- Se ISO 27002:2022 Kontrol 8.31 for mere information.
- Se ISO 27001:2013 Bilag A 12.1.4 for mere information.
- Se ISO 27001:2013 Bilag A 14.2.6 for mere information.
ISO 27001 Annex A 8.31: Hvorfor det er kritisk at adskille udviklings-, test- og produktionsmiljøer
Hvis udviklings-, test- og produktionsmiljøer ikke adskilles nøjagtigt, kan det føre til tab af tilgængelighed, fortrolighed og integritet af informationsaktiver.
For eksempel satte Uber fejlagtigt et kodelager op på Github, som inkluderede adgangskoder fra deres produktionsmiljø, hvilket kompromitterede fortroligheden af følsomme data.
Organisationer bør etablere passende protokoller og regler for at adskille udviklings-, test- og produktionsindstillinger for at udrydde sikkerhedsrisici.
Formål med ISO 27001:2022 bilag A 8.31
ISO 27001: 2022 Bilag A 8.31 letter organisationer med at bevare fortroligheden, integriteten og tilgængeligheden af følsomme informationsaktiver via passende processer, kontroller og regler. Det gør det ved at isolere udviklings-, test- og produktionsmiljøer.
Ejerskab af bilag A 8.31
Chief Information Security Officer, med bistand fra udviklingsteamet, være i sidste ende ansvarlig for at overholde ISO 27001:2022 Annex A 8.31, som kræver etablering og implementering af organisationsdækkende processer og kontroller for at adskille forskellige softwaremiljøer.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om ISO 27001:2022 Bilag A 8.31 Overholdelse
Organisationer bør overveje de produktionsproblemer, der bør undgås, når de beslutter sig for den nødvendige grad af adskillelse mellem de tre miljøer.
Bilag A 8.31 foreslår, at organisationer skal huske på syv kriterier:
- Adskillelse af udviklings- og produktionssystemer til et tilfredsstillende niveau anbefales. For eksempel kunne brug af forskellige virtuelle og fysiske miljøer til produktion være en levedygtig løsning.
- Regler og autorisationsprocedurer skal udarbejdes, dokumenteres og implementeres vedrørende brug af software i produktionsmiljøet, efter at det har passeret udviklingsmiljøet.
- Organisationer bør evaluere og prøve ændringer af applikationer og produktionssystemer i et isoleret testmiljø, udelukket fra produktionsmiljøet, før de implementeres i produktionsmiljøet.
- Ingen test i produktionsmiljøer bør finde sted, medmindre det er præcist defineret og godkendt på forhånd.
- Udviklingsressourcer, såsom compilere og redaktører, bør ikke være tilgængelige i produktionsmiljøer, medmindre det er absolut nødvendigt.
- For at reducere fejl, bør korrekte miljømærkater være fremtrædende i menuerne.
- Ingen følsomme informationsaktiver bør overføres til nogen udviklings- eller testsystemer, medmindre tilsvarende sikkerhedsforanstaltninger er på plads.
Vejledning om beskyttelse af udviklings- og testmiljøer
Organisationer bør beskytte udviklings- og testmiljøer mod potentielle sikkerhedsrisici under hensyntagen til følgende:
- Sørg for, at alle udviklings-, integrations- og testværktøjer, f.eks. bygherrer, integratorer og biblioteker, jævnligt lappes og holdes ajour.
- Sørg for, at alle systemer og software er sikkert sat op.
- Passende kontroller skal være på plads for adgang til miljøer.
- Ændringer i miljøer og deres koder bør overvåges og gennemgås.
- Sikker overvågning og gennemgang af miljøer bør foretages.
- Miljøer bør sikres med sikkerhedskopier.
Intet individ bør have ret til at foretage ændringer i både udviklings- og produktionsmiljøer uden forudgående godkendelse. For at undgå dette kan organisationer adskille adgangsrettigheder eller indføre og udføre adgangskontroller.
Organisationer kan overveje yderligere tekniske kontroller, såsom at logge alle adgangsaktiviteter og overvåge adgangen til disse miljøer i realtid.
Supplerende vejledning om bilag A 8.31
Hvis organisationer ikke tager de nødvendige skridt, kan deres informationssystemer blive udsat for væsentlige sikkerhedsrisici.
Udviklere og testere med adgang til produktionsmiljøet kan foretage utilsigtede ændringer af filer eller systemindstillinger, køre uautoriseret kode eller utilsigtet afsløre følsomme data.
Organisationer kræver en stabil indstilling for at udføre grundige test af deres kode, hvilket forhindrer udviklere i at få adgang til produktionsmiljøer, der lagrer og behandler følsomme data fra den virkelige verden.
Organisationer bør tildele specifikke roller og håndhæve adskillelse af opgaver.
Udviklings- og testholdene kan risikere at kompromittere de fortrolige produktionsdata, hvis de bruger de samme computerenheder. Utilsigtede ændringer af følsomme oplysninger eller softwareprogrammer kan foretages.
Organisationer opfordres til at etablere hjælpeprocesser til at bruge produktionsdata i test- og udviklingssystemer i overensstemmelse med ISO 27001:2022 bilag A 8.33.
Organisationer bør overveje de foranstaltninger, der er diskuteret i dette bilag A Kontrol, når de udfører slutbrugeruddannelse i træningsmiljøer.
Endelig kan organisationer sløre grænserne mellem udvikling, test og produktionsindstillinger. For eksempel kan test udføres i et udviklingsmiljø, eller personale kan teste produktet ved faktisk at bruge det.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 8.31 erstatter ISO 27001:2013 Bilag A 12.1.4 og ISO 27001:2013 Bilag A 14.2.6. Denne revision foretager de nødvendige justeringer for at bringe standarden i overensstemmelse med den mest aktuelle praksis.
De to versioner har meget til fælles, men to forskelle er bemærkelsesværdige.
ISO 27001:2013 Bilag A 14.2.6 Leveret mere detaljeret vejledning om sikre udviklingsmiljøer
ISO 27001:2013 Annex A 14.2.6 omhandler sikre udviklingsmiljøer og skitserer 10 anbefalinger, som organisationer skal overveje, når de konstruerer et udviklingsmiljø.
Til sammenligning indeholder ISO 27001:2022 Annex A 8.33 ikke visse forslag, som f.eks. at have en sikkerhedskopi på et fjerntliggende sted og begrænsninger for dataoverførsel.
ISO 27001:2022 Bilag A 8.31 omhandler produkttestning og brug af produktionsdata
I sammenligning med ISO 27001:2013 tilbyder ISO 27001:2022 Annex A 8.31 vejledning om produkttestning og udnyttelse af produktionsdata i overensstemmelse med ISO 27001:2022 Annex A 8.33.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvordan ISMS.online Hjælp
ISMS.Online yder support til hele ISO 27001 implementering, fra risikovurdering til udarbejdelse af politikker, procedurer og retningslinjer for at overholde standarden.
ISMS.Online tilbyder en bekvem tilgang til at registrere opdagelser og dele dem med kolleger online. Det giver dig yderligere mulighed for at udarbejde og gemme tjeklister for hver ISO 27001-opgave, så du nemt kan overvåge din organisations sikkerhedsprogram.
Vi forsyner også organisationer med et automatiseret værktøjssæt, som letter overholdelse af ISO 27001-standarden. Dens brugervenlige design gør det nemt at bevise overensstemmelse.
Kontakt os nu for at arrangere en demonstration.