ISO27001审核是否要求用户公开他们的密码？

Question

我公司的系统管理员要求我们的密码进行国际标准化组织审核，我的副总裁IT操作支持部门说这是ISMS (ISO27001)的必修课。

有人能确认这是不是真的吗？

Answer 1

这不是真的。除了系统管理员应该能够在需要时更改您的密码这一事实之外，它很可能违反了他们声称正在执行的控制。

他们的工作是确保密码周围的控制到位，但用户有责任对他们的密码保密。

任何共享的管理密码都应该由sysadmin集中管理。

兼容密码策略的示例

Answer 2

绝对不是！

ISO 27001要求管理密码，并要求有密码策略。您的公司中有人将此解释为需要检查所有密码，以确保它们符合密码策略。

但这是一种糟糕的审计方式。技术应该到位，迫使人们在制定密码时遵守密码政策，而不是在密码制作后用手检查密码。

如果他们想通过查看密码来审核密码的话，就会有一系列的失败.

Answer 3

ISO27001说的密码

在(https://advisera.com/27001academy/blog/2015/07/27/how-to-handle-access-control-according-to-iso-27001/)中有一个关于用户密码的摘要：

用户责任(A.9.3分节)

这是一个非常短的小节(只有一个控件)，要求您定义用户如何将身份验证信息保密(例如，保护他们的密码)。这通常是通过诸如“可接受的使用策略”这样的文档来完成的，该文档定义了这样的规则:不要将密码写下来，不要向任何人透露密码，不要在不同的系统中使用相同的密码，等等。

本质上，如果用户透露了他或她的密码，公司就无法通过审核。

密码的

重要性

你的密码比你以前的签名更重要。因为在过去，你的签名是可以伪造的，但现在你的密码是看不见的(至少在理论上是如此)。

您的密码验证您的用户ID。您的用户ID给您一定但有限的权力范围内的公司。会计控制要求职责分开。例如，批准定购单的用户不能批准货物的接收。批准接收货物的用户不能批准供应商的发票。

如果犯罪分子(或ISO27001审计师或IT人员)能够访问所有三个密码，则可以设置假供应商帐户、设置假采购订单、设置虚假收货并向假供应商帐户支付资金。