Sisältökirjasto
ISO27 Täysi
9.3: Käyttäjän vastuut

Kuinka täyttää vaatimus

ISO 27001 (2013): Täysi

9.3: Käyttäjän vastuut

Tehtävän nimi
Prioriteetti
Tila
Teema
Politiikka
Muut vaatimukset

Ohjeistukset henkilöstölle tietojärjestelmien ja tunnistautumistietojen käyttöön liittyen

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Tietojärjestelmien hallinta
26
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
32. Käsittelyn turvallisuus
GDPR
29. Tietojenkäsittely rekisterinpitäjän ja henkilötietojen käsittelijän alaisuudessa
GDPR
8.1.3: Suojattavan omaisuuden hyväksyttävä käyttö
ISO27 Täysi
12.1.1: Dokumentoidut toimintaohjeet
ISO27 Täysi
9.1.1: Pääsynhallintapolitiikka
ISO27 Täysi
1. Tehtävän vaatimuskuvaus

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Salasanan hallintajärjestelmän käyttö ja arviointi

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
13
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
9.3.1: Tunnistautumistietojen käyttö
ISO27 Täysi
9.4.3: Salasanojen hallintajärjestelmä
ISO27 Täysi
9.3: Käyttäjän vastuut
ISO27 Täysi
5.17: Tunnistautumistiedot
ISO27k1 Täysi
CC6.1b: Logical access control for protected information assets
SOC 2
1. Tehtävän vaatimuskuvaus

Salasanojen hallintajärjestelmä antaa käyttäjän rekisteröitymistilanteessa päättää, mitenkä monimutkainen salasana tällä kertaa laitetaan, ja muistaa sen käyttäjän puolesta.

Salasanojen hallintajärjestelmän käytössä voidaan noudattaa mm. seuraavia periaatteita:

  • järjestelmä pakottaa käyttämään jatkossa yksilöllisiä salasanoja
  • järjestelmä varoittaa käyttäjää vaihtamaan vanhat toistuvat salasanat
  • järjestelmä pakottaa valitsemaan tarpeeksi monimutkaisia, laadukkaita salasanoja
  • järjestelmä pakottaa käyttäjän vaihtamaan tilapäisen salasanan ensimmäisellä kirjautumiskerralla
  • järjestelmä pakottaa vaihtamaan mahdollisesti tietovuodossa vaarantuneen salasanan
  • järjestelmä estää samojen salasanojen uudelleen käyttämisen
  • järjestelmä säilyttää salasanatiedostot erillään muista tiedoista ja vahvasti salattuina

Monivaiheisen tunnistautumisen mahdollistaminen kaikille käyttäjille

Critical
High
Normal
Low
Täysin tehty
Pääosin tehty
Osin tehty
Tekemättä
Järjestelmien hallinta
Pääsynhallinta ja tunnistautuminen
12
vaatimusta
Tehtävä toteuttaa näitä vaatimuskehikkojen vaatimuksia
9.3.1: Tunnistautumistietojen käyttö
ISO27 Täysi
9.3: Käyttäjän vastuut
ISO27 Täysi
UAC-04: Two factor authentication
Cyber Essentials
PR.AC-7: User, device, and other asset authentication
NIST
44: Monivaiheinen tunnistus etäkäytössä
Kokonaiskuva (DVV)
1. Tehtävän vaatimuskuvaus

Monivaiheinen tunnistautuminen (multi-factor authentication, MFA) auttaa suojaamaan laitteita ja tietoja. Sen soveltamiseksi käyttäjistä on oltava identiteetinhallintajärjestelmässä muutakin tietoa kuin vain sähköpostiosoite - esimerkiksi puhelinnumero tai liitetty Authenticator-sovellus (esim. Microsoft, Google tai LastPass Authenticator).

No items found.