ISO 27001:2022 Bilag A Kontrol 8.26

Applikationssikkerhedskrav

Book en demo

kulturel, blanding, af, unge, mennesker, der arbejder, i, en, virksomhed

Applikationssoftware såsom webapps, grafikprogrammer, databaser og betalingsbehandling er afgørende for mange forretningsaktiviteter.

Applikationer er ofte sårbare over for sikkerhedsproblemer, som kan føre til eksponering af fortrolige data.

Som et eksempel forsømte det amerikanske kreditbureau Equifax at anvende en sikkerhedsrettelse til den webapplikationsramme, de brugte til at håndtere kundeklager. Denne forsømmelse gjorde det muligt for cyberangribere at udnytte sikkerhedssvaghederne ved webapplikationen, infiltrere Equifax' virksomhedsnetværk og stjæle følsom information fra omkring 145 millioner mennesker.

ISO 27001:2022 Bilag A 8.26 beskriver, hvordan organisationer kan implementere og implementere informationssikkerhed krav til applikationer under deres udvikling, brug og erhvervelse. Det sikrer, at sikkerhedsforanstaltninger er integreret i applikationernes livscyklus.

Formål med ISO 27001:2022 bilag A 8.26

ISO 27001: 2022 Bilag A 8.26 giver organisationer mulighed for at forsvare deres dataaktiver, der er lagret på eller behandlet af applikationer, gennem anerkendelse og anvendelse af passende informationssikkerhedsspecifikationer.

Ejerskab af bilag A 8.26

Chief Information Security Officer, bakket op af informationssikkerhedseksperter, bør påtage sig identifikation, godkendelse og implementering af informationskrav vedrørende erhvervelse, anvendelse og udvikling af applikationer.

Gå til emne

Generel vejledning om ISO 27001:2022 Bilag A 8.26 Overholdelse

Organisationer bør foretage en risikovurdering for at etablere de nødvendige informationssikkerhedskrav til en bestemt applikation.

Indhold og typer af informationssikkerhedskrav kan variere afhængigt af applikationen, men disse bør dække:

  • Baseret på ISO 27001:2022 Annex A 5.17, 8.2 og 8.5, det tillidsniveau, der er tildelt en specifik enheds identitet.

  • Klassificering af de informationsaktiver, der skal gemmes eller håndteres af softwaren, skal identificeres.

  • Er der behov for at adskille adgang til funktioner og data, der er gemt på appen.

  • Vurder, om applikationen er robust over for cyberpenetrationer som SQL-injektioner eller utilsigtede aflytninger som bufferoverløb.

  • Lovmæssigt skal lovmæssige og lovbestemte krav og standarder være opfyldt, når der håndteres transaktioner, der behandles, genereres, gemmes eller afsluttes af appen.

  • Privatliv er af største vigtighed for alle involverede.

  • Det er vigtigt at sikre, at fortrolige data beskyttes.

  • Det er altafgørende at sikre oplysningernes sikkerhed, når de anvendes, overføres eller opbevares.

  • Det er vigtigt, at alle relevante parter har sikker kryptering af deres kommunikation Hvis det er nødvendigt.

  • Implementering af inputkontroller, såsom validering af input og udførelse af integritetstjek, garanterer nøjagtighed.

  • Udførelse af automatiserede kontroller.

  • Sikring af, at adgangsrettigheder, samt hvem der kan se output, tages i betragtning ved outputkontrol.

  • Det er vigtigt at pålægge grænser for, hvad der kan inkluderes i "fritekst"-felter for at beskytte mod utilsigtet distribution af fortrolige oplysninger.

  • Regulatoriske krav, såsom dem, der regulerer logning af transaktioner og ikke-afvisning.

  • Andre sikkerhedskontroller kan kræve overholdelse af specifikke krav; for eksempel datalækagedetektionssystemer.

  • Hvordan din organisation håndterer fejlmeddelelser.

Vejledning om transaktionstjenester

ISO 27001:2022 Bilag A 8.26 kræver, at organisationer overvejer følgende syv anbefalinger, når de leverer transaktionstjenester mellem dem selv og en partner:

  • Graden af ​​tro, hver part skal have på den andens identitet, er afgørende i enhver transaktion.

  • Troværdigheden af ​​data, der sendes eller behandles, skal sikres, og et egnet system til at genkende eventuelle integritetsmangler, herunder hashing og digitale signaturer, skal identificeres.

  • Virksomheden skal oprette et system til at bestemme, hvem der er autoriseret til at godkende, underskrive og underskrive kritiske transaktionsdokumenter.

  • Sikring af hemmeligholdelse og nøjagtighed af væsentlige dokumenter og verifikation af transmission og modtagelse af nævnte dokumenter.

  • Bevarelse af fortroligheden og nøjagtigheden af ​​transaktioner, dette kan være ordrer og fakturaer.

  • Krav til, hvordan transaktioner skal forblive fortrolige i en bestemt periode.

  • Kontraktlige forpligtelser og forsikringskrav skal opfyldes.

Vejledning om elektronisk bestilling og betalingsansøgninger

Organisationer bør overveje følgende, når de integrerer betalings- og elektroniske bestillingsfunktioner i applikationer:

  • Det er vigtigt at sikre fortrolighed og integritet af ordreoplysninger.

  • Etablering af et passende bekræftelsesniveau for bekræftelse af betalingsoplysningerne fra en kunde.

  • Undgå fejlplacering eller replikering af transaktionsdata.

  • Sørg for, at information vedrørende information holdes væk fra et offentligt tilgængeligt område, f.eks. et lagringsmedie placeret på organisationens intranet.

  • Når en organisation er afhængig af en ekstern myndighed til at udstede digitale signaturer, skal den sikre, at sikkerheden er integreret i hele processen.

Vejledning om netværk

Når applikationer tilgås via netværk, kan de blive udsat for kontraktlige uenigheder, svigagtig adfærd, vildledning, ikke-godkendte ændringer af indholdet af kommunikation eller fortroligheden af ​​følsomme data kan blive brudt.

ISO 27001:2022 Annex A 8.26 råder organisationer til at udføre grundige risikovurderinger for at identificere passende kontroller, såsom kryptografi, for at beskytte sikkerheden ved informationsoverførsler.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.26 erstatter ISO 27001:2013 Annex A 14.1.2 og 14.1.3 i den reviderede 2022-standard.

Der er tre store forskelle mellem de to versioner.

Alle applikationer vs applikationer, der passerer gennem offentlige netværk

ISO 27001:2013 skitserer en liste over informationssikkerhedskrav, der skal tages i betragtning for applikationer, der skal transmitteres via offentlige netværk.

ISO 27001:2022 Bilag A 8.26 giver derimod en liste over informationssikkerhedskrav, der gælder for alle applikationer.

Yderligere vejledning om elektronisk bestilling og betalingsansøgninger

ISO 27001:2022 Annex A 8.26 giver specifik vejledning om elektroniske bestillings- og betalingsansøgninger, noget som ikke blev behandlet i 2013-versionen.

Krav til transaktionstjenester

Mens 2022-udgaven og 2013-udgaven er næsten ens med hensyn til forudsætningerne for transaktionsydelser, introducerer 2022-udgaven et ekstra krav, der ikke er taget højde for i 2013-udgaven:

  • Organisationer bør huske kontraktlige forpligtelser og forsikringsbestemmelser.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.online er et cloud-baseret system som hjælper organisationer med at demonstrere tilpasning til ISO 27001:2022. Dette system kan bruges til at overvåge ISO 27001-kravene og sikre, at din organisation forbliver i overensstemmelse med standarden.

Vores platformen er brugervenlig og tilgængelig for alle. Det kræver ikke kompleks teknisk viden; alle i din virksomhed kan gøre brug af det.

Kontakt os nu for at planlægge en demonstration.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Sig hej til ISO 27001 succes

Få 81 % af arbejdet gjort for dig, og bliv certificeret hurtigere med ISMS.online

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere