ISO 27001:2022 Bilag A Kontrol 8.31

Adskillelse af udviklings-, test- og produktionsmiljøer

Book en demo

hold,på,arbejde.,gruppe,unge,forretningsfolk,i,smarte

Hvis udviklings-, test- og produktionsmiljøer ikke adskilles nøjagtigt, kan det føre til tab af tilgængelighed, fortrolighed og integritet af informationsaktiver.

For eksempel satte Uber fejlagtigt et kodelager op på Github, som inkluderede adgangskoder fra deres produktionsmiljø, hvilket kompromitterede fortroligheden af ​​følsomme data.

Organisationer bør etablere passende protokoller og regler for at adskille udviklings-, test- og produktionsindstillinger for at udrydde sikkerhedsrisici.

Formål med ISO 27001:2022 bilag A 8.31

ISO 27001: 2022 Bilag A 8.31 letter organisationer med at bevare fortroligheden, integriteten og tilgængeligheden af ​​følsomme informationsaktiver via passende processer, kontroller og regler. Det gør det ved at isolere udviklings-, test- og produktionsmiljøer.

Ejerskab af bilag A 8.31

Chief Information Security Officer, med bistand fra udviklingsteamet, være i sidste ende ansvarlig for at overholde ISO 27001:2022 Annex A 8.31, som kræver etablering og implementering af organisationsdækkende processer og kontroller for at adskille forskellige softwaremiljøer.

Gå til emne

Generel vejledning om ISO 27001:2022 Bilag A 8.31 Overholdelse

Organisationer bør overveje de produktionsproblemer, der bør undgås, når de beslutter sig for den nødvendige grad af adskillelse mellem de tre miljøer.

Bilag A 8.31 foreslår, at organisationer skal huske på syv kriterier:

  1. Adskillelse af udviklings- og produktionssystemer til et tilfredsstillende niveau anbefales. For eksempel kunne brug af forskellige virtuelle og fysiske miljøer til produktion være en levedygtig løsning.

  2. Regler og autorisationsprocedurer skal udarbejdes, dokumenteres og implementeres vedrørende brug af software i produktionsmiljøet, efter at det har passeret udviklingsmiljøet.

  3. Organisationer bør evaluere og prøve ændringer af applikationer og produktionssystemer i et isoleret testmiljø, udelukket fra produktionsmiljøet, før de implementeres i produktionsmiljøet.

  4. Ingen test i produktionsmiljøer bør finde sted, medmindre det er præcist defineret og godkendt på forhånd.

  5. Udviklingsressourcer, såsom compilere og redaktører, bør ikke være tilgængelige i produktionsmiljøer, medmindre det er absolut nødvendigt.

  6. For at reducere fejl, bør korrekte miljømærkater være fremtrædende i menuerne.

  7. Ingen følsomme informationsaktiver bør overføres til nogen udviklings- eller testsystemer, medmindre tilsvarende sikkerhedsforanstaltninger er på plads.

Vejledning om beskyttelse af udviklings- og testmiljøer

Organisationer bør beskytte udviklings- og testmiljøer mod potentielle sikkerhedsrisici under hensyntagen til følgende:

  • Sørg for, at alle udviklings-, integrations- og testværktøjer, f.eks. bygherrer, integratorer og biblioteker, jævnligt lappes og holdes ajour.

  • Sørg for, at alle systemer og software er sikkert sat op.

  • Passende kontroller skal være på plads for adgang til miljøer.

  • Ændringer i miljøer og deres koder bør overvåges og gennemgås.

  • Sikker overvågning og gennemgang af miljøer bør foretages.

  • Miljøer bør sikres med sikkerhedskopier.

Intet individ bør have ret til at foretage ændringer i både udviklings- og produktionsmiljøer uden forudgående godkendelse. For at undgå dette kan organisationer adskille adgangsrettigheder eller indføre og udføre adgangskontroller.

Organisationer kan overveje yderligere tekniske kontroller, såsom at logge alle adgangsaktiviteter og overvåge adgangen til disse miljøer i realtid.

Supplerende vejledning om bilag A 8.31

Hvis organisationer ikke tager de nødvendige skridt, kan deres informationssystemer blive udsat for væsentlige sikkerhedsrisici.

Udviklere og testere med adgang til produktionsmiljøet kan foretage utilsigtede ændringer af filer eller systemindstillinger, køre uautoriseret kode eller utilsigtet afsløre følsomme data.

Organisationer kræver en stabil indstilling for at udføre grundige test af deres kode, hvilket forhindrer udviklere i at få adgang til produktionsmiljøer, der lagrer og behandler følsomme data fra den virkelige verden.

Organisationer bør tildele specifikke roller og håndhæve adskillelse af opgaver.

Udviklings- og testholdene kan risikere at kompromittere de fortrolige produktionsdata, hvis de bruger de samme computerenheder. Utilsigtede ændringer af følsomme oplysninger eller softwareprogrammer kan foretages.

Organisationer opfordres til at etablere hjælpeprocesser til at bruge produktionsdata i test- og udviklingssystemer i overensstemmelse med ISO 27001:2022 bilag A 8.33.

Organisationer bør overveje de foranstaltninger, der er diskuteret i dette bilag A Kontrol, når de udfører slutbrugeruddannelse i træningsmiljøer.

Endelig kan organisationer sløre grænserne mellem udvikling, test og produktionsindstillinger. For eksempel kan test udføres i et udviklingsmiljø, eller personale kan teste produktet ved faktisk at bruge det.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 8.31 erstatter ISO 27001:2013 Bilag A 12.1.4 og ISO 27001:2013 Bilag A 14.2.6. Denne revision foretager de nødvendige justeringer for at bringe standarden i overensstemmelse med den mest aktuelle praksis.

De to versioner har meget til fælles, men to forskelle er bemærkelsesværdige.

ISO 27001:2013 Bilag A 14.2.6 Leveret mere detaljeret vejledning om sikre udviklingsmiljøer

ISO 27001:2013 Annex A 14.2.6 omhandler sikre udviklingsmiljøer og skitserer 10 anbefalinger, som organisationer skal overveje, når de konstruerer et udviklingsmiljø.

Til sammenligning indeholder ISO 27001:2022 Annex A 8.33 ikke visse forslag, som f.eks. at have en sikkerhedskopi på et fjerntliggende sted og begrænsninger for dataoverførsel.

ISO 27001:2022 Bilag A 8.31 omhandler produkttestning og brug af produktionsdata

I sammenligning med ISO 27001:2013 tilbyder ISO 27001:2022 Annex A 8.31 vejledning om produkttestning og udnyttelse af produktionsdata i overensstemmelse med ISO 27001:2022 Annex A 8.33.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

ISMS.Online yder support til hele ISO 27001 implementering, fra risikovurdering til udarbejdelse af politikker, procedurer og retningslinjer for at overholde standarden.

ISMS.Online tilbyder en bekvem tilgang til at registrere opdagelser og dele dem med kolleger online. Det giver dig yderligere mulighed for at udarbejde og gemme tjeklister for hver ISO 27001-opgave, så du nemt kan overvåge din organisations sikkerhedsprogram.

Vi forsyner også organisationer med et automatiseret værktøjssæt, som letter overholdelse af ISO 27001-standarden. Dens brugervenlige design gør det nemt at bevise overensstemmelse.

Kontakt os nu for at arrangere en demonstration.

Vi følte, at vi havde
det bedste fra begge verdener. Vi var
kunne bruge vores
eksisterende processer,
& Adopter, Tilpas
indhold gav os nyt
dybde til vores ISMS.

Andrew Bud
Grundlægger, iproov

Book din demo

Sig hej til ISO 27001 succes

Få 81 % af arbejdet gjort for dig, og bliv certificeret hurtigere med ISMS.online

Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere