Wie Passwortmanagement Unternehmen hilft, die ISO 27001-Zertifizierung zu erreichen

Update: Seit März 27001 ist Bitwarden ISO 27001-zertifiziert in Übereinstimmung mit ISO 27001-Kontrollsätzen rund um die Datensicherheit.

ISO 27001, eine internationale Norm, legt die Grundlage für die Erstellung, Wartung und Entwicklung von Informationssicherheitsmanagementsystemen (ISMS), einschließlich Datenmanagement. Unternehmen, die die ISO 27001-Konformität oder Zertifizierung erreichen möchten, sollten erwägen, ihr Toolset um die

Die globale Gruppe

Um sich als ISO 27001-Unternehmen zu zertifizieren, müssen Sie 93 Kontrollsätze einhalten.

Der ISO 27001-Zertifizierungsprozess besteht aus einem Audit, das von

Die ISO 27001-Zertifizierung verschafft Unternehmen einen Wettbewerbsvorteil bei der Gewinnung und Bindung von Kunden, da die Zertifizierung robuste Kontrollen der Informationssicherheit demonstriert. Die Zertifizierung kann auch Lieferanten und andere Stakeholder anziehen und binden, die darüber besorgt sind, wie ihre Informationen verwaltet und geschützt werden.

Selbst die Vorbereitung auf den Auditprozess kann bestehende ISO 27001-Richtlinien stärken und interne Systeme, Strukturen und tägliche Geschäftsprozesse verbessern. Der Risikomanagementprozess kann Unternehmen auch dabei helfen, Datenschutzgesetze wie CCPA und DSGVO besser einzuhalten und Bußgelder für Nichteinhaltung oder Reputationsverlust aufgrund einer vermeidbaren Datenschutzverletzung zu vermeiden.

Die 93 Steuersätze sind in Anhang A enthalten und fallen unter 4 größere Themen. Um die ISO 27001-Zertifizierung zu erhalten, müssen Unternehmen die Einhaltung dieser Kontrollen nachweisen. Die Kategorien sind:

• Organisatorische Kontrollen (37 Kontrollen)

• Personenkontrollen (8 Kontrollen)

• Physische Kontrollen (14 Kontrollen)

• Technologische Kontrollen (34 Kontrollen)

Die vorherige Version der ISO enthielt 114 Steuerelemente, die in 14 Kategorien unterteilt waren. Diese Version enthielt auch eine Sprache für sichere Anmelde- und Passwortverwaltungssysteme.

Die sichere Anmeldesteuerung spezifiziert "Der Zugriff auf Systeme und Anwendungen sollte durch ein sicheres Anmeldeverfahren kontrolliert werden, wenn dies von der Zugriffskontrollrichtlinie gefordert wird." Mit einem Passwort-Manager profitieren Benutzer davon, Logins eine weitere Sicherheitsebene hinzuzufügen und einen Ort zu haben, an dem sie die

In der Passwortverwaltungssystemsteuerung heißt es: "Passwortverwaltungssysteme müssen kooperativ sein, um die Qualität von Passwörtern zu gewährleisten." ISO empfiehlt die Verwendung eines

Passwort-Manager legen die Passwortstärke fest, erzwingen 2FA und verwenden Ereignisprotokolle, um die Benutzeraktivität zu überwachen - alle Funktionen, die Unternehmen erreichen müssen, um die Anforderungen der ISO-Zugriffskontrolle, des Schutzes personenbezogener Daten und des Endpoint-Schutzes zu erfüllen.

Die neueste Version der ISO 27001 befasst sich mit der Passwortverwaltung in Anhang A 5.17. Es gibt viele zusätzliche Anhang-A-Anforderungen, die durch die Einführung eines Passwort-Managers erfüllt oder unterstützt werden können. Obwohl nicht erschöpfend, sind Beispiele:

• Anlage A 5.3, Aufgabentrennung: Widersprüchliche Aufgaben und widersprüchliche Verantwortungsbereiche sind zu trennen.

• Anhang A 5.14, Informationsübertragung: Regeln, Verfahren oder Vereinbarungen zur Informationsübertragung müssen für alle Arten von Übertragungseinrichtungen innerhalb der Organisation und zwischen der Organisation und anderen Parteien vorhanden sein.

• Anhang A 5.15, Zugriffskontrolle: Regeln zur Kontrolle des physischen und logischen Zugriffs auf Informationen und andere damit verbundene Vermögenswerte müssen auf der Grundlage von Geschäfts- und Informationssicherheitsanforderungen festgelegt und implementiert werden.

• Anhang A 5.16, Identitätsmanagement: Der gesamte Lebenszyklus von Identitäten muss verwaltet werden.

• Anhang A 5.17, Authentifizierungsinformationen: Die Zuweisung und Verwaltung von Authentifizierungsinformationen muss durch einen Verwaltungsprozess kontrolliert werden, einschließlich der Beratung des Personals beim Umgang mit Best Practices für Authentifizierungsinformationen.

  • Eine

    detaillierte Einführung
    zu diesen Kriterien enthält Passwortempfehlungen mit Ratschlägen zur Verwaltung von Passwörtern, einschließlich der Möglichkeit, sichere Passwörter zu erstellen. Darüber hinaus empfiehlt das Ziel Unternehmen, schwache, weit verbreitete oder kompromittierte Anmeldeinformationen zu vermeiden.

Angesichts dieser Kriterien würden Unternehmen idealerweise ein Passwortverwaltungssystem einsetzen, das es ihnen ermöglicht, über exponierte, wiederverwendete, schwache oder potenziell gefährdete Passwörter zu berichten und verwertbare Erkenntnisse darüber zu erhalten.

• Anhang A 5.34, Datenschutz und Schutz personenbezogener Daten (PII): Die Organisation muss die Anforderungen an die Wahrung der Privatsphäre und den Schutz personenbezogener Daten gemäß den geltenden Gesetzen und Vorschriften sowie den vertraglichen Anforderungen identifizieren und erfüllen.

• Anhang A 8.1, Endgeräte des Benutzers: Informationen, die auf Endgeräten des Benutzers gespeichert, von diesen verarbeitet oder über diese zugänglich sind, sind zu schützen.

• Anhang A 8.4, Zugriff auf Quellcode: Der Lese- und Schreibzugriff auf Quellcode, Entwicklungstools und Softwarebibliotheken ist angemessen zu verwalten.

• Anhang A 8.5, Sichere Authentifizierung: Sichere Authentifizierungstechnologien und -verfahren müssen auf der Grundlage von Informationszugriffsbeschränkungen und der themenspezifischen Richtlinie zur Zugriffskontrolle implementiert werden.

  • Dieses Ziel

    konzentriert sich auf die Verwendung der Multi-Faktor-Authentifizierung
    für die sichere Anmeldung bei Systemen. Mit einem Passwort-Manager profitieren Benutzer davon, Logins eine weitere Sicherheitsebene hinzuzufügen und einen Ort zu haben, an dem sie die Zwei-Faktor-Authentifizierung (2FA) für alle Websites, die sie unterstützen, verwalten und integrieren können. Das Ziel hebt auch hervor, dass Passwörter jederzeit vertraulich behandelt werden sollten, was ein starkes Argument für einen vollständig verschlüsselten Passworttresor ist.

Passwortverwaltungssysteme ermöglichen es Unternehmen, alle Elemente in ihren Tresoren mit inaktiven 2FA zu identifizieren.

• Anhang A 8.11, Datenmaskierung: Die Datenmaskierung muss in Übereinstimmung mit der themenspezifischen Richtlinie der Organisation zur Zugriffskontrolle und anderen damit verbundenen themenspezifischen Richtlinien und Geschäftsanforderungen unter Berücksichtigung der geltenden Gesetzgebung verwendet werden.

• Anhang A 8.12, Datenleck: Maßnahmen zur Verhinderung von Datenlecks sind auf Systeme, Netzwerke und alle anderen Geräte anzuwenden, die sensible Informationen verarbeiten, speichern oder übertragen.

Ein Passwortverwaltungssystem unterstützt die zahlreichen Anforderungen des Anhangs A, die oben aufgeführt sind, und viele der Anforderungen, die in den gesamten Kontrollsätzen enthalten sind.

Benutzer können Authentifizierungsinformationen geheim halten, Best Practices

Organisationen, die Passwort-Manager verwenden, legen Anforderungen an die Passwortstärke fest, erzwingen

Bei der Bewertung von Passwort-Managern zur Unterstützung der ISO 27001-Zertifizierung sollten Unternehmen prüfen, ob die Software den

Möchten Sie den Bitwarden ISO 27001-konformen Passwort-Manager nutzen, um die ISO 27001-Standards für Informationssicherheitsmanagementsysteme zu erfüllen? Starten Sie noch heute eine