- Se ISO 27002:2022 Kontrol 8.26 for mere information.
- Se ISO 27001:2013 Bilag A 14.1.2 for mere information.
- Se ISO 27001:2013 Bilag A 14.1.3 for mere information.
Forståelse af ISO 27001:2022 Annex A 8.26 – Application Security Essentials
Applikationssoftware såsom webapps, grafikprogrammer, databaser og betalingsbehandling er afgørende for mange forretningsaktiviteter.
Applikationer er ofte sårbare over for sikkerhedsproblemer, som kan føre til eksponering af fortrolige data.
Som et eksempel forsømte det amerikanske kreditbureau Equifax at anvende en sikkerhedsrettelse til den webapplikationsramme, de brugte til at håndtere kundeklager. Denne forsømmelse gjorde det muligt for cyberangribere at udnytte sikkerhedssvaghederne ved webapplikationen, infiltrere Equifax' virksomhedsnetværk og stjæle følsom information fra omkring 145 millioner mennesker.
ISO 27001:2022 Bilag A 8.26 beskriver, hvordan organisationer kan implementere og implementere informationssikkerhed krav til applikationer under deres udvikling, brug og erhvervelse. Det sikrer, at sikkerhedsforanstaltninger er integreret i applikationernes livscyklus.
Formål med ISO 27001:2022 bilag A 8.26
ISO 27001: 2022 Bilag A 8.26 giver organisationer mulighed for at forsvare deres dataaktiver, der er lagret på eller behandlet af applikationer, gennem anerkendelse og anvendelse af passende informationssikkerhedsspecifikationer.
Ejerskab af bilag A 8.26
Chief Information Security Officer, bakket op af informationssikkerhedseksperter, bør påtage sig identifikation, godkendelse og implementering af informationskrav vedrørende erhvervelse, anvendelse og udvikling af applikationer.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om ISO 27001:2022 Bilag A 8.26 Overholdelse
Organisationer bør foretage en risikovurdering for at etablere de nødvendige informationssikkerhedskrav til en bestemt applikation.
Indhold og typer af informationssikkerhedskrav kan variere afhængigt af applikationen, men disse bør dække:
- Baseret på ISO 27001:2022 Annex A 5.17, 8.2 og 8.5, det tillidsniveau, der er tildelt en specifik enheds identitet.
- Klassificering af de informationsaktiver, der skal gemmes eller håndteres af softwaren, skal identificeres.
- Er der behov for at adskille adgang til funktioner og data, der er gemt på appen.
- Vurder, om applikationen er robust over for cyberpenetrationer som SQL-injektioner eller utilsigtede aflytninger som bufferoverløb.
- Lovmæssigt skal lovmæssige og lovbestemte krav og standarder være opfyldt, når der håndteres transaktioner, der behandles, genereres, gemmes eller afsluttes af appen.
- Privatliv er af største vigtighed for alle involverede.
- Det er vigtigt at sikre, at fortrolige data beskyttes.
- Det er altafgørende at sikre oplysningernes sikkerhed, når de anvendes, overføres eller opbevares.
- Det er vigtigt, at alle relevante parter har sikker kryptering af deres kommunikation Hvis det er nødvendigt.
- Implementering af inputkontroller, såsom validering af input og udførelse af integritetstjek, garanterer nøjagtighed.
- Udførelse af automatiserede kontroller.
- Sikring af, at adgangsrettigheder, samt hvem der kan se output, tages i betragtning ved outputkontrol.
- Det er vigtigt at pålægge grænser for, hvad der kan inkluderes i "fritekst"-felter for at beskytte mod utilsigtet distribution af fortrolige oplysninger.
- Regulatoriske krav, såsom dem, der regulerer logning af transaktioner og ikke-afvisning.
- Andre sikkerhedskontroller kan kræve overholdelse af specifikke krav; for eksempel datalækagedetektionssystemer.
- Hvordan din organisation håndterer fejlmeddelelser.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Vejledning om transaktionstjenester
ISO 27001:2022 Bilag A 8.26 kræver, at organisationer overvejer følgende syv anbefalinger, når de leverer transaktionstjenester mellem dem selv og en partner:
- Graden af tro, hver part skal have på den andens identitet, er afgørende i enhver transaktion.
- Troværdigheden af data, der sendes eller behandles, skal sikres, og et egnet system til at genkende eventuelle integritetsmangler, herunder hashing og digitale signaturer, skal identificeres.
- Virksomheden skal oprette et system til at bestemme, hvem der er autoriseret til at godkende, underskrive og underskrive kritiske transaktionsdokumenter.
- Sikring af hemmeligholdelse og nøjagtighed af væsentlige dokumenter og verifikation af transmission og modtagelse af nævnte dokumenter.
- Bevarelse af fortroligheden og nøjagtigheden af transaktioner, dette kan være ordrer og fakturaer.
- Krav til, hvordan transaktioner skal forblive fortrolige i en bestemt periode.
- Kontraktlige forpligtelser og forsikringskrav skal opfyldes.
Vejledning om elektronisk bestilling og betalingsansøgninger
Organisationer bør overveje følgende, når de integrerer betalings- og elektroniske bestillingsfunktioner i applikationer:
- Det er vigtigt at sikre fortrolighed og integritet af ordreoplysninger.
- Etablering af et passende bekræftelsesniveau for bekræftelse af betalingsoplysningerne fra en kunde.
- Undgå fejlplacering eller replikering af transaktionsdata.
- Sørg for, at information vedrørende information holdes væk fra et offentligt tilgængeligt område, f.eks. et lagringsmedie placeret på organisationens intranet.
- Når en organisation er afhængig af en ekstern myndighed til at udstede digitale signaturer, skal den sikre, at sikkerheden er integreret i hele processen.
Vejledning om netværk
Når applikationer tilgås via netværk, kan de blive udsat for kontraktlige uenigheder, svigagtig adfærd, vildledning, ikke-godkendte ændringer af indholdet af kommunikation eller fortroligheden af følsomme data kan blive brudt.
ISO 27001:2022 Annex A 8.26 råder organisationer til at udføre grundige risikovurderinger for at identificere passende kontroller, såsom kryptografi, for at beskytte sikkerheden ved informationsoverførsler.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 8.26 erstatter ISO 27001:2013 Annex A 14.1.2 og 14.1.3 i den reviderede 2022-standard.
Der er tre store forskelle mellem de to versioner.
Alle applikationer vs applikationer, der passerer gennem offentlige netværk
ISO 27001:2013 skitserer en liste over informationssikkerhedskrav, der skal tages i betragtning for applikationer, der skal transmitteres via offentlige netværk.
ISO 27001:2022 Bilag A 8.26 giver derimod en liste over informationssikkerhedskrav, der gælder for alle applikationer.
Yderligere vejledning om elektronisk bestilling og betalingsansøgninger
ISO 27001:2022 Annex A 8.26 giver specifik vejledning om elektroniske bestillings- og betalingsansøgninger, noget som ikke blev behandlet i 2013-versionen.
Krav til transaktionstjenester
Mens 2022-udgaven og 2013-udgaven er næsten ens med hensyn til forudsætningerne for transaktionsydelser, introducerer 2022-udgaven et ekstra krav, der ikke er taget højde for i 2013-udgaven:
- Organisationer bør huske kontraktlige forpligtelser og forsikringsbestemmelser.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
ISMS.online er et cloud-baseret system som hjælper organisationer med at demonstrere tilpasning til ISO 27001:2022. Dette system kan bruges til at overvåge ISO 27001-kravene og sikre, at din organisation forbliver i overensstemmelse med standarden.
Vores platformen er brugervenlig og tilgængelig for alle. Det kræver ikke kompleks teknisk viden; alle i din virksomhed kan gøre brug af det.
Kontakt os nu for at planlægge en demonstration.