Esta ABNT NBR ISO/IEC 17799 foi cancelada de acordo com o catálogo ABNT, vejam:
https://www.abntcatalogo.com.br/norma.aspx?ID=60452
Apesar disso, a justificativa do gabarito encontra-se na ABNT NBR ISO/IEC 27002:2013 que está em vigor:
https://www.abntcatalogo.com.br/norma.aspx?ID=306582#
Se vocês quiserem baixar essa ABNT para ler sem ter que comprá-la, cliquem nesse link aqui : http://jkolb.com.br/nbr-isoiec-270022013-gerenciamento-da-informacao-de-autenticacao-secreta-de-usuarios/
Vejam:
Convém que a concessão de informação de autenticação secreta seja controlada por meio de um processo de gerenciamento formal.
Convém que o processo inclua os seguintes requisitos:
a) solicitar aos usuários a assinatura de uma declaração, para manter a confidencialidade da informação de autenticação secreta e manter as senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaração assinada pode ser incluída nos termos e condições da contratação
b) garantir, onde os usuários necessitam manter suas próprias informações de autenticação secreta, que lhes sejam fornecidas uma informação de autenticação secreta temporária, as quais o usuário
é obrigado a alterá-la no primeiro uso;
c) procedimentos sejam estabelecidos para verificar a identidade de um usuário antes de fornecer uma informação de autenticação secreta, temporária, de substituição ou nova;
d) fornecer informação de autenticação secreta temporárias aos usuários de maneira segura; o uso de mensagens de correio eletrônico de terceiros ou desprotegido (texto claro) seja evitado;
e) Informação de autenticação secreta temporária seja única para uma pessoa e que não seja fácil de ser advinhada;
f) os usuários acusem o recebimento da informação de autenticação secreta;
g) as informações de autenticações secretas padrão sejam alteradas logo após a instalação de sistemas ou software.