ISO 27001:2022 Bilag A Kontrol 8.29

Sikkerhedstest i udvikling og accept

Book en demo

foto,unge,kolleger,besætning,arbejde,med,ny,opstart,projekt,ind

Cyberkriminelle udtænker løbende nye metoder og forbedrer deres taktik for at bryde virksomhedens netværk og få adgang til fortrolige data.

Cyberkriminelle kunne udnytte en fejl forbundet med autentificeringsprocessen i kildekoden til at bryde netværk. Derudover kan de forsøge at overtale slutbrugere på klientsiden til at gøre ting, der giver dem mulighed for at få adgang til data, infiltrere netværk eller udføre ransomware-angreb.

Hvis en applikation, software eller it-system er implementeret med sårbarheder, vil dette medføre risiko for, at følsomme oplysninger bliver kompromitteret.

Organisationer bør opsætte og udføre en passende sikkerhedstestproces for at identificere og adressere eventuelle sårbarheder i it-systemer, før de implementeres i den virkelige verden.

Formål med ISO 27001:2022 bilag A 8.29

ISO 27001: 2022 Bilag A Kontrol 8.29 giver organisationer mulighed for at sikre, at alle sikkerhedskrav er opfyldt, når nye applikationer, databaser, software eller kode implementeres. Dette gøres ved at skabe og følge en grundig sikkerhedstestproces.

Organisationer kan identificere og fjerne potentielle svagheder i deres kode, netværk, servere, applikationer og andre it-systemer før implementering i den virkelige verden.

Ejerskab af bilag A 8.29

Informationssikkerhedsansvarlig skal sikre, at ISO 27001:2022 Bilag A Kontrol 8.29 er opfyldt, hvilket kræver etablering, vedligeholdelse og implementering af en sikkerhedstestprocedure, der dækker alle nye informationssystemer, uanset om de er oprettet internt eller af tredjeparter.

Gå til emne
Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

Generel vejledning om ISO 27001:2022 Bilag A 8.29 Overholdelse

Organisationer bør inkorporere sikkerhedstestning i testprocessen for alle systemer, hvilket garanterer, at alle nye informationssystemer, såvel som deres nye/opdaterede versioner, opfylder krav til informationssikkerhed, når de er i produktionsmiljøet.

ISO 27001:2022 Bilag A Kontrol 8.29 skitserer tre elementer som væsentlige komponenter i sikkerhedstest:

  1. Sikre sikkerhed gennem brugergodkendelse i overensstemmelse med ISO 27001:2022 Annex A 8.5, adgangsbegrænsning i overensstemmelse med ISO 27001:2022 Annex A 8.3 og kryptografi i henhold til ISO 27001:2022 Annex A 8.24.

  2. Sørg for, at koden er skrevet sikkert i overensstemmelse med ISO 27001:2022 Annex A 8.28.

  3. Sørg for, at konfigurationer opfylder kravene i bilag A 8.9, 8.20 og 8.22, hvilket kan involvere firewalls og operativsystemer.

Hvad skal en testplan indeholde?

Når organisationer udarbejder sikkerhedstestplaner, bør de overveje det involverede informationssystems hastende karakter og karakter.

Denne sikkerhedstestplan bør indeholde følgende elementer:

  • Lav en samlet dagsorden for de virksomheder og de test, der skal gennemføres.

  • Forventede resultater, når visse betingelser er opfyldt, omfatter både input og output.

  • Kriterier for vurdering af resultaterne skal fastlægges.

  • Når resultaterne er opnået, kan der træffes beslutninger om, hvad der skal gøres.

In-house udvikling

Det interne udviklingsteam bør udføre den indledende sikkerhedstest for at sikre, at it-systemet overholder sikkerhedsspecifikationerne.

En første testrunde bør udføres efterfulgt af uafhængig accepttest i overensstemmelse med ISO 27001:2022 bilag A 5.8.

Med hensyn til intern udvikling skal følgende tages i betragtning:

  • Udførelse af kodegennemgange for at identificere og løse sikkerhedsproblemer, omfattende forventede input og situationer.

  • Udførelse af sårbarhedsscanninger for at identificere usikre indstillinger og andre potentielle svagheder.

  • Udførelse af penetrationstests for at identificere svag kodning og design.

outsourcing

Organisationer bør overholde en streng anskaffelsesprocedure, når de uddelegerer udvikling eller købe it-elementer fra eksterne kilder.

Organisationer bør indgå en kontrakt med deres leverandører, der opfylder informationssikkerhedskriterierne i ISO 27001:2022 bilag A 5.20.

Organisationer bør garantere, at de varer og tjenester, de erhverver, er i overensstemmelse med sikkerhedsstandarderne for informationssikkerhed.

Supplerende vejledning om ISO 27001:2022 Bilag A 8.29

Organisationer kan generere flere testmiljøer til at udføre en række tests, herunder funktionelle, ikke-funktionelle og ydeevne. De kan skabe virtuelle testmiljøer, konfigurere dem til at teste it-systemer i forskellige driftsindstillinger og forfine dem i overensstemmelse hermed.

Bilag A 8.29 understreger behovet for effektiv sikkerhedstest, hvilket gør det nødvendigt for organisationer at teste og overvåge testmiljøer, værktøjer og teknologier.

Organisationer bør overveje niveauet af følsomhed og vigtighed, når de beslutter, hvor mange lag af meta-test, der skal anvendes.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.29 erstatter ISO 27001:2013 Bilag A 14.2.8 og 14.2.9 i den seneste revision.

Strukturelle ændringer

ISO 27001: 2022 konsoliderer sikker test i én kontrol i modsætning til ISO 27001:2013, som refererede til sikker test i to forskellige kontroller; Systemsikkerhedstest (bilag A 14.2.8) og systemaccepttest (bilag A 14.2.9).

ISO 27001:2022 Bilag A 8.29 bringer mere omfattende krav

I modsætning til ISO 27001:2013 indeholder ISO 27001:2022 revisionen mere omfattende krav og råd om:

  • En sikkerhedstestplan, der bør omfatte en række elementer.

  • Kriterier for vurdering af sikkerhed ved intern udvikling af IT-systemer.

  • Hvad skal inkluderes i sikkerhedstestprocessen.

  • Det er vigtigt at bruge flere testmiljøer. Det sikrer grundighed og nøjagtighed i processen.

ISO 27001:2013 var mere detaljeret i forhold til accepttest

I modsætning til ISO 27001:2022 var ISO 27001:2013 mere detaljeret vedrørende systemaccepttest. Det omfattede sikkerhedstest for indgående komponenter og brugen af ​​automatiserede værktøjer.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.online forenkler ISO 27001:2022 implementeringsprocessen gennem en sofistikeret cloud-baseret ramme, som leverer dokumentation af informationssikkerhedsstyringssystem processer og tjeklister for at sikre kompatibilitet med accepterede standarder.

Kontakt os til arrangere en demonstration.

Se vores platform
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Metode med sikre resultater
100 % ISO 27001 succes

Din enkle, praktiske, tidsbesparende vej til første gangs ISO 27001-overensstemmelse eller certificering

Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere