ISO 27001:2022 Bilag A 8.19 – Installation af software på operationelle systemer

• Se ISO 27002:2022 Kontrol 8.19 for mere information.
• Se ISO 27001:2013 Bilag A 12.5.1 for mere information.
• Se ISO 27001:2013 Bilag A 12.6.2 for mere information.

Formål med ISO 27001:2022 bilag A 8.19

Operationel software kan kategoriseres som enhver software, som virksomheden anvender til at udføre sine aktiviteter, adskilt fra programmer, der bruges til test eller udvikling.

Det er vigtigt, at software installeres og administreres på et netværk i henhold til strenge regler for at minimere risikoen, øge effektiviteten og sikre interne og eksterne netværk og tjenester.

Ejerskab af bilag A 8.19

ISO 27001: 2022 Bilag A 8.19 omhandler tekniske begreber i forbindelse med vedligeholdelse og styring af operationelle computersystemer. Derfor bør ansvaret ligge hos Leder af iteller tilsvarende.

Generel vejledning om ISO 27001:2022 Bilag A 8.19 Overholdelse

For at sikre sikkerheden ved ændringer og installationer på deres netværk bør organisationer:

• Sørg for, at kun personale med den nødvendige uddannelse og kompetence udfører softwareopdateringer (i henhold til ISO 27001:2022 Annex A 8.5).
• Sørg for, at kun eksekverbar kode af høj kvalitet er installeret; denne kode skal være fejlfri og skal have gennemført udviklingsprocessen med succes.
• Installer og opdater først software, efter at patchen eller opdateringen er blevet testet med succes, og organisationen er sikker på, at der ikke vil opstå konflikter eller problemer.
• Hold bibliotekssystemet opdateret.
• Gør brug af en 'konfiguration kontrolsystem' til at overvåge al operationel software herunder programdokumentation.
• Inden eventuelle opdateringer eller installationer skal du aftale en 'tilbageføringsstrategi' for at garantere business kontinuitet i tilfælde af en uventet fejl eller konflikt.
• Oprethold en fortegnelse over eventuelle ændringer, der er foretaget i operationel software, med et kort overblik over opdateringen, de involverede personer og et tidsstempel.
• Sørg for, at al ubrugt software opbevares sikkert og opbevares med al nødvendig dokumentation, konfigurationsfiler, systemlogfiler og understøttende procedurer, hvis det bliver nødvendigt i fremtiden.
• Håndhæve strenge regler for de softwarepakker, brugere kan installere, baseret på principperne om 'mindst privilegium' og i overensstemmelse med gældende roller og ansvar.

Vejledning om leverandørsoftware

Når det kommer til leverandørleveret software (f.eks. software, der bruges til at køre maskiner eller til et unikt forretningsformål), er det vigtigt at overholde leverandørens retningslinjer for at sikre, at den forbliver i god stand.

Det er væsentligt at være opmærksom på, at selv i tilfælde af eksternt leveret og administreret software eller softwaremoduler (dvs. organisationen er ikke ansvarlig for eventuelle opdateringer), bør der træffes foranstaltninger for at sikre, at tredjepartsopdateringer ikke underminerer organisationens netværksintegritet.

Organisationer bør afholde sig fra at bruge uverificeret leverandørsoftware, medmindre det er absolut nødvendigt, og huske på sikkerhedskonsekvenserne af at betjene forældede programmer i stedet for at opgradere til nyere, mere sikre systemer.

Hvis en leverandør kræver adgang til en organisations netværk for at installere eller opdatere noget, skal aktiviteten overvåges og godkendes i henhold til ISO 27001:2022 Annex A 5.22.

Supplerende vejledning om bilag A 8.19

Software bør opgraderes, installeres og lappes i overensstemmelse med organisationens ændringsstyringsprocedurer for at sikre overensstemmelse med resten af ​​virksomheden.

Hver gang der identificeres en patch, der fuldstændig udrydder en sårbarhed (eller gruppe af sårbarheder) eller hjælper med at forbedre organisationens informationssikkerhed processer, bør sådanne ændringer typisk anvendes (selvom det stadig er nødvendigt at undersøge sådanne ændringer på individuel basis).

Organisationer bør bruge den seneste, aktivt vedligeholdte version af open source-software, hvor det er nødvendigt. De bør også tage højde for eventuelle risici forbundet med at bruge ikke-vedligeholdt software i deres drift.

Medfølgende bilag A kontrol

• ISO 27001:2022 Bilag A 5.22
• ISO 27001:2022 Bilag A 8.5

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.19 erstatter ISO 27001:2013 Bilag A 12.5.1 (Softwareinstallation på driftssystemer) og 12.6.2 (Begrænsninger for softwareinstallation) i den reviderede 2022-standard.

ISO 27001:2022 Annex A 8.19 kombinerer de fleste af retningslinjerne i ISO 27001:2013 Annex A 12.5.1 og 12.6.2 med nogle nøglebegreber uddybet og nye styrende principper tilføjet:

• Vedligeholdelse og styring af et bibliotekssystem.
• Regler, der styrer brugen af ​​open source-software.
• Sørg for tæt logisk overvågning af installation og vedligeholdelse af leverandørsoftware.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

Hvordan ISMS.online Hjælp

ISMS.online giver en samlet løsning til ISO 27001:2022 implementering. Dette webbaserede system gør det lettere at demonstrere, at din informationssikkerhedsstyringssystem er i overensstemmelse med de godkendte standarder gennem brug af strømlinede processer, procedurer og tjeklister.

Denne platform gør ikke kun ISO 27001 implementering ligetil men det fungerer også som en fremragende ressource til at træne personalet i bedste praksis og processer i forhold til informationssikkerhed, samt registrere alle bestræbelser.

Fordelene ved at bruge ISMS.online er talrige:

• Denne platform er brugervenlig og kan tilgås fra enhver enhed.
• Det er nemt at justere, så det passer til dine behov.
• Tilpas arbejdsgange og processer, så de passer til dine forretningskrav.
• Værktøjer, der gør det muligt for nye medarbejdere at blive dygtigere hurtigere.
• Et bibliotek med skabelondokumenter er til rådighed, herunder politikker, procedurer, planer og tjeklister.

Kontakt os nu for at arrangere en demonstration.