Intet computernetværk, system, software eller enhed er 100 % sikkert. Sårbarheder er en del af driften af et moderne LAN eller WAN, og det er vigtigt for organisationer at erkende, at de for det første eksisterer, og for det andet behovet for at minimere risikoen, hvor de har potentiale til at opstå.
Kontrol 8.8 indeholder en betydelig mængde råd, der hjælper organisationer med at forhindre intern og ekstern udnyttelse af sårbarheder på tværs af hele deres netværk. Kontrol 8.8 er afhængig af understøttende procedurer og retningslinjer fra adskillige andre ISO 27002:2022 kontroller, især dem, der vedrører ændringsstyring (se kontrol 8.32) og adgangskontrolprotokoller.
Kontrol 8.8 er en forebyggende kontrollere det fastholder risiko ved at implementere procedurer, der indsamler information om tekniske sårbarheder og giver organisationen mulighed for at træffe passende foranstaltninger for at beskytte aktiver, systemer, data og hardware.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere #Beskytte | #Trussel- og sårbarhedshåndtering | #Governance og økosystem #Beskyttelse #Forsvar |
Kontrol 8.8 omhandler teknisk og administrativ styring af software, systemer og ikt-aktiver. Nogle af retningslinjerne involverer implementering af en meget detaljeret tilgang til softwareadministration, asset management og netværkssikkerhedsrevision.
Som sådan bør ejerskabet af Kontrol 8.8 ligge hos den person, der har det overordnede ansvar for at vedligeholde organisationens IKT-infrastruktur, såsom IT-chefen eller tilsvarende organisatorisk.
Inden implementering og sårbarhedskontroller er det vigtigt at få en komplet og opdateret liste over fysiske og digitale aktiver (se kontrol 5.9 og 5.14), som ejes og drives af organisationen.
Oplysninger om softwareaktiver bør omfatte:
Når organisationer forsøger at lokalisere tekniske sårbarheder, bør de:
Ud over interne systemer bør organisationer udvikle politikker og procedurer, der opdager sårbarheder på tværs af alle deres produkter og tjenester, og modtage sårbarhedsvurderinger i forbindelse med leveringen af de nævnte produkter og tjenester.
ISO råder organisationer til at gøre en offentlig indsats for at spore eventuelle sårbarheder og tilskynde tredjeparter til at engagere sig i sårbarhedshåndteringsindsats ved brug af dusørprogrammer (hvor udnyttelser søges efter og rapporteres til organisationen for en belønning).
Organisationer bør gøre sig tilgængelige for offentligheden gennem fora, offentlige e-mail-adresser og forskningsaktiviteter, så den bredere offentligheds kollektive viden kan bruges til at beskytte produkter og tjenester ved kilden.
Hvor der er truffet afhjælpende foranstaltninger, der påvirker brugere eller kunder, bør organisationer overveje at frigive relevant information til de berørte personer eller organisationer og samarbejde med specialiserede sikkerhedsorganisationer for at formidle information om sårbarheder og angrebsvektorer.
Derudover bør organisationer overveje at tilbyde en automatisk opdateringsprocedure, som kunderne er i stand til at til- eller fravælge, baseret på deres forretningsbehov.
Tilstrækkelig rapportering er nøglen til at sikre hurtig og effektiv afhjælpning, når sårbarheder opdages.
Når de vurderer sårbarheder, bør organisationer:
Softwaresårbarheder bekæmpes bedst med en proaktiv tilgang til softwareopdateringer og patchhåndtering.
Inden eventuelle ændringer implementeres, bør organisationer sikre, at eksisterende softwareversioner bevares, at alle ændringer er fuldt testet og anvendt på en udpeget kopi af softwaren.
Når man direkte adresserer sårbarheder, efter at de er blevet identificeret, bør organisationer:
I tilfælde af, at en opdatering ikke er tilgængelig, eller problemer, der forhindrer en opdatering i at blive installeret (såsom omkostningsproblemer), bør organisationer overveje andre foranstaltninger, såsom:
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
ISO 27002:2022-8.8 erstatter to kontroller fra ISO 27002:2013:
27002:2022-8.8 repræsenterer en fundamentalt anderledes tilgang til sårbarhedshåndtering, end den er indeholdt i 27002:2013.
27002:2013-12.6.1 beskæftiger sig i vid udstrækning med implementering af afhjælpende foranstaltninger, når en sårbarhed er blevet identificeret, hvorimod 18.2.3 er begrænset til tekniske værktøjer (for det meste penetrationstest).
27002:2022-8.8 indeholder helt nye afsnit om emner som en organisations offentlige aktiviteter, hvordan sårbarheder identificeres i første omgang og den rolle, cloud-udbydere spiller for at sikre, at sårbarheder holdes på et minimum.
Samlet set lægger ISO større vægt på den rolle, som sårbarhedsstyring spiller i andre områder af 27002:2022 (især ændringsstyring), og går ind for en holistisk tilgang, der trækker i talrige andre kontroller og informationssikkerhedsprocedurer.
Vores platform er intuitiv og nem at bruge. Det er ikke kun for meget tekniske mennesker; det er for alle i din organisation. Vi opfordrer dig til at involvere medarbejdere på alle niveauer af din virksomhed i processen med at opbygge dit ISMS, fordi det hjælper dig med at opbygge et virkeligt bæredygtigt system.
Kontakt i dag for book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |