ISO 27001:2022 Bilag A 8.28 – Sikker kodning

ISO 27001:2022 Bilag A Kontrol 8.28 understreger sikker kodningspraksis for at forhindre sårbarheder, sikring af softwaresikkerhed gennem korrekt udvikling, implementering og revisionsprocesser. Det fremhæver overholdelsesansvar, risici i den virkelige verden som Heartbleed-fejlen og bedste praksis for organisationer til at afbøde sikkerhedstrusler.

Book en demo
Forfatter
Max Edwards
Opdateret 31 januar 2025
LinkedIn Twitter Twitter

ISO 27001 Annex A 8.28: Styrkelse af softwaresikkerhed med sikker kodning

Brugen af ​​dårlig kodningspraksis, såsom ukorrekt inputvalidering og svag nøglegenerering, kan føre til cyberangreb og kompromittering af følsomme informationsaktiver.

Af denne grund udnyttede hackere den berygtede Heartbleed-fejl til at få adgang til mere end 4 millioner patientjournaler.

For at forhindre sikkerhedssårbarheder skal organisationer følge sikre kodningsprincipper.

Hvad er formålet med ISO 27001:2022 Annex A 8.28?

Per ISO 27001: 2022, Bilag A Kontrol 8.28 hjælper organisationer med at forhindre sikkerhedsrisici og sårbarheder, der kan opstå på grund af dårlig softwarekodningspraksis ved at udvikle, implementere og gennemgå passende sikker softwarekodningspraksis.

Hvem har ejerskab til bilag A 8.28?

En informationssikkerhedschef bør være ansvarlig for at tage passende skridt til at sikre overholdelse af 8.28, som kræver udvikling og implementering af sikre kodningsprincipper og -procedurer i hele organisationen.



Få et forspring på 81 %

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo


Overholdelsesretningslinjer for ISO 27001:2022 Bilag A 8.28

Organisationer skal udvikle og implementere sikre kodningsprocesser, der gælder for produkter leveret af eksterne parter og open source softwarekomponenter, som beskrevet i ISO 27001 bilag A Kontrol 8.28.

Derudover bør organisationer forblive informeret om udvikling af sikkerhedstrusler i den virkelige verden og de seneste oplysninger om kendte eller potentielle softwaresikkerhedssårbarheder. Ved at bruge denne tilgang kan organisationer udvikle robuste, sikre kodningsprincipper at bekæmpe udviklende cybertrusler.

Supplerende vejledning om planlægning

Det er vigtigt, at både nye kodningsprojekter og genbrug af software overholder sikre softwarekodningsprincipper.

Disse principper bør overholdes både ved udvikling af software internt og ved overførsel af softwareprodukter eller -tjenester.

Organisationer bør overveje følgende faktorer, når de udvikler en plan for sikker kodningsprincipper og fastlægger forudsætninger for sikker kodning:

  • Sikkerhedsforventninger bør skræddersyes til organisationens specifikke behov, og godkendte principper for sikker softwarekode bør etableres, så de gælder for intern software udvikling og outsourcet komponenter.
  • Organisationer bør identificere og dokumentere de mest udbredte og historiske kodningsdesignfejl og dårlig kodningspraksis for at forhindre datasikkerhedsbrud.
  • Organisationer bør implementere og konfigurere softwareudviklingsværktøjer for at sikre sikkerheden for al kode, der oprettes. Integrerede udviklingsmiljøer (IDE'er) er et eksempel på sådanne værktøjer.
  • Softwareudviklingsværktøjer bør give vejledning og instruktioner til at hjælpe organisationer med at overholde retningslinjerne og instruktionerne.
  • Udviklingsværktøjer såsom compilere bør gennemgås, vedligeholdes og bruges sikkert af organisationer.

Supplerende vejledning om sikkerhed under kodning

For at sikre sikker kodningspraksis og -procedurer bør følgende overvejes under kodningsprocessen:

  • Kodningsprincipper for sikker software bør skræddersyes til hvert programmeringssprog og teknik.
  • Testdrevet udvikling og parprogrammering er eksempler på sikre programmeringsteknikker og -metoder.
  • Implementering af strukturerede programmeringsteknikker.
  • Dokumentation af koden og fjernelse af fejl i koden.
  • Det er forbudt at bruge usikre softwarekodningsmetoder, såsom ikke-godkendte kodeeksempler eller hårdkodede adgangskoder.

En sikkerhedstest bør udføres under og efter udvikling, som specificeret i ISO 27001 bilag A Kontrol 8.29.

Organisationer bør overveje følgende punkter, før de implementerer softwaren i et live applikationsmiljø:

  • Er der en angrebsflade?
  • Følges princippet om mindst privilegium?
  • Analysere de mest udbredte programmeringsfejl og dokumentere deres eliminering.


Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo


Supplerende vejledning til gennemgangsprocessen

Efter implementeringen af ​​kodekset i produktionsmiljøet

  • En sikker metode bør bruges til at anvende opdateringer.
  • Per ISO 27001:2022 Bilag A Kontrol 8.8, sikkerhedssårbarheder bør løses.
  • Der bør føres registre over formodede angreb og fejl på informationssystemer, og disse registre bør gennemgås regelmæssigt, så der kan foretages passende ændringer.
  • Brugen af ​​værktøjer såsom administrationsværktøjer bør bruges til at forhindre uautoriseret adgang, brug eller ændring af kildekoden.

Organisationer bør overveje følgende faktorer, når de bruger eksterne værktøjer

  • Regelmæssig overvågning og opdatering af eksterne biblioteker bør udføres efter deres udgivelsescyklusser.
  • En grundig gennemgang, udvælgelse og godkendelse af softwarekomponenter er afgørende, især dem, der er relateret til kryptografi og autentificering.
  • Indhentning af licenser til eksterne komponenter og sikring af deres sikkerhed.
  • Der bør være et system til sporing og vedligeholdelse af software. Desuden skal det sikres, at det kommer fra en velrenommeret kilde.
  • Det er vigtigt at have langsigtede udviklingsressourcer til rådighed.

Følgende faktorer bør tages i betragtning, når du foretager ændringer i en softwarepakke:

  • Integritetsprocesser eller indbyggede kontroller kan udsætte en organisation for risici.
  • Det er vigtigt at afgøre, om sælgeren har givet samtykke til ændringerne.
  • Kan der indhentes leverandørens samtykke til at udføre regelmæssige opdateringer af softwaren?
  • Den sandsynlige virkning af at vedligeholde softwaren, når den ændrer sig.
  • Hvilken effekt vil ændringerne have på andre softwarekomponenter, som organisationen bruger?


Overholdelse behøver ikke at være kompliceret.

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo


Yderligere vejledning om ISO 27001:2022 Bilag A 8.28

Organisationer skal sikre, at de bruger sikkerhedsrelevant kode, når det er nødvendigt, og at den er modstandsdygtig over for manipulation.

Bilag A Kontrol 8.28 i ISO 27001:2022 giver følgende anbefalinger til sikkerhedsrelevant kode:

  • Mens programmer, der downloades via binær kode, vil inkludere sikkerhedsrelateret kode i selve applikationen, vil den være begrænset i omfang til data gemt internt i applikationen.
  • Det er kun nyttigt at holde styr på sikkerhedsrelevant kode, hvis den køres på en server, der ikke kan tilgås af brugeren og er adskilt fra de processer, der bruger den, så dens data opbevares sikkert i en anden database og sikkert adskilt fra processerne der bruger det. Brugen af ​​en cloud-tjeneste til at køre en fortolket kode er mulig, og du kan begrænse adgangen til koden til privilegerede administratorer for at begrænse adgangen til koden. Anbefalingen er, at disse adgangsrettigheder beskyttes med just-in-time administratorrettigheder og robuste autentificeringsmekanismer, der kun giver adgang til webstedet på det rigtige tidspunkt.
  • En passende konfiguration bør implementeres på webservere for at forhindre uautoriseret adgang til og browsing af mapper på serveren.
  • For at udvikle sikker applikationskode skal du antage, at koden er sårbar over for angreb på grund af kodefejl og handlinger udført af ondsindede aktører. En kritisk applikation bør være designet til at være immun over for interne fejl på en måde, der forhindrer den i at være tilbøjelig til fejl. For eksempel, når man evaluerer output fra en algoritme, er det muligt at sikre, at outputtet er i overensstemmelse med sikkerhedskravene, før algoritmen kan bruges i kritiske applikationer, såsom dem, der er relateret til økonomi, før den kan bruges i applikationen.
  • På grund af mangel på god kodningspraksis er visse webapplikationer meget følsomme over for sikkerhedstrusler, såsom databaseinjektion og cross-site scripting-angreb.
  • Det anbefales, at organisationer refererer til ISO/IEC 15408 for mere information om it-sikkerhedsevaluering og hvordan den udføres.

Hvad er ændringerne fra ISO 27001:2013?

Bilag A 8.28 er en ny bilag A kontrol, der er blevet tilføjet til ISO 27001:2022 standarden.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

Uanset om du er helt ny inden for informationssikkerhed eller ønsker at lære om ISO 27001 kortfattet uden at skulle bruge tid på at læse lange og detaljerede dokumenter eller lære fra bunden, er vores platform designet specifikt til dig.

Ved at bruge ISMS.Online får du nemt adgang til dokumentskabeloner, tjeklister og politikker, der kan tilpasses til dine behov.

Vil du se, hvordan det fungerer?

Kontakt i dag for book en demo.

Gå til emnet

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

ISMS platform tur

Interesseret i en ISMS.online platform tour?

Start din gratis 2-minutters interaktive demo nu, og oplev magien ved ISMS.online i aktion!

Prøv gratis

Vi er førende inden for vores felt

Brugere elsker os
Netleder - Sommer 2025
Momentum Leader - Sommer 2025
Regional leder - Sommer 2025 Europa
Regional leder - Sommer 2025 EMEA
Regional leder - Sommer 2025 Storbritannien
Højtydende - Sommer 2025 Europa

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

-Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

- Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

- Ben H.