ISO 27002, Kontrol 8.32, Forandringsledelse

Sikring af sikre og kontrollerede ændringer med ISO 27002:2022 kontrol 8.32

Ændringer af informationssystemer såsom udskiftning af en netværksenhed, oprettelse af en ny databaseinstans eller opgradering af software er ofte nødvendige for at forbedre ydeevnen, reducere omkostningerne og øge effektiviteten.

Disse ændringer af informationsbehandlingsfaciliteter og -systemer kan dog, hvis de ikke implementeres korrekt, føre til kompromittering af informationsaktiver, der er lagret i eller behandlet af disse faciliteter.

Kontrol 8.32 omhandler, hvordan organisationer kan etablere og anvende ændringsstyringsprocedurer til at overvåge, gennemgå og kontrollere ændringer foretaget i informationsbehandlingsfaciliteterne og -systemerne.

Formål med kontrol 8.32

Kontrol 8.32 gør det muligt for organisationer at opretholde sikkerheden for informationsaktiver, når de udfører ændringer på informationsbehandlingsfaciliteterne og -systemerne ved at etablere, implementere og administrere ændringsstyringsregler og -procedurer.

Attributter Kontroltabel 8.32

Kontrol 8.32 er af forebyggende karakter. Det kræver, at organisationer definerer, dokumenterer, specificerer og håndhæver ændringskontrolprocesser, der styrer hele livscyklussen af informationssystemer, fra det indledende design til implementeringen og brugen.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Beskytte	#Applikationssikkerhed	#Beskyttelse
	#Integritet		#System- og netværkssikkerhed
	#Tilgængelighed

ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang

Ejerskab af kontrol 8.32

I betragtning af, at overholdelse af kontrol 8.32 indebærer etablering og håndhævelse af ændringskontrolprocedurer, der gælder for alle stadier i informationssystemers livscyklus, bør chefer for informationssikkerhed med støtte fra domæneeksperter være ansvarlige for at designe og håndhæve disse procedurer.

Generel vejledning om overholdelse

Alle større ændringer af informationssystemer og indførelse af nye systemer bør være underlagt et aftalt sæt regler og procedurer. Disse ændringer bør formelt specificeres og dokumenteres. Desuden skal de gennemgå test- og kvalitetskontrolprocesserne.

For at sikre, at alle ændringer er i overensstemmelse med ændringskontrolreglerne og -standarderne, bør organisationer tildele ledelsesansvar til passende ledelse og bør fastlægge de nødvendige procedurer.

Kontrol 8.32 lister ni elementer, der bør inkluderes i ændringsstyringsproceduren:

Organisationer bør planlægge og måle den sandsynlige effekt af planlagte ændringer under hensyntagen til alle afhængigheder.
Implementering af autorisationskontroller for ændringer.
Informere relevante interne og eksterne parter om de planlagte ændringer.
Etablering og implementering af test- og accepttestprocesser for ændringer i overensstemmelse med Kontrol 8.29.
Hvordan ændringerne implementeres, herunder hvordan de implementeres i praksis.
Etablering af nød- og beredskabsplaner og -procedurer. Dette kan også omfatte fastlæggelse af en tilbagefaldsprocedure.
At føre optegnelser over alle ændringer og relaterede aktiviteter, herunder alle aktiviteter anført ovenfor (1 til 6).
Driftsdokumentation som påkrævet i Kontrol 5.37 og brugerprocedurer gennemgås og opdateres for at afspejle ændringerne.
IKT-kontinuitetsplaner og genopretnings- og reaktionsprocedurer bør gennemgås og revideres for at afspejle ændringerne.

Endelig bemærkes det, at organisationer bør integrere ændringskontrolprocedurer for software og IKT-infrastruktur i størst muligt omfang.

Supplerende vejledning om kontrol 8.32

Ændringer i produktionsmiljøer såsom operativsystemer og databaser kan kompromittere integriteten og tilgængeligheden af applikationer, især overførslen af software fra udvikling til produktionsmiljø.

En anden risiko, som organisationer bør være forsigtige med, er at ændre software i produktionsmiljøet kan have utilsigtede konsekvenser.

For at forhindre disse risici bør organisationer udføre test af IKT-komponenter i et miljø, der er isoleret fra udviklings- og produktionsmiljøerne.

Dette vil gøre det muligt for organisationer at have større kontrol over ny software og vil give et ekstra lag af beskyttelse til virkelige data, der bruges til testformål. Denne ekstra beskyttelse kan opnås via patches og service packs.

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo

Ændringer og forskelle fra ISO 27002:2013

27002:2022/8.32 erstatter 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)

Samlet set var 2013-versionen mere præskriptiv sammenlignet med 2022-versionen med hensyn til kravene til ændringskontrolprocedurer.

Der er tre vigtige forskelle, der skal fremhæves mellem de to versioner.

ISO 27002:2013-versionen var mere detaljeret med hensyn til, hvad 'ændringsprocedure' skulle indebære

Både versionen 27002:2022 og 27002:2013 angiver, hvad en 'ændringsprocedure' skal omfatte på en ikke-udtømmende måde.

Men 2013-versionen indeholdt følgende elementer, der ikke blev henvist til i 2022-versionen:

Sikkerhedskritisk kode bør identificeres og gennemgås for at afhjælpe sårbarheder.
Organisationer bør bevare versionskontrol for alle opdateringer implementeret på software.
Organisationer bør identificere og dokumentere en liste over alle hardware- og softwarekomponenter, der skal ændres og opdateres.

2013-version rettet 'Ændringer til driftsplatforme'

Kontrol 14.2.3 i version 27002:2013 handlede om, hvordan organisationer kan minimere de negative effekter på og forstyrrelser i forretningsdriften, når der foretages ændringer i operativsystemer.

27002:2022-versionen indeholder derimod ikke krav til sådanne ændringer.

2013-version rettet 'Ændringer til softwarepakker'

Kontrol 14.2.4 i 27002:2013-versionen adresserede 'Ændringer til softwarepakker'. Tværtimod indeholder 27002:2022-versionen ikke krav til sådanne ændringer.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.7	NY	Trusselsintelligens
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.30	NY	IKT-parathed til forretningskontinuitet
7.4	NY	Fysisk sikkerhedsovervågning
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.16	NY	Overvågning af aktiviteter
8.23	NY	Webfiltrering
8.28	NY	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	NY	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	5.30	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	NY	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	NY	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	NY	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	NY	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

Vores cloud-baserede platform giver dig en robust ramme af informationssikkerhedskontroller, så du kan tjekke din ISMS-proces, mens du går, for at sikre, at den opfylder kravene til ISO 27000k.

Brugt korrekt, ISMS. online kan hjælpe dig med at opnå certificering med et minimum af tid og ressourcer.

Kontakt i dag for book en demo.

Vi er førende inden for vores felt