Hur lösenordshantering hjälper företag att uppnå ISO 27001-certifiering

Uppdatering: Från och med mars 2025 är Bitwarden ISO 27001-certifierat i enlighet med ISO 27001:s kontrolluppsättningar för datasäkerhet.

ISO 27001, en internationell standard, lägger grunden för att skapa, underhålla och utveckla ledningssystem för informationssäkerhet (ISMS), inklusive datahantering. Företag som vill uppnå efterlevnad eller certifiering enligt ISO 27001 bör överväga att lägga till lösenordshantering för ISO 27001 i sin verktygslåda.

Den internationella standardiseringsorganisationen (ISO) är en global organisation som utvecklar och publicerar världsomspännande tekniska, industriella och kommersiella standarder. Senast uppdaterad i oktober 2022 ger ISO 27001-standarden för ISMS ett ramverk för datasäkerhet som består av 93 kontroller. För att uppnå ISO 27001-certifiering måste företag visa att de uppfyller dem alla.

För att bli certifierad som ett ISO 27001-företag måste du uppfylla 93 kontroller.

ISO 27001-certifieringsprocessen består av en granskning som utförs av oberoende certifieringsorgan som granskar företagets datasäkerhetspolicyer och rutiner samt hur de tillämpas. Processen kan vara lång, men att klara en ISO 27001-certifieringsgranskning visar att ditt företag har genomfört en säkerhetsriskbedömning för att identifiera potentiella hot och infört säkerhetskontroller för att skydda mot dataintrång.

ISO 27001-certifiering ger organisationer en konkurrensfördel när det gäller att attrahera och behålla kunder, eftersom certifieringen visar att det finns robusta kontroller för informationssäkerhet. Certifiering kan också hjälpa till att attrahera och behålla leverantörer och andra intressenter som bryr sig om hur deras information hanteras och skyddas.

Även förberedelserna inför granskningsprocessen kan stärka befintliga ISO 27001-policyer och förbättra interna system, strukturer och dagliga affärsprocesser. Riskhanteringsprocessen kan också hjälpa organisationer att bättre följa dataskyddslagar som CCPA och GDPR, och undvika böter för bristande efterlevnad eller skadat anseende till följd av ett dataintrång som hade kunnat undvikas.

De 93 kontrollerna finns i bilaga A och faller under fyra större teman. För att uppnå ISO 27001-certifiering måste företag visa att de uppfyller dessa kontroller. Kategorierna är:

• Organisatoriska kontroller (37 kontroller)

• Personrelaterade kontroller (8 kontroller)

• Fysiska kontroller (14 kontroller)

• Tekniska kontroller (34 kontroller)

Den tidigare versionen av ISO innehöll 114 kontroller uppdelade i 14 kategorier. Den versionen innehöll även formuleringar som reglerade säker inloggning och system för lösenordshantering. 

Kontrollen för säker inloggning angav att ”åtkomst till system och applikationer ska styras av en säker inloggningsprocedur när det krävs enligt åtkomstkontrollpolicyn”. Med en lösenordshanterare får användare fördelen av ytterligare ett säkerhetslager för inloggningar och en central plats för att hantera och integrera tvåfaktorsautentisering för alla webbplatser som stöder det. 

Kontrollen för system för lösenordshantering angav att ”system för lösenordshantering ska samverka för att säkerställa lösenordens kvalitet”. ISO rekommenderar att man använder en lösenordshanterare som gör det möjligt för användare att skapa starka och unika lösenord och erbjuder säker delning för samarbete.

Lösenordshanterare fastställer lösenordsstyrka, upprätthåller 2FA och använder händelseloggar för att övervaka användaraktivitet – alla funktioner som företag måste ha för att uppfylla ISO-krav på åtkomstkontroll, skydd av personuppgifter och slutpunktsskydd.

Den senaste versionen av ISO 27001 behandlar lösenordshantering i bilaga A 5.17. Det finns många ytterligare krav i bilaga A som kan uppfyllas eller stödjas genom att införa en lösenordshanterare. Även om listan inte är uttömmande är några exempel:

• Bilaga A 5.3, Åtskillnad av arbetsuppgifter: Motstridiga arbetsuppgifter och motstridiga ansvarsområden ska åtskiljas.

• Bilaga A 5.14, Informationsöverföring: Regler, rutiner eller avtal för informationsöverföring ska finnas för alla typer av överföringsmöjligheter inom organisationen och mellan organisationen och andra parter.

• Bilaga A 5.15, Åtkomstkontroll: Regler för att kontrollera fysisk och logisk åtkomst till information och andra tillhörande tillgångar ska fastställas och implementeras baserat på verksamhets- och informationssäkerhetskrav.

• Bilaga A 5.16, Identitetshantering: Hela livscykeln för identiteter ska hanteras.

• Bilaga A 5.17, Autentiseringsinformation: Tilldelning och hantering av autentiseringsinformation ska styras av en hanteringsprocess, inklusive rådgivning till personal om bästa praxis för hantering av autentiseringsinformation.

  • En detaljerad introduktion om detta kriterium beskriver lösenordsrekommendationer med råd om hantering av lösenord, inklusive möjligheten att skapa säkra lösenord. Dessutom rekommenderar målet att organisationer undviker svaga, allmänt använda eller komprometterade inloggningsuppgifter.

Med detta kriterium i åtanke bör organisationer helst införa ett lösenordshanteringssystem som gör det möjligt att rapportera om och få handlingsbara insikter kring exponerade, återanvända, svaga eller potentiellt komprometterade lösenord.

• Bilaga A 5.34, Integritet och skydd av personligt identifierbar information (PII): Organisationen ska identifiera och uppfylla kraven för bevarande av integritet och skydd av PII enligt tillämpliga lagar och regler samt avtalskrav.

• Bilaga A 8.1, Användares slutenheter: Information som lagras på, behandlas av eller är åtkomlig via användares slutenheter ska skyddas.

• Bilaga A 8.4, Åtkomst till källkod: Läs- och skrivåtkomst till källkod, utvecklingsverktyg och programvarubibliotek ska hanteras på lämpligt sätt.

• Bilaga A 8.5, Säker autentisering: Tekniker och rutiner för säker autentisering ska implementeras baserat på begränsningar för informationsåtkomst och den ämnesspecifika policyn för åtkomstkontroll.

  • Detta mål fokuserar på användning av multifaktorautentisering för säker inloggning i system. Med en lösenordshanterare får användare ytterligare ett säkerhetslager vid inloggningar och en samlad plats för att hantera och integrera tvåfaktorsautentisering (2FA) för alla webbplatser som stöder det. Målet understryker också att lösenord alltid ska hållas konfidentiella, vilket ger starka skäl för ett helt krypterat lösenordsvalv.

Lösenordshanteringssystem gör det möjligt för organisationer att identifiera objekt i sina valv där 2FA är inaktivt.

• Bilaga A 8.11, Datamaskering: Datamaskering ska användas i enlighet med organisationens ämnesspecifika policy för åtkomstkontroll och andra relaterade ämnesspecifika policyer samt verksamhetskrav, med hänsyn till tillämplig lagstiftning.

• Bilaga A 8.12, Dataläckage: Åtgärder för att förebygga dataläckage ska tillämpas på system, nätverk och alla andra enheter som behandlar, lagrar eller överför känslig information.

Ett lösenordshanteringssystem stöder de många kraven i Bilaga A som anges ovan, samt många av kraven som ingår i de övergripande kontrolluppsättningarna.

Användare kan hålla autentiseringsinformation hemlig, tillämpa bästa praxis för lösenord såsom att skapa starka, unika lösenord och att dela lösenord på ett säkert sätt med en lösenordshanterare som skyddar känslig information med end-to-end-kryptering. Genom att begränsa vem som kan se viss känslig eller kritisk information hjälper lösenordshanterare också till att separera arbetsuppgifter och begränsa interna hot.

Organisationer som använder lösenordshanterare fastställer krav på lösenordsstyrka, kräver tvåfaktorsautentisering (2FA) och använder händelseloggar för att övervaka användaraktivitet – alla funktioner som företag måste ha för att uppfylla ISO-krav för åtkomstkontroll, skydd av PII och endpointskydd. De flesta välrenommerade lösenordshanterare möjliggör också SSO-integrering och ger administratörer de verktyg de behöver för att hantera åtkomst och autentiseringsprocessen. Denna funktion bidrar till att uppfylla ISO-kravet på säker autentisering.

När organisationer utvärderar lösenordshanterare som stöd för ISO 27001-certifiering bör de bedöma om programvaran följer säkerhets- och efterlevnadsstandarder på företagsnivå, såsom efterlevnad av SOC 2 Type 2, GDPR, Data Privacy Framework och HIPAA. Företag bör välja en lösning som erbjuder end-to-end-kryptering med nollkunskap.