Applikationssoftwareprogrammer såsom webapplikationer, grafiksoftware, databasesoftware og betalingsbehandlingssoftware er afgørende for mange kritiske forretningsoperationer.
Disse applikationer er dog ofte udsat for sikkerhedssårbarheder, der kan resultere i kompromittering af følsomme oplysninger.
For eksempel undlod Equifax, et amerikansk-baseret kreditbureau, at anvende en sikkerhedsrettelse på en hjemmesideapplikationsramme, der blev brugt til at håndtere kundeklager. Cyberangriberne brugte sikkerhedsproblemer i webapplikationen for at infiltrere Equifax' virksomhedsnetværk og stjal følsomme data fra omkring 145 millioner mennesker.
Kontrol 8.26 omhandler hvordan organisationer kan etablere og anvende krav til informationssikkerhed til udvikling, brug og erhvervelse af applikationer.
Kontrol 8.26 gør det muligt for organisationer at beskytte informationsaktiver, der er lagret på eller behandlet gennem applikationer, ved at identificere og anvende passende informationssikkerhedskrav.
Kontrol 8.26 er en forebyggende form for kontrol, der forhindrer risici for integriteten, tilgængeligheden og fortroligheden af informationsaktiver, der er gemt på applikationen, gennem brug af passende informationssikkerhedsforanstaltninger.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Applikationssikkerhed #System- og netværkssikkerhed | #Beskyttelse #Forsvar |
Chief Information Security Officer bør med støtte fra informationssikkerhedsspecialister være ansvarlig for identifikation, godkendelse og implementering af informationskrav til erhvervelse, brug og udvikling af applikationer.
Generel vejledning bemærker, at organisationer bør udføre en risikovurdering for at bestemme typen af informationssikkerhedskrav passende til en bestemt applikation.
Mens indholdet og typerne af krav til informationssikkerhed kan variere afhængigt af ansøgningens art, skal kravene omhandle følgende:
Kontrol 8.26 kræver, at organisationer tager hensyn til følgende syv anbefalinger, når en applikation tilbyder transaktionstjenester mellem organisationen og en partner:
Når applikationer omfatter betalings- og elektronisk bestillingsfunktionalitet, bør organisationer tage følgende i betragtning:
Når applikationer tilgås via netværk, er de sårbare over for trusler såsom kontraktstridigheder, svigagtige aktiviteter, fejldirigering, uautoriserede ændringer af indholdet af kommunikation eller tab af fortrolighed af følsomme oplysninger.
Kontrol 8.26 anbefaler, at organisationer udfører omfattende risikovurderinger for at identificere passende kontroller såsom brug af kryptografi for at sikre sikkerheden ved informationsoverførsler.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
27002:2022/8.26 erstatte 27002:2013/(14.1.2 og 14.1.3)
Der er tre store forskelle mellem de to versioner.
ISO 27002:2013-versionen anførte ikke krav, der gælder for alle applikationer: Den gav en liste over informationssikkerhedskrav, der bør tages i betragtning for applikationer, der passerer gennem offentlige netværk.
Kontrol 8.26 i 2022-versionen, derimod en liste over informationssikkerhedskrav, der gælder for alle applikationer.
Kontrol 8.26 i 2022-versionen indeholder specifik vejledning vedr Elektroniske bestillings- og betalingsansøgninger. I modsætning hertil behandlede 2013-versionen ikke dette.
Mens 2022-versionen og 2013-versionen er næsten identiske med hensyn til kravene til transaktionstjenester, introducerer 2022-versionen et yderligere krav, som ikke er behandlet i 2013-versionen:
ISMS.online er en cloud-baseret løsning, der hjælper virksomheder med at vise overholdelse af ISO 27002. ISMS.online-løsningen kan bruges til at håndtere kravene til ISO 27002 og sikre, at din organisation forbliver i overensstemmelse med den nye standard.
Vores platform er brugervenlig og ligetil. Det er ikke kun for meget tekniske personer; det er for alle i din virksomhed.
Kontakt i dag for book en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |