I 90'erne plejede virksomheder kun at udføre sikkerhedstests for softwareprodukter og -systemer under testfasen, i den sidste fase af softwareudviklingens livscyklus.
Som følge heraf undlod de ofte at opdage og eliminere kritiske sårbarheder, fejl og mangler.
For at identificere og adressere sikkerhedssårbarheder tidligt, bør organisationer integrere sikkerhedsovervejelser i alle faser af udviklingens livscyklus, fra planlægningen til implementeringsfasen.
Kontrol 8.25 omhandler, hvordan organisationer kan opstille og implementere regler for at bygge sikre softwareprodukter og systemer.
Control 8.25 gør det muligt for organisationer at designe informationssikkerhedsstandarder og anvende disse standarder på tværs af hele den sikre udviklingslivscyklus for softwareprodukter og -systemer.
Kontrol 8.25 er af forebyggende karakter, da det kræver, at organisationer proaktivt designer og implementerer regler og kontroller, der styrer hele udviklingslivscyklussen for hvert nyt softwareprodukt og -system.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Applikationssikkerhed #System- og netværkssikkerhed | #Beskyttelse |
Chief Information Security Officer bør være ansvarlig for oprettelse, implementering og vedligeholdelse af regler og foranstaltninger til sikring af sikkerheden i udviklingens livscyklus.
Kontrol 8.25 indeholder 10 krav, som organisationer skal overholde for at bygge sikre softwareprodukter, systemer og arkitektur:
Hvis en organisation udliciterer visse udviklingsopgaver til eksterne parter, skal den endvidere sikre, at den eksterne part overholder organisationens regler og procedurer for sikker udvikling af software og system.
Kontrol 8.25 bemærker, at softwareprodukter, arkitekturer og systemer også kan udvikles i applikationer, databaser eller browsere.
27002:2022/8.25 replace 27002:2013/(14.2.1)
Overordnet set er der to vigtige forskelle.
Mens 2022-versionen i høj grad ligner 2013-versionen, stiller Control 8.25 to nye krav til organisationer:
2013-versionen anførte eksplicit, at kontrol 14.2.1 gælder både for nye udviklinger og genbrug af kode. I modsætning hertil henviste kontrol 8.25 ikke til scenarier for genbrug af kode.
ISO 27002 implementering er enklere med vores trinvise tjekliste, der guider dig gennem hele processen. Din komplette overholdelsesløsning til ISO/IEC 27002:2022.
Kontakt i dag for book en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |