ISO 27001:2022 Bilag A Kontrol 8.27

Sikker systemarkitektur og ingeniørprincipper

Book en demo

tæt på,billede,af,kvinde,hænder,indtastning,på,laptop,computer

ISO 27001: 2022 Bilag A 8.27 specificerer, at organisationer skal implementere sikker systemarkitektur og tekniske principper for at sikre, at design, implementering og styring af informationssystemet er passende i forhold til organisationens sikkerhedskrav. Dette omfatter etablering af sikre systemarkitekturer, tekniske principper og sikker designpraksis.

De indviklede strukturer af moderne informationssystemer, kombineret med det uophørligt skiftende cybersikkerhedsrisikomiljø, gør informationssystemer mere tilbøjelige til eksisterende og potentielle sikkerhedstrusler.

Bilag A 8.27 beskriver hvordan organisationer kan beskytte deres informationssystemer fra sikkerhedstrusler gennem implementering af sikre systemkonstruktionsprincipper i alle faser af informationssystemets livscyklus.

Formål med ISO 27001:2022 bilag A 8.27

Bilag A 8.27 letter organisationer med at sikre informationssystemer i faserne af design, implementering og drift via etablering og implementering af sikre systemingeniørprincipper, som systemingeniører skal overholde.

Ejerskab af bilag A 8.27

Chief Information Security Officer skal holdes ansvarlig for opførelse, opretholdelse og gennemførelse af reglerne, der styrer sikker konstruktion af informationssystemer.

Gå til emne

Generel vejledning om ISO 27001:2022 Bilag A 8.27 Overholdelse

ISO 27001:2022 Annex A 8.27 understreger nødvendigheden af, at organisationer indlejrer sikkerhed i hele deres informationssystemer, herunder forretningsprocesser, applikationer og dataarkitektur.

Sikker ingeniørpraksis bør implementeres for alle opgaver forbundet med informationssystemer, regelmæssigt revideret og opdateret for at tage højde for nye trusler og angrebsmønstre.

Bilag A 8.27 gælder også for systemer, der er oprettet af eksterne udbydere, ud over dem, der er udviklet og kørt internt.

Organisationer bør garantere, at tjenesteudbydernes praksis og standarder er i overensstemmelse med deres sikre tekniske protokoller.

ISO 27001:2022 Bilag A 8.27 nødvendiggør sikre systemkonstruktionsprincipper for at behandle følgende otte emner:

  1. Metoder til brugergodkendelse.

  2. Sikker sessionskontrolvejledning.

  3. Procedurer for desinficering og validering af data.

  4. Sikkerhedsforanstaltninger til beskyttelse af informationsaktiver og -systemer mod kendte trusler analyseres omfattende.

  5. Sikkerhedsforanstaltninger analyseret for deres evne til at identificere, eliminere og reagere på sikkerhedstrusler.

  6. Analyse af de sikkerhedsforanstaltninger, der anvendes på specifikke forretningsaktiviteter, såsom informationskryptering.

  7. Hvor og hvordan sikkerhedsforanstaltninger vil blive implementeret. En specifik sikkerhedskontrol i bilag A kan integreres i den tekniske infrastruktur som en del af denne proces.

  8. Den måde, hvorpå forskellige sikkerhedsforanstaltninger arbejder sammen og fungerer som et kombineret system.

Vejledning om Zero Trust-princippet

Organisationer bør huske disse nul-tillid principper:

  • Baseret på antagelsen om, at organisationens systemer allerede er kompromitteret, og at den definerede perimetersikkerhed af dens netværk ikke kan give tilstrækkelig beskyttelse.

  • En politik med "verifikation før tillid" bør vedtages, når det kommer til at give adgang til informationssystemer. Dette sikrer, at der kun gives adgang efter undersøgelse, og det sikres, at de rigtige personer har den.

  • At sikre, at anmodninger til informationssystemer er sikret med end-to-end-kryptering, giver sikkerhed.

  • Verifikationsmekanismer implementeres under forudsætning af adgangsanmodninger fra eksterne, åbne netværk til informationssystemer.

  • Implementer mindste privilegier og dynamisk adgangskontrol i overensstemmelse med ISO 27001:2022 Annex A 5.15, 5.18 og 8.2. Dette skal omfatte autentificering og godkendelse af følsomme informations- og infosystemer under hensyntagen til kontekstuelle aspekter såsom brugeridentiteter (ISO 27001:2022 Bilag A 5.16) og informationsklassificering (ISO 27001:2022 Bilag A 5.12).

  • Autentificer anmoderens identitet og verificer autorisationsanmodninger til at få adgang til informationssystemer i henhold til godkendelsesoplysningerne i ISO 27001:2022 Annex A 5.17, 5.16 og 8.5.

Hvad skal sikre systemtekniske teknikker dække?

Din organisation skal huske følgende:

  • Inkorporerer sikre arkitekturprincipper såsom "sikkerhed ved design", "forsvar i dybden", "sikkert fejl", "mistro input fra eksterne applikationer", "antage brud", "mindste privilegium", "brugervenlighed og håndterbarhed" og "mindst funktionalitet". ” er altafgørende.

  • Udførelse af en sikkerhedsorienteret designgennemgang for at opdage eventuelle informationssikkerhedsproblemer og sikre, at sikkerhedsforanstaltninger er etableret og opfylder sikkerhedsbehovene.

  • Det er vigtigt at dokumentere og anerkende sikkerhedsforanstaltninger, der ikke opfylder kravene.

  • Systemhærdning er afgørende for sikkerheden i ethvert system.

Hvilke kriterier skal man overveje, når man designer sikre tekniske principper?

Organisationer bør tage følgende punkter i betragtning, når de opsætter principper for sikker systemudvikling:

  • Kravet om at koordinere bilag A-kontroller med særlig sikkerhedsarkitektur er uundværligt.

  • En organisations eksisterende tekniske sikkerhedsinfrastruktur, herunder offentlige nøgleinfrastruktur, identitetsstyring og forebyggelse af datalækage.

  • Kan organisationen konstruere og opretholde den valgte teknologi.

  • Omkostningerne og den tid, der er nødvendig for at opfylde sikkerhedskravene, skal tages i betragtning under hensyntagen til deres kompleksitet.

  • Det er vigtigt at overholde nuværende bedste praksis.

Vejledning om anvendelse af sikre systemkonstruktionsprincipper

ISO 27001:2022 Annex A 8.27 angiver, at organisationer kan anvende sikre tekniske principper, når de opsætter følgende:

  • Fejltolerance og andre modstandsdygtighedsstrategier er afgørende. De hjælper med at sikre, at systemerne forbliver operationelle på trods af, at der opstår uventede hændelser.

  • Segregation gennem virtualisering er en teknik, der kan bruges.

  • Indgrebssikker, sørg for, at systemerne forbliver sikre og uigennemtrængelige for ondsindet interferens.

Sikker virtualiseringsteknologi kan reducere risikoen for aflytning mellem applikationer, der kører på den samme enhed.

Det understreges, at manipulationsmodstandssystemer kan detektere både logisk og fysisk manipulation af informationssystemer, hvilket forhindrer uautoriseret adgang til data.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.27 erstatter ISO 27001:2013 Annex A 14.2.5 i den reviderede 2022-standard.

2022-versionen indeholder mere omfattende krav end 2013-versionen, såsom:

  • I forhold til 2013 giver 2022-versionen vejledning om, hvad sikre ingeniørprincipper bør omfatte.

  • I modsætning til 2013-iterationen tager 2022-versionen hensyn til de kriterier, som organisationer bør tage i betragtning, når de konstruerer sikre systemtekniske principper.

  • 2022-versionen giver vejledning om nul-tillidsprincippet, som ikke var inkluderet i 2013-versionen.

  • 2022-udgaven af ​​dokumentet indeholder anbefalinger til sikre ingeniørteknikker, såsom "security by design", som ikke var til stede i 2013-versionen.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

Vores trinvise tjekliste gør implementeringen af ​​ISO 27001 til en leg. Vores komplet compliance-løsning for ISO/IEC 27001:2022 vil guide dig gennem processen fra start til slut.

Når du logger ind, kan du forvente op til 81 % fremgang.

Denne løsning er fuldstændig omfattende og ligetil.

Tag fat nu til book en demonstration.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere