Juliana Jenny Kolb
Home > Redes de Computadores > NBR ISO/IEC 27002:2013
Materiais Complementares
| Versão 2005 – Documento em PDF |  |
| Versão 2013 – Documento em PDF | |
NBR ISO/IEC 27002:2013 – Gerenciamento da informação de autenticação secreta de usuários
Convém que a concessão de informação de autenticação secreta seja controlada por meio de um processo de gerenciamento formal.
Convém que o processo inclua os seguintes requisitos:
a) solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade da informação de autenticação secreta e manter as senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação;
b) garantir, onde os usuários necessitam manter suas próprias informações de autenticação secreta, que lhes sejam fornecidas uma informação de autenticação secreta temporária, as quais o usuário
é obrigado a alterá-la no primeiro uso;
c) procedimentos sejam estabelecidos para verificar a identidade de um usuário antes de fornecer uma informação de autenticação secreta, temporária, de substituição ou nova;
d) fornecer informação de autenticação secreta temporárias aos usuários de maneira segura; o uso de mensagens de correio eletrônico de terceiros ou desprotegido (texto claro) seja evitado;
e) Informação de autenticação secreta temporária seja única para uma pessoa e que não seja fácil de ser advinhada;
f) os usuários acusem o recebimento da informação de autenticação secreta;
g) as informações de autenticações secretas padrão sejam alteradas logo após a instalação de sistemas ou software.
