ISO 27002:2022, Kontrol 8.32 – Forandringsledelse

ISO 27002:2022 Reviderede kontroller

Book en demo

tæt på,af,teenager,med,mørk,hud,hænder,på,tastatur,indtastning

Ændringer af informationssystemer såsom udskiftning af en netværksenhed, oprettelse af en ny databaseinstans eller opgradering af software er ofte nødvendige for at forbedre ydeevnen, reducere omkostningerne og øge effektiviteten.

Disse ændringer af informationsbehandlingsfaciliteter og -systemer kan dog, hvis de ikke implementeres korrekt, føre til kompromittering af informationsaktiver, der er lagret i eller behandlet af disse faciliteter.

Kontrol 8.32 omhandler, hvordan organisationer kan etablere og anvende ændringsstyringsprocedurer til at overvåge, gennemgå og kontrollere ændringer foretaget i informationsbehandlingsfaciliteterne og -systemerne.

Formål med kontrol 8.32

Kontrol 8.32 gør det muligt for organisationer at opretholde sikkerheden for informationsaktiver, når de udfører ændringer på informationsbehandlingsfaciliteterne og -systemerne ved at etablere, implementere og administrere ændringsstyringsregler og -procedurer.

Attributter tabel

Kontrol 8.32 er af forebyggende karakter. Det kræver, at organisationer definerer, dokumenterer, specificerer og håndhæver ændringskontrolprocesser, der styrer hele livscyklussen af ​​informationssystemer, fra det indledende design til implementeringen og brugen.

Kontrol type InformationssikkerhedsegenskaberCybersikkerhedskoncepterOperationelle evnerSikkerhedsdomæner
#Forebyggende #Fortrolighed
#Integritet
#Tilgængelighed		#Beskytte#Applikationssikkerhed
#System- og netværkssikkerhed		#Beskyttelse
Gå til emne
Få et forspring på ISO 27001
  • Alt sammen opdateret med 2022 kontrolsættet
  • Foretag 81 % fremskridt fra det øjeblik, du logger ind
  • Enkel og nem at bruge
Book din demo
img

Ejerskab af kontrol 8.32

I betragtning af, at overholdelse af kontrol 8.32 indebærer etablering og håndhævelse af ændringskontrolprocedurer, der gælder for alle stadier i informationssystemers livscyklus, bør chefer for informationssikkerhed med støtte fra domæneeksperter være ansvarlige for at designe og håndhæve disse procedurer.

Generel vejledning om overholdelse

Alle større ændringer af informationssystemer og indførelse af nye systemer bør være underlagt et aftalt sæt regler og procedurer. Disse ændringer bør formelt specificeres og dokumenteres. Desuden skal de gennemgå test- og kvalitetskontrolprocesserne.

For at sikre, at alle ændringer er i overensstemmelse med ændringskontrolreglerne og -standarderne, bør organisationer tildele ledelsesansvar til passende ledelse og bør fastlægge de nødvendige procedurer.

Kontrol 8.32 lister ni elementer, der bør inkluderes i ændringsstyringsproceduren:

  1. Organisationer bør planlægge og måle den sandsynlige effekt af planlagte ændringer under hensyntagen til alle afhængigheder.

  2. Implementering af autorisationskontroller for ændringer.

  3. Informere relevante interne og eksterne parter om de planlagte ændringer.

  4. Etablering og implementering af test- og accepttestprocesser for ændringer i overensstemmelse med Kontrol 8.29.

  5. Hvordan ændringerne implementeres, herunder hvordan de implementeres i praksis.

  6. Etablering af nød- og beredskabsplaner og -procedurer. Dette kan også omfatte fastlæggelse af en tilbagefaldsprocedure.

  7. At føre optegnelser over alle ændringer og relaterede aktiviteter, herunder alle aktiviteter anført ovenfor (1 til 6).

  8. Driftsdokumentation som påkrævet i Kontrol 5.37 og brugerprocedurer gennemgås og opdateres for at afspejle ændringerne.

  9. IKT-kontinuitetsplaner og genopretnings- og reaktionsprocedurer bør gennemgås og revideres for at afspejle ændringerne.

Endelig bemærkes det, at organisationer bør integrere ændringskontrolprocedurer for software og IKT-infrastruktur i størst muligt omfang.

Supplerende vejledning om kontrol 8.32

Ændringer i produktionsmiljøer såsom operativsystemer og databaser kan kompromittere integriteten og tilgængeligheden af ​​applikationer, især overførslen af ​​software fra udvikling til produktionsmiljø.

En anden risiko, som organisationer bør være forsigtige med, er at ændre software i produktionsmiljøet kan have utilsigtede konsekvenser.

For at forhindre disse risici bør organisationer udføre test af IKT-komponenter i et miljø, der er isoleret fra udviklings- og produktionsmiljøerne.

Dette vil gøre det muligt for organisationer at have større kontrol over ny software og vil give et ekstra lag af beskyttelse til virkelige data, der bruges til testformål. Denne ekstra beskyttelse kan opnås via patches og service packs.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Ændringer og forskelle fra ISO 27002:2013

27002:2022/8.32 erstatter 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)

Samlet set var 2013-versionen mere præskriptiv sammenlignet med 2022-versionen med hensyn til kravene til ændringskontrolprocedurer.

Der er tre vigtige forskelle, der skal fremhæves mellem de to versioner.

ISO 27002:2013-versionen var mere detaljeret med hensyn til, hvad 'ændringsprocedure' skulle indebære

Både versionen 27002:2022 og 27002:2013 angiver, hvad en 'ændringsprocedure' skal omfatte på en ikke-udtømmende måde.

Men 2013-versionen indeholdt følgende elementer, der ikke blev henvist til i 2022-versionen:

  • Sikkerhedskritisk kode bør identificeres og gennemgås for at afhjælpe sårbarheder.

  • Organisationer bør bevare versionskontrol for alle opdateringer implementeret på software.

  • Organisationer bør identificere og dokumentere en liste over alle hardware- og softwarekomponenter, der skal ændres og opdateres.

2013-version rettet 'Ændringer til driftsplatforme'

Kontrol 14.2.3 i version 27002:2013 handlede om, hvordan organisationer kan minimere de negative effekter på og forstyrrelser i forretningsdriften, når der foretages ændringer i operativsystemer.

27002:2022-versionen indeholder derimod ikke krav til sådanne ændringer.

2013-version rettet 'Ændringer til softwarepakker'

Kontrol 14.2.4 i 27002:2013-versionen adresserede 'Ændringer til softwarepakker'. Tværtimod indeholder 27002:2022-versionen ikke krav til sådanne ændringer.

Hvordan ISMS.online hjælper

Vores cloud-baserede platform giver dig en robust ramme af informationssikkerhedskontroller, så du kan tjekke din ISMS-proces, mens du går, for at sikre, at den opfylder kravene til ISO 27000k.

Brugt korrekt, ISMS. online kan hjælpe dig med at opnå certificering med et minimum af tid og ressourcer.

Kontakt i dag for book en demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.7NyTrusselsintelligens
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.30NyIKT-parathed til forretningskontinuitet
7.4NyFysisk sikkerhedsovervågning
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.16NyOvervågning af aktiviteter
8.23NyWebfiltrering
8.28NySikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
5.105.1.1, 05.1.2Politikker for informationssikkerhed
5.206.1.1Informationssikkerhedsroller og -ansvar
5.306.1.2Opdeling af pligter
5.407.2.1Ledelsesansvar
5.506.1.3Kontakt med myndigheder
5.606.1.4Kontakt til særlige interessegrupper
5.7NyTrusselsintelligens
5.806.1.5, 14.1.1Informationssikkerhed i projektledelse
5.908.1.1, 08.1.2Opgørelse af information og andre tilhørende aktiver
5.1008.1.3, 08.2.3Acceptabel brug af information og andre tilknyttede aktiver
5.1108.1.4Tilbagelevering af aktiver
5.12 08.2.1Klassificering af oplysninger
5.1308.2.2Mærkning af information
5.1413.2.1, 13.2.2, 13.2.3Informationsoverførsel
5.1509.1.1, 09.1.2Adgangskontrol
5.1609.2.1Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3Godkendelsesoplysninger
5.1809.2.2, 09.2.5, 09.2.6Adgangsrettigheder
5.1915.1.1Informationssikkerhed i leverandørforhold
5.2015.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
5.2115.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
5.2215.2.1, 15.2.2Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23NyInformationssikkerhed til brug af cloud-tjenester
5.2416.1.1Planlægning og forberedelse af informationssikkerhedshændelser
5.2516.1.4Vurdering og beslutning om informationssikkerhedshændelser
5.2616.1.5Reaktion på informationssikkerhedshændelser
5.2716.1.6Lær af informationssikkerhedshændelser
5.2816.1.7Indsamling af beviser
5.2917.1.1, 17.1.2, 17.1.3Informationssikkerhed under afbrydelse
5.30NyIKT-parathed til forretningskontinuitet
5.3118.1.1, 18.1.5Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.3218.1.2Intellektuelle ejendomsrettigheder
5.3318.1.3Beskyttelse af optegnelser
5.3418.1.4Privatliv og beskyttelse af PII
5.3518.2.1Uafhængig gennemgang af informationssikkerhed
5.3618.2.2, 18.2.3Overholdelse af politikker, regler og standarder for informationssikkerhed
5.3712.1.1Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansættelse
6.307.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
6.407.2.3Disciplinær proces
6.507.3.1Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.613.2.4Aftaler om fortrolighed eller tavshedspligt
6.706.2.2Fjernbetjening
6.816.1.2, 16.1.3Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
7.111.1.1Fysiske sikkerhedsomkredse
7.211.1.2, 11.1.6Fysisk adgang
7.311.1.3Sikring af kontorer, lokaler og faciliteter
7.4NyFysisk sikkerhedsovervågning
7.511.1.4Beskyttelse mod fysiske og miljømæssige trusler
7.611.1.5Arbejde i sikre områder
7.711.2.9Overskueligt skrivebord og klar skærm
7.811.2.1Udstyrsplacering og beskyttelse
7.911.2.6Sikkerhed af aktiver uden for lokalerne
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagermedier
7.1111.2.2Understøttende hjælpeprogrammer
7.1211.2.3Kabler sikkerhed
7.1311.2.4Vedligeholdelse af udstyr
7.1411.2.7Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikatorISO/IEC 27002:2013 KontrolidentifikatorKontrolnavn
8.106.2.1, 11.2.8Bruger slutpunktsenheder
8.209.2.3Privilegerede adgangsrettigheder
8.309.4.1Begrænsning af informationsadgang
8.409.4.5Adgang til kildekode
8.509.4.2Sikker autentificering
8.612.1.3Kapacitetsstyring
8.712.2.1Beskyttelse mod malware
8.812.6.1, 18.2.3Håndtering af tekniske sårbarheder
8.9NyKonfigurationsstyring
8.10NySletning af oplysninger
8.11NyDatamaskering
8.12NyForebyggelse af datalækage
8.1312.3.1Sikkerhedskopiering af information
8.1417.2.1Redundans af informationsbehandlingsfaciliteter
8.1512.4.1, 12.4.2, 12.4.3Logning
8.16NyOvervågning af aktiviteter
8.1712.4.4Ur synkronisering
8.1809.4.4Brug af privilegerede hjælpeprogrammer
8.1912.5.1, 12.6.2Installation af software på operativsystemer
8.2013.1.1Netværkssikkerhed
8.2113.1.2Sikkerhed af netværkstjenester
8.2213.1.3Adskillelse af netværk
8.23NyWebfiltrering
8.2410.1.1, 10.1.2Brug af kryptografi
8.2514.2.1Sikker udviklingslivscyklus
8.2614.1.2, 14.1.3Krav til applikationssikkerhed
8.2714.2.5Sikker systemarkitektur og tekniske principper
8.28NySikker kodning
8.2914.2.8, 14.2.9Sikkerhedstest i udvikling og accept
8.3014.2.7Udliciteret udvikling
8.3112.1.4, 14.2.6Adskillelse af udviklings-, test- og produktionsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Forandringsledelse
8.3314.3.1Testinformation
8.3412.7.1Beskyttelse af informationssystemer under revisionstest
Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere