- Voir ISO 27002:2022 Contrôle 5.17 pour en profiter.
- Voir ISO 27001:2013 Annexe A 9.2.4 pour en profiter.
- Voir ISO 27001:2013 Annexe A 9.3.1 pour en profiter.
- Voir ISO 27001:2013 Annexe A 9.4.3 pour en profiter.
Explication du contrôle 27001 de la norme ISO 2022:5.17 : protection des données d'authentification
ISO 27001:2022 Annexe A Le contrôle 5.17 stipule que les informations d'authentification doivent être conservées en sécurité.
Cela signifie que les organisations doivent prendre les mesures appropriées pour protéger les informations d'identification des utilisateurs, telles que les mots de passe et les questions de sécurité, contre tout accès non autorisé. Ils doivent également assurer que les utilisateurs peuvent accéder au système avec leurs informations d'identification de manière sécurisée. En outre, les organisations doivent également s'assurer que les utilisateurs peuvent réinitialiser leurs informations d'identification si nécessaire.
Les détails d'authentification (mots de passe, clés de cryptage et puces de carte) permettent d'accéder aux systèmes d'information contenant des données sensibles.
Une mauvaise gestion des informations d'authentification peut conduire à un accès non autorisé aux systèmes de données et à la perte de confidentialité, de disponibilité et d'intégrité des données sensibles.
Quel est l’objectif du contrôle 27001 de l’Annexe A de la norme ISO 2022 : 5.17 ?
L'Annexe A Contrôle 5.17 permet aux organisations d'attribuer et de gérer efficacement les informations d'authentification, en évitant les pannes dans le processus d'authentification et en se protégeant contre les menaces de sécurité qui pourraient résulter de la manipulation des informations d'authentification.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
Propriété de l'annexe A 5.17
ISO 27001:2022 Annexe A Contrôle 5.17 exige l'établissement et la mise en œuvre de règles, procédures et mesures à l'échelle de l'organisation pour l'attribution et la gestion des informations d'authentification. Agents de sécurité de l'information devrait s’assurer du respect de ce contrôle.
Annexe A 5.17 Orientations sur l'attribution des informations d'authentification
Les organisations doivent respecter ces six exigences pour l’attribution et l’administration des informations d’authentification :
- Lors de l’inscription de nouveaux utilisateurs, les mots de passe personnels et les numéros d’identification personnels générés automatiquement doivent être impossibles à deviner. De plus, chaque utilisateur doit disposer d'un mot de passe unique et il est obligatoire de changer les mots de passe après la première utilisation.
- Les organisations doivent disposer de processus solides pour vérifier l'identité d'un utilisateur avant de lui fournir des informations d'authentification nouvelles ou de remplacement, ou de lui fournir des informations temporaires.
- Les organisations doivent garantir la transmission sécurisée des informations d'authentification aux individus via des voies sécurisées et ne doivent pas envoyer de telles informations via des messages électroniques non sécurisés (par exemple, du texte brut).
- Les utilisateurs doivent s'assurer qu'ils ont reçu les détails d'authentification.
- Les organisations doivent agir rapidement après avoir installé de nouveaux systèmes et logiciels informatiques, en modifiant immédiatement les détails d'authentification par défaut.
- Les organisations doivent établir et conserver de manière persistante des enregistrements de tous les événements importants liés à la gestion et à l'attribution des informations d'authentification. Ces enregistrements doivent rester confidentiels et les méthodes de conservation des enregistrements doivent être autorisées, par exemple avec l'utilisation d'un outil de mot de passe autorisé.
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
Annexe A 5.17 Orientations sur les responsabilités des utilisateurs
Les utilisateurs ayant accès aux informations d'authentification doivent être invités à respecter les points suivants :
- Les utilisateurs doivent garder confidentielles les informations d'authentification secrètes telles que les mots de passe et ne doivent pas les partager avec quiconque. Lorsque plusieurs utilisateurs sont impliqués dans l'utilisation des informations d'authentification ou que les informations sont liées à des entités non personnelles, ils ne doivent pas les divulguer à des personnes non autorisées.
- Les utilisateurs doivent changer leur mot de passe immédiatement si le secret de leur mot de passe a été violé.
- Les utilisateurs doivent sélectionner des mots de passe difficiles à deviner et forts, conformes aux normes de l'industrie. Par exemple:
- Les mots de passe ne doivent pas être basés sur des informations personnelles faciles à obtenir, telles que les noms ou les dates de naissance.
- Les mots de passe ne doivent pas être fondés sur des informations faciles à deviner.
- Les mots de passe ne doivent pas comprendre de mots ou de séquences de mots communs.
- Utilisez des caractères alphanumériques et des caractères spéciaux dans votre mot de passe.
- Les mots de passe doivent avoir une longueur minimale requise.
- Les utilisateurs ne doivent pas utiliser le même mot de passe pour différents services.
- Les organisations devraient faire en sorte que leurs employés acceptent la responsabilité de créer et d'utiliser des mots de passe dans leurs contrats de travail.
Annexe A 5.17 Orientations sur les systèmes de gestion des mots de passe
Les organisations doivent respecter les points suivants lors de la mise en place d’un système de gestion des mots de passe :
- Les utilisateurs doivent avoir la possibilité de créer et de modifier leurs mots de passe, avec une procédure de vérification en place pour détecter et rectifier toute erreur lors de la saisie des données.
- Les organisations doivent respecter les meilleures pratiques du secteur lors de l’élaboration d’un processus robuste de sélection de mots de passe.
- Les utilisateurs doivent modifier leurs mots de passe par défaut lors du premier accès à un système.
- Il est essentiel de changer les mots de passe le cas échéant. Par exemple, après un incident de sécurité ou lorsqu'un employé quitte son emploi et a accès à des mots de passe, un changement de mot de passe est nécessaire.
- Les mots de passe précédents ne doivent pas être recyclés.
- L'utilisation de mots de passe largement connus ou ayant fait l'objet d'un accès en violation de la sécurité ne devrait pas être autorisée pour accéder à des systèmes piratés.
- Lorsque les mots de passe sont saisis, ils doivent être affichés à l’écran en texte clair.
- Les mots de passe doivent être transmis et stockés via des canaux sécurisés dans un format sécurisé.
Les organisations doivent également mettre en œuvre des procédures de hachage et de cryptage conformes aux méthodes cryptographiques approuvées pour les mots de passe indiquées à l'annexe A. Contrôle 8.24 de la norme ISO 27001:2022.
Orientations supplémentaires sur le contrôle 5.17 de l’Annexe A
Outre les mots de passe, d'autres formes d'authentification, telles que les clés cryptographiques, les cartes à puce et les données biométriques telles que les empreintes digitales.
Les organisations doivent se tourner vers la série ISO/IEC 24760 pour obtenir des conseils supplémentaires sur les données d'authentification.
Compte tenu des tracas et des désagréments liés au changement régulier des mots de passe, les organisations peuvent envisager des alternatives telles que l’authentification unique ou les coffres-forts de mots de passe. Il convient toutefois de noter que ces options augmentent le risque que les informations d'authentification confidentielles soient exposées à des parties non autorisées.
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
Modifications et différences par rapport à la norme ISO 27001:2013
ISO 27001: 2022 L'Annexe A 5.17 remplace l'ISO 27001:2013 Annexe A 9.2.4, 9.3.1 et 9.4.3.
La norme ISO 27001 : 2022 contient une nouvelle exigence en matière d'attribution et de gestion des informations d'authentification
En 2013, les exigences en matière d'attribution et de gestion des informations d'authentification étaient très similaires. Cependant, ISO 27001:2022 Annexe A Contrôle 5.17 introduit une exigence qui n’existait pas en 2013.
Les organisations doivent créer et conserver des enregistrements pour tous les événements importants associés à la gestion et à la distribution des informations d'authentification. Ces enregistrements doivent rester confidentiels, avec des techniques de tenue de dossiers autorisées, par exemple l'utilisation d'un outil de mot de passe accepté.
La version 2022 contient une exigence supplémentaire concernant l'utilisation des informations d'authentification
ISO 27001:2022 Annexe A Contrôle 5.17 introduit une exigence relative aux responsabilités des utilisateurs qui n'était pas spécifiée dans le Contrôle 9.3.1 de la version 2013.
Les organisations devraient inclure des exigences en matière de mot de passe dans leurs contrats avec leurs employés et leur personnel. Ces exigences devraient couvrir la création et l’utilisation de mots de passe.
La norme ISO 27001 : 2013 contenait des exigences supplémentaires concernant les responsabilités des utilisateurs qui n'étaient pas incluses dans la version 2022.
Par rapport à la version 2022, le contrôle 9.3.1 contenait le mandat suivant pour l'utilisation des données d'authentification :
Les utilisateurs ne doivent pas utiliser les mêmes informations d'authentification, par exemple un mot de passe, à des fins professionnelles et non professionnelles.
La norme ISO 27001 : 2013 contenait une exigence supplémentaire pour les systèmes de gestion de mots de passe qui n'était pas incluse dans la version 2022.
Le contrôle 9.4.3 de la version 2013 exige que les systèmes de gestion des mots de passe :
Assurez-vous que les fichiers avec des mots de passe doivent être conservés sur un système différent de celui hébergeant les données de l'application.
La norme ISO 27001 : 2022, Annexe A, Contrôle 5.17 ne l’exige pas.
Tableau de tous les contrôles ISO 27001:2022 Annexe A
Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque contrôle individuel ISO 27001:2022 Annexe A.
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles organisationnels | Annexe A 5.1 |
Annexe A 5.1.1 Annexe A 5.1.2 |
Politiques de sécurité des informations |
| Contrôles organisationnels | Annexe A 5.2 | Annexe A 6.1.1 | Rôles et responsabilités en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.3 | Annexe A 6.1.2 | Séparation des tâches |
| Contrôles organisationnels | Annexe A 5.4 | Annexe A 7.2.1 | Responsabilités de la direction |
| Contrôles organisationnels | Annexe A 5.5 | Annexe A 6.1.3 | Contact avec les autorités |
| Contrôles organisationnels | Annexe A 5.6 | Annexe A 6.1.4 | Contact avec des groupes d'intérêt spécial |
| Contrôles organisationnels | Annexe A 5.7 | NOUVEAU | Renseignement sur les menaces |
| Contrôles organisationnels | Annexe A 5.8 |
Annexe A 6.1.5 Annexe A 14.1.1 |
Sécurité de l'information dans la gestion de projet |
| Contrôles organisationnels | Annexe A 5.9 |
Annexe A 8.1.1 Annexe A 8.1.2 |
Inventaire des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.10 |
Annexe A 8.1.3 Annexe A 8.2.3 |
Utilisation acceptable des informations et autres actifs associés |
| Contrôles organisationnels | Annexe A 5.11 | Annexe A 8.1.4 | Restitution des actifs |
| Contrôles organisationnels | Annexe A 5.12 | Annexe A 8.2.1 | Classification des informations |
| Contrôles organisationnels | Annexe A 5.13 | Annexe A 8.2.2 | Étiquetage des informations |
| Contrôles organisationnels | Annexe A 5.14 |
Annexe A 13.2.1 Annexe A 13.2.2 Annexe A 13.2.3 |
Transfert d'information |
| Contrôles organisationnels | Annexe A 5.15 |
Annexe A 9.1.1 Annexe A 9.1.2 |
Contrôle d'Accès |
| Contrôles organisationnels | Annexe A 5.16 | Annexe A 9.2.1 | Gestion d'identité |
| Contrôles organisationnels | Annexe A 5.17 |
Annexe A 9.2.4 Annexe A 9.3.1 Annexe A 9.4.3 |
Informations d'authentification |
| Contrôles organisationnels | Annexe A 5.18 |
Annexe A 9.2.2 Annexe A 9.2.5 Annexe A 9.2.6 |
Des droits d'accès |
| Contrôles organisationnels | Annexe A 5.19 | Annexe A 15.1.1 | Sécurité de l'information dans les relations avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.20 | Annexe A 15.1.2 | Aborder la sécurité des informations dans les accords avec les fournisseurs |
| Contrôles organisationnels | Annexe A 5.21 | Annexe A 15.1.3 | Gestion de la sécurité de l'information dans la chaîne d'approvisionnement des TIC |
| Contrôles organisationnels | Annexe A 5.22 |
Annexe A 15.2.1 Annexe A 15.2.2 |
Surveillance, révision et gestion du changement des services des fournisseurs |
| Contrôles organisationnels | Annexe A 5.23 | NOUVEAU | Sécurité des informations pour l'utilisation des services cloud |
| Contrôles organisationnels | Annexe A 5.24 | Annexe A 16.1.1 | Planification et préparation de la gestion des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.25 | Annexe A 16.1.4 | Évaluation et décision sur les événements liés à la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.26 | Annexe A 16.1.5 | Réponse aux incidents de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.27 | Annexe A 16.1.6 | Tirer les leçons des incidents de sécurité de l’information |
| Contrôles organisationnels | Annexe A 5.28 | Annexe A 16.1.7 | Collecte de preuves |
| Contrôles organisationnels | Annexe A 5.29 |
Annexe A 17.1.1 Annexe A 17.1.2 Annexe A 17.1.3 |
Sécurité des informations en cas de perturbation |
| Contrôles organisationnels | Annexe A 5.30 | NOUVEAU | Préparation aux TIC pour la continuité des activités |
| Contrôles organisationnels | Annexe A 5.31 |
Annexe A 18.1.1 Annexe A 18.1.5 |
Exigences légales, statutaires, réglementaires et contractuelles |
| Contrôles organisationnels | Annexe A 5.32 | Annexe A 18.1.2 | Droits de Propriété Intellectuelle |
| Contrôles organisationnels | Annexe A 5.33 | Annexe A 18.1.3 | Protection des dossiers |
| Contrôles organisationnels | Annexe A 5.34 | Annexe A 18.1.4 | Confidentialité et protection des informations personnelles |
| Contrôles organisationnels | Annexe A 5.35 | Annexe A 18.2.1 | Examen indépendant de la sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.36 |
Annexe A 18.2.2 Annexe A 18.2.3 |
Conformité aux politiques, règles et normes en matière de sécurité de l'information |
| Contrôles organisationnels | Annexe A 5.37 | Annexe A 12.1.1 | Procédures opérationnelles documentées |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles des personnes | Annexe A 6.1 | Annexe A 7.1.1 | Présélection |
| Contrôles des personnes | Annexe A 6.2 | Annexe A 7.1.2 | Conditions d'emploi |
| Contrôles des personnes | Annexe A 6.3 | Annexe A 7.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| Contrôles des personnes | Annexe A 6.4 | Annexe A 7.2.3 | Processus disciplinaire |
| Contrôles des personnes | Annexe A 6.5 | Annexe A 7.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| Contrôles des personnes | Annexe A 6.6 | Annexe A 13.2.4 | Accords de confidentialité ou de non-divulgation |
| Contrôles des personnes | Annexe A 6.7 | Annexe A 6.2.2 | Travail à distance |
| Contrôles des personnes | Annexe A 6.8 |
Annexe A 16.1.2 Annexe A 16.1.3 |
Rapport d'événements liés à la sécurité de l'information |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles physiques | Annexe A 7.1 | Annexe A 11.1.1 | Périmètres de sécurité physique |
| Contrôles physiques | Annexe A 7.2 |
Annexe A 11.1.2 Annexe A 11.1.6 |
Entrée physique |
| Contrôles physiques | Annexe A 7.3 | Annexe A 11.1.3 | Sécuriser les bureaux, les chambres et les installations |
| Contrôles physiques | Annexe A 7.4 | NOUVEAU | Surveillance de la sécurité physique |
| Contrôles physiques | Annexe A 7.5 | Annexe A 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| Contrôles physiques | Annexe A 7.6 | Annexe A 11.1.5 | Travailler dans des zones sécurisées |
| Contrôles physiques | Annexe A 7.7 | Annexe A 11.2.9 | Bureau clair et écran clair |
| Contrôles physiques | Annexe A 7.8 | Annexe A 11.2.1 | Emplacement et protection des équipements |
| Contrôles physiques | Annexe A 7.9 | Annexe A 11.2.6 | Sécurité des actifs hors site |
| Contrôles physiques | Annexe A 7.10 |
Annexe A 8.3.1 Annexe A 8.3.2 Annexe A 8.3.3 Annexe A 11.2.5 |
stockage des médias |
| Contrôles physiques | Annexe A 7.11 | Annexe A 11.2.2 | Utilitaires de support |
| Contrôles physiques | Annexe A 7.12 | Annexe A 11.2.3 | Sécurité du câblage |
| Contrôles physiques | Annexe A 7.13 | Annexe A 11.2.4 | Entretien de l'équipement |
| Contrôles physiques | Annexe A 7.14 | Annexe A 11.2.7 | Élimination ou réutilisation sécurisée de l’équipement |
| Annexe A Type de contrôle | Identifiant ISO/IEC 27001:2022 Annexe A | Identifiant ISO/IEC 27001:2013 Annexe A | Annexe A Nom |
|---|---|---|---|
| Contrôles technologiques | Annexe A 8.1 |
Annexe A 6.2.1 Annexe A 11.2.8 |
Périphériques de point de terminaison utilisateur |
| Contrôles technologiques | Annexe A 8.2 | Annexe A 9.2.3 | Droits d'accès privilégiés |
| Contrôles technologiques | Annexe A 8.3 | Annexe A 9.4.1 | Restriction d'accès aux informations |
| Contrôles technologiques | Annexe A 8.4 | Annexe A 9.4.5 | Accès au code source |
| Contrôles technologiques | Annexe A 8.5 | Annexe A 9.4.2 | Authentification sécurisée |
| Contrôles technologiques | Annexe A 8.6 | Annexe A 12.1.3 | Gestion de la capacité |
| Contrôles technologiques | Annexe A 8.7 | Annexe A 12.2.1 | Protection contre les logiciels malveillants |
| Contrôles technologiques | Annexe A 8.8 |
Annexe A 12.6.1 Annexe A 18.2.3 |
Gestion des vulnérabilités techniques |
| Contrôles technologiques | Annexe A 8.9 | NOUVEAU | Configuration Management |
| Contrôles technologiques | Annexe A 8.10 | NOUVEAU | Suppression des informations |
| Contrôles technologiques | Annexe A 8.11 | NOUVEAU | Masquage des données |
| Contrôles technologiques | Annexe A 8.12 | NOUVEAU | Prévention des fuites de données |
| Contrôles technologiques | Annexe A 8.13 | Annexe A 12.3.1 | Sauvegarde des informations |
| Contrôles technologiques | Annexe A 8.14 | Annexe A 17.2.1 | Redondance des installations de traitement de l'information |
| Contrôles technologiques | Annexe A 8.15 |
Annexe A 12.4.1 Annexe A 12.4.2 Annexe A 12.4.3 |
Journal |
| Contrôles technologiques | Annexe A 8.16 | NOUVEAU | Activités de surveillance |
| Contrôles technologiques | Annexe A 8.17 | Annexe A 12.4.4 | Synchronisation d'horloge |
| Contrôles technologiques | Annexe A 8.18 | Annexe A 9.4.4 | Utilisation des programmes utilitaires privilégiésDroits d'accès |
| Contrôles technologiques | Annexe A 8.19 |
Annexe A 12.5.1 Annexe A 12.6.2 |
Installation de logiciels sur les systèmes opérationnels |
| Contrôles technologiques | Annexe A 8.20 | Annexe A 13.1.1 | Sécurité des réseaux |
| Contrôles technologiques | Annexe A 8.21 | Annexe A 13.1.2 | Sécurité des services réseau |
| Contrôles technologiques | Annexe A 8.22 | Annexe A 13.1.3 | Ségrégation des réseaux |
| Contrôles technologiques | Annexe A 8.23 | NOUVEAU | filtrage web |
| Contrôles technologiques | Annexe A 8.24 |
Annexe A 10.1.1 Annexe A 10.1.2 |
Utilisation de la cryptographie |
| Contrôles technologiques | Annexe A 8.25 | Annexe A 14.2.1 | Cycle de vie du développement sécurisé |
| Contrôles technologiques | Annexe A 8.26 |
Annexe A 14.1.2 Annexe A 14.1.3 |
Exigences de sécurité des applications |
| Contrôles technologiques | Annexe A 8.27 | Annexe A 14.2.5 | Principes d'architecture et d'ingénierie des systèmes sécurisés : Apprendre des incidents de sécurité de l'information |
| Contrôles technologiques | Annexe A 8.28 | NOUVEAU | Codage sécurisé |
| Contrôles technologiques | Annexe A 8.29 |
Annexe A 14.2.8 Annexe A 14.2.9 |
Tests de sécurité en développement et acceptation |
| Contrôles technologiques | Annexe A 8.30 | Annexe A 14.2.7 | Développement externalisé |
| Contrôles technologiques | Annexe A 8.31 |
Annexe A 12.1.4 Annexe A 14.2.6 |
Séparation des environnements de développement, de test et de production |
| Contrôles technologiques | Annexe A 8.32 |
Annexe A 12.1.2 Annexe A 14.2.2 Annexe A 14.2.3 Annexe A 14.2.4 |
La Gestion du changement |
| Contrôles technologiques | Annexe A 8.33 | Annexe A 14.3.1 | Informations sur les tests |
| Contrôles technologiques | Annexe A 8.34 | Annexe A 12.7.1 | Protection des systèmes d'information lors des tests d'audit |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Comment l'aide d'ISMS.online
ISMS.Online permet aux organisations et aux entreprises de se conformer aux exigences de la norme ISO 27001:2022 en leur fournissant une plateforme qui facilite la gestion, la mise à jour, les tests et le suivi de l'efficacité de leurs politiques et procédures de confidentialité ou de non-divulgation.
Nous proposons une plateforme basée sur le cloud pour administrer la confidentialité et Systèmes de gestion de la sécurité de l'information, comprenant des clauses de non-divulgation, la gestion des risques, des politiques, des plans et des procédures, le tout dans un seul endroit pratique. Il est simple à utiliser, avec une interface intuitive qui facilite son apprentissage.
Contactez-nous aujourd'hui pour organiser une démonstration.
