Ændringer af informationssystemer såsom udskiftning af en netværksenhed, oprettelse af en ny databaseinstans eller opgradering af software er ofte nødvendige for at forbedre ydeevnen, reducere omkostningerne og øge effektiviteten.
Disse ændringer af informationsbehandlingsfaciliteter og -systemer kan dog, hvis de ikke implementeres korrekt, føre til kompromittering af informationsaktiver, der er lagret i eller behandlet af disse faciliteter.
Kontrol 8.32 omhandler, hvordan organisationer kan etablere og anvende ændringsstyringsprocedurer til at overvåge, gennemgå og kontrollere ændringer foretaget i informationsbehandlingsfaciliteterne og -systemerne.
Kontrol 8.32 gør det muligt for organisationer at opretholde sikkerheden for informationsaktiver, når de udfører ændringer på informationsbehandlingsfaciliteterne og -systemerne ved at etablere, implementere og administrere ændringsstyringsregler og -procedurer.
Kontrol 8.32 er af forebyggende karakter. Det kræver, at organisationer definerer, dokumenterer, specificerer og håndhæver ændringskontrolprocesser, der styrer hele livscyklussen af informationssystemer, fra det indledende design til implementeringen og brugen.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Applikationssikkerhed #System- og netværkssikkerhed | #Beskyttelse |
I betragtning af, at overholdelse af kontrol 8.32 indebærer etablering og håndhævelse af ændringskontrolprocedurer, der gælder for alle stadier i informationssystemers livscyklus, bør chefer for informationssikkerhed med støtte fra domæneeksperter være ansvarlige for at designe og håndhæve disse procedurer.
Alle større ændringer af informationssystemer og indførelse af nye systemer bør være underlagt et aftalt sæt regler og procedurer. Disse ændringer bør formelt specificeres og dokumenteres. Desuden skal de gennemgå test- og kvalitetskontrolprocesserne.
For at sikre, at alle ændringer er i overensstemmelse med ændringskontrolreglerne og -standarderne, bør organisationer tildele ledelsesansvar til passende ledelse og bør fastlægge de nødvendige procedurer.
Kontrol 8.32 lister ni elementer, der bør inkluderes i ændringsstyringsproceduren:
Endelig bemærkes det, at organisationer bør integrere ændringskontrolprocedurer for software og IKT-infrastruktur i størst muligt omfang.
Ændringer i produktionsmiljøer såsom operativsystemer og databaser kan kompromittere integriteten og tilgængeligheden af applikationer, især overførslen af software fra udvikling til produktionsmiljø.
En anden risiko, som organisationer bør være forsigtige med, er at ændre software i produktionsmiljøet kan have utilsigtede konsekvenser.
For at forhindre disse risici bør organisationer udføre test af IKT-komponenter i et miljø, der er isoleret fra udviklings- og produktionsmiljøerne.
Dette vil gøre det muligt for organisationer at have større kontrol over ny software og vil give et ekstra lag af beskyttelse til virkelige data, der bruges til testformål. Denne ekstra beskyttelse kan opnås via patches og service packs.
27002:2022/8.32 erstatter 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)
Samlet set var 2013-versionen mere præskriptiv sammenlignet med 2022-versionen med hensyn til kravene til ændringskontrolprocedurer.
Der er tre vigtige forskelle, der skal fremhæves mellem de to versioner.
Både versionen 27002:2022 og 27002:2013 angiver, hvad en 'ændringsprocedure' skal omfatte på en ikke-udtømmende måde.
Men 2013-versionen indeholdt følgende elementer, der ikke blev henvist til i 2022-versionen:
Kontrol 14.2.3 i version 27002:2013 handlede om, hvordan organisationer kan minimere de negative effekter på og forstyrrelser i forretningsdriften, når der foretages ændringer i operativsystemer.
27002:2022-versionen indeholder derimod ikke krav til sådanne ændringer.
Kontrol 14.2.4 i 27002:2013-versionen adresserede 'Ændringer til softwarepakker'. Tværtimod indeholder 27002:2022-versionen ikke krav til sådanne ændringer.
Vores cloud-baserede platform giver dig en robust ramme af informationssikkerhedskontroller, så du kan tjekke din ISMS-proces, mens du går, for at sikre, at den opfylder kravene til ISO 27000k.
Brugt korrekt, ISMS. online kan hjælpe dig med at opnå certificering med et minimum af tid og ressourcer.
Kontakt i dag for book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |