניה שיש לקחת בחשבון, וגם ISO אינו מספק נקודות הנחיות ספציפיות ל-PIMS או PII שיש לדבוק בהן.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


ISO 27701 סעיף 6.6.3.1 - שימוש במידע אימות סודי

הפניות ISO 27002 בקרה 5.17

הנפקה וניהול מידע אימות

יש להפיץ ולנהל את פרטי האימות כך:

  • מידע אימות שנוצר באופן אוטומטי (סיסמאות וכו') נשמר בסוד מכל מי שאינו מורשה להשתמש בהם, אינו ניתן לניחוש ומנוהל באופן שמאלץ משתמש לשנות אותם לאחר הכניסה הראשונית.
  • לפני הנפקה או החלפה של פרטי אימות, נקבעים נהלים לאימות זהות האדם שדורש אותם.
  • הערוצים המאובטחים הנכונים משמשים להעברת פרטי אימות (כלומר לא באמצעות דואר אלקטרוני).
  • לאחר שהפרטים הועברו בהצלחה לכל מי שצריך אותם, המשתמש/ים מאשרים קבלה בזמן.
  • כל מידע אימות שסופק על ידי הספק (כגון ברירת המחדל של שם המשתמש והסיסמה הנתבים וחומות האש) משתנה עם הקבלה.
  • נשמרים רישומים של אירועי אימות רלוונטיים - במיוחד לגבי ההקצאה הראשונית והניהול הבא של פרטי האימות.

כל צוות המשתמש במידע אימות ארגוני צריך לוודא כי:

  • הכל פרטי האימות נשמרים חסויים לחלוטין.
  • אם פרטי האימות נפגעים, מוצגים או שותפים על ידי כל אחד מלבד הבעלים המקורי, פרטים אלה ישתנו מיד.
  • כל סיסמאות נוצרות ו/או נוצרות בהתאם למדיניות הסיסמאות של הארגון, והסיסמאות הן ייחודיות בפלטפורמות שונות (כלומר, סיסמאות דומיין אינן זהות לסיסמאות של שירותי ענן).
  • חוזי העסקה מכילים דרישה מפורשת לציית למדיניות הסיסמאות של החברה (ראה ISO 27002 בקרת 6.2).

מערכות ניהול סיסמאות

ארגונים צריכים לשקול ליישם מערכת ניהול סיסמאות (יישומים מיוחדים לבקרת סיסמאות) ש:

  • נותן מענה למשתמשים שצריכים לשנות כל סיסמה שבה הם משתמשים.
  • מתוכנת לדחות סיסמאות הנופלות מחוץ להנחיות השיטות המומלצות.
  • מאלץ משתמשים לשנות את הסיסמה שנוצרה על ידי המערכת, לאחר שהם משתמשים בה בפעם הראשונה.
  • אינו מתיר המשך שימוש בסיסמאות ישנות, או ביטויים דומים ושילובים אלפאנומריים.
  • מסתיר סיסמאות בזמן שהן מוזנות.
  • מאחסן ושולח מידע סיסמה בצורה מאובטחת.
  • מספק הצפנת סיסמה וטכניקות הצפנה דומות (ראה ISO 27002 בקרת 8.24).

נתוני סיסמה

כדי להגן על PII ולשפר את מאמצי ההגנה על הפרטיות הארגונית, סיסמאות צריכות לפעול לפי ארבעה עקרונות מנחים:

  • אין לבנות סיסמאות סביב מידע שניתן לנחש או ביוגרפי.
  • סיסמאות לא צריכות להכיל מילים ניתנות לזיהוי, במקום תווים אלפאנומריים אקראיים.
  • יש להשתמש בתווים מיוחדים כדי להגביר את מורכבות הסיסמה.
  • לכל הסיסמאות צריך להיות אורך מינימלי (אידיאלי 12 תווים).

ארגונים צריכים לשקול גם שימוש בפרוטוקולי אימות כגון כניסה יחידה (SSO) כדי לשפר את אבטחת הסיסמה, אך יש לשקול אמצעים כאלה רק לצד הדרישות הטכניות והתפעוליות הייחודיות של הארגון.

בקרות ISO 27002 רלוונטיות

  • ISO 27002 6.2
  • ISO 27002 8.24


טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


בקרות תומכות מ-ISO 27002 ו-GDPR

מזהה סעיף ISO 27701 שם סעיף ISO 27701 דרישת ISO 27002 מאמרי GDPR משויכים
6.6.3.1 שימוש במידע אימות סודי 5.17 – מידע אימות עבור ISO 27002 ללא חתימה

כיצד ISMS.online עוזר

איך אנחנו עוזרים?

על ידי הוספת PIMS ל-ISMS שלך בפלטפורמת ISMS.online, עמדת האבטחה שלך נשארת במקום אחד ותימנע כפילות במקום שבו התקנים חופפים.

עם ה-PIMS שלך נגיש באופן מיידי לבעלי עניין, מעולם לא היה קל יותר לנטר, לדווח ולבקר מול ISO 27002 ו-ISO 27701 בלחיצת כפתור.

כל התכונות שאתה צריך:

  • ROPA קל
  • בנק סיכונים מובנה
  • מקום מאובטח עבור DRR

גלה כמה זמן וכסף תחסוך במסע שלך להסמכת ISO 27002 ו-27701 משולבת באמצעות ISMS.online על ידי הזמנת הדגמה.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

לינקדין

סעיפי ISO 27701

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

מוכן להתחיל?

הזמן הדגמה