- Se ISO 27002:2022 Kontrol 8.29 for mere information.
- Se ISO 27001:2013 Bilag A 14.2.8 for mere information.
- Se ISO 27001:2013 Bilag A 14.2.9 for mere information.
Sikring af sikker udvikling: ISO 27001 Bilag A 8.29 Sikkerhedstest forklaret
Cyberkriminelle udtænker løbende nye metoder og forbedrer deres taktik for at bryde virksomhedens netværk og få adgang til fortrolige data.
Cyberkriminelle kunne udnytte en fejl forbundet med autentificeringsprocessen i kildekoden til at bryde netværk. Derudover kan de forsøge at overtale slutbrugere på klientsiden til at gøre ting, der giver dem mulighed for at få adgang til data, infiltrere netværk eller udføre ransomware-angreb.
Hvis en applikation, software eller it-system er implementeret med sårbarheder, vil dette medføre risiko for, at følsomme oplysninger bliver kompromitteret.
Organisationer bør opsætte og udføre en passende sikkerhedstestproces for at identificere og adressere eventuelle sårbarheder i it-systemer, før de implementeres i den virkelige verden.
Formål med ISO 27001:2022 bilag A 8.29
ISO 27001: 2022 Bilag A Kontrol 8.29 giver organisationer mulighed for at sikre, at alle sikkerhedskrav er opfyldt, når nye applikationer, databaser, software eller kode implementeres. Dette gøres ved at skabe og følge en grundig sikkerhedstestproces.
Organisationer kan identificere og fjerne potentielle svagheder i deres kode, netværk, servere, applikationer og andre it-systemer før implementering i den virkelige verden.
Ejerskab af bilag A 8.29
Informationssikkerhedsansvarlig skal sikre, at ISO 27001:2022 Bilag A Kontrol 8.29 er opfyldt, hvilket kræver etablering, vedligeholdelse og implementering af en sikkerhedstestprocedure, der dækker alle nye informationssystemer, uanset om de er oprettet internt eller af tredjeparter.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om ISO 27001:2022 Bilag A 8.29 Overholdelse
Organisationer bør inkorporere sikkerhedstestning i testprocessen for alle systemer, hvilket garanterer, at alle nye informationssystemer, såvel som deres nye/opdaterede versioner, opfylder krav til informationssikkerhed, når de er i produktionsmiljøet.
ISO 27001:2022 Bilag A Kontrol 8.29 skitserer tre elementer som væsentlige komponenter i sikkerhedstest:
- Sikre sikkerhed gennem brugergodkendelse i overensstemmelse med ISO 27001:2022 Annex A 8.5, adgangsbegrænsning i overensstemmelse med ISO 27001:2022 Annex A 8.3 og kryptografi i henhold til ISO 27001:2022 Annex A 8.24.
- Sørg for, at koden er skrevet sikkert i overensstemmelse med ISO 27001:2022 Annex A 8.28.
- Sørg for, at konfigurationer opfylder kravene i bilag A 8.9, 8.20 og 8.22, hvilket kan involvere firewalls og operativsystemer.
Hvad skal en testplan indeholde?
Når organisationer udarbejder sikkerhedstestplaner, bør de overveje det involverede informationssystems hastende karakter og karakter.
Denne sikkerhedstestplan bør indeholde følgende elementer:
- Lav en samlet dagsorden for de virksomheder og de test, der skal gennemføres.
- Forventede resultater, når visse betingelser er opfyldt, omfatter både input og output.
- Kriterier for vurdering af resultaterne skal fastlægges.
- Når resultaterne er opnået, kan der træffes beslutninger om, hvad der skal gøres.
In-house udvikling
Det interne udviklingsteam bør udføre den indledende sikkerhedstest for at sikre, at it-systemet overholder sikkerhedsspecifikationerne.
En første testrunde bør udføres efterfulgt af uafhængig accepttest i overensstemmelse med ISO 27001:2022 bilag A 5.8.
Med hensyn til intern udvikling skal følgende tages i betragtning:
- Udførelse af kodegennemgange for at identificere og løse sikkerhedsproblemer, omfattende forventede input og situationer.
- Udførelse af sårbarhedsscanninger for at identificere usikre indstillinger og andre potentielle svagheder.
- Udførelse af penetrationstests for at identificere svag kodning og design.
outsourcing
Organisationer bør overholde en streng anskaffelsesprocedure, når de uddelegerer udvikling eller købe it-elementer fra eksterne kilder.
Organisationer bør indgå en kontrakt med deres leverandører, der opfylder informationssikkerhedskriterierne i ISO 27001:2022 bilag A 5.20.
Organisationer bør garantere, at de varer og tjenester, de erhverver, er i overensstemmelse med sikkerhedsstandarderne for informationssikkerhed.
Supplerende vejledning om ISO 27001:2022 Bilag A 8.29
Organisationer kan generere flere testmiljøer til at udføre en række tests, herunder funktionelle, ikke-funktionelle og ydeevne. De kan skabe virtuelle testmiljøer, konfigurere dem til at teste it-systemer i forskellige driftsindstillinger og forfine dem i overensstemmelse hermed.
Bilag A 8.29 understreger behovet for effektiv sikkerhedstest, hvilket gør det nødvendigt for organisationer at teste og overvåge testmiljøer, værktøjer og teknologier.
Organisationer bør overveje niveauet af følsomhed og vigtighed, når de beslutter, hvor mange lag af meta-test, der skal anvendes.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 8.29 erstatter ISO 27001:2013 Bilag A 14.2.8 og 14.2.9 i den seneste revision.
Strukturelle ændringer
ISO 27001: 2022 konsoliderer sikker test i én kontrol i modsætning til ISO 27001:2013, som refererede til sikker test i to forskellige kontroller; Systemsikkerhedstest (bilag A 14.2.8) og systemaccepttest (bilag A 14.2.9).
ISO 27001:2022 Bilag A 8.29 bringer mere omfattende krav
I modsætning til ISO 27001:2013 indeholder ISO 27001:2022 revisionen mere omfattende krav og råd om:
- En sikkerhedstestplan, der bør omfatte en række elementer.
- Kriterier for vurdering af sikkerhed ved intern udvikling af IT-systemer.
- Hvad skal inkluderes i sikkerhedstestprocessen.
- Det er vigtigt at bruge flere testmiljøer. Det sikrer grundighed og nøjagtighed i processen.
ISO 27001:2013 var mere detaljeret i forhold til accepttest
I modsætning til ISO 27001:2022 var ISO 27001:2013 mere detaljeret vedrørende systemaccepttest. Det omfattede sikkerhedstest for indgående komponenter og brugen af automatiserede værktøjer.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
ISMS.online forenkler ISO 27001:2022 implementeringsprocessen gennem en sofistikeret cloud-baseret ramme, som leverer dokumentation af informationssikkerhedsstyringssystem processer og tjeklister for at sikre kompatibilitet med accepterede standarder.
Kontakt os til arrangere en demonstration.