绝对不！

ISO 27001 要求管理密码并要求制定密码策略。您公司中的某个人将此解释为需要以明文方式检查所有密码以确保它们符合密码策略。

但这是一种糟糕的审计方式。应该采用技术来强制人们在制作密码时遵守密码政策，而不是在制作密码后手动检查。

如果他们想通过查看密码来审核密码，则会出现一系列广泛的失败......

这不是真的。除了系统管理员应该能够在需要时更改您的密码这一事实之外，这可能违反了他们声称正在执行的控制。

确保对密码进行控制是他们的工作，但用户有责任对其密码保密。

任何共享的管理员密码都应由您的系统管理员集中管理。

合规密码策略示例

ISO27001 关于密码的内容

从（https://advisera.com/27001academy/blog/2015/07/27/how-to-handle-access-control-according-to-iso-27001/）有关于用户密码的摘要：

用户责任（A.9.3 小节）

这是一个非常短的小节（只有一个控件），要求您定义用户如何将其身份验证信息保密（例如，保护他们的密码）。这通常通过诸如可接受使用政策之类的文件来完成，该政策定义了如下规则：不要写下密码，不要向任何人透露密码，不要在不同系统中使用相同的密码等。

从本质上讲，如果用户泄露了他或她的密码，那么公司将无法通过审核。

密码的重要性

您的密码比过去的签名更重要。因为在过去，您的签名可能会被伪造，但现在您的密码是不可见的（至少在理论上）。

您的密码验证您的用户 ID。您的用户 ID 赋予您在公司范围内的某些但受限的权力。会计控制要求职责分离。例如，批准采购订单的用户不能批准收货。批准收货的用户不能批准供应商发票。

如果犯罪分子（或 ISO27001 审核员或 IT 人员）可以访问所有三个密码，他们可以设置虚假供应商账户、设置虚假采购订单、设置虚假收据并向虚假供应商账户支付资金。

这违反了 ISMS。我通过了 ISO27001 审核认证，而且肯定不存在。您有两组密码：

1. 个人：没有他们的担忧
2. 企业：ISMS 强制管理员实施密码策略，强制您更改密码以符合他们的策略，并且审核员必须检查该策略以及它是如何实施/强制执行的