- Se ISO 27002:2022 Kontroll 8.26 för mer information.
- Se ISO 27001:2013 bilaga A 14.1.2 för mer information.
- Se ISO 27001:2013 bilaga A 14.1.3 för mer information.
Förstå ISO 27001:2022 Annex A 8.26 – Application Security Essentials
Tillämpningsprogram som webbappar, grafikprogram, databaser och betalningshantering är väsentliga för många affärsverksamheter.
Applikationer är ofta sårbara för säkerhetsproblem som kan leda till exponering av konfidentiell data.
Som ett exempel försummade den amerikanska kreditbyrån Equifax att tillämpa en säkerhetskorrigering på webbapplikationsramverket som de använde för att hantera kundklagomål. Denna försummelse gjorde det möjligt för cyberangripare att utnyttja webbapplikationens säkerhetsbrister, infiltrera Equifax företagsnätverk och stjäla känslig information från cirka 145 miljoner människor.
ISO 27001:2022 bilaga A 8.26 beskriver hur organisationer kan implementera och implementera informationssäkerhet krav på applikationer under utveckling, användning och anskaffning. Det säkerställer att säkerhetsåtgärder integreras i applikationernas livscykel.
Syftet med ISO 27001:2022 bilaga A 8.26
ISO 27001: 2022 Bilaga A 8.26 tillåter organisationer att försvara sina datatillgångar som lagras i eller bearbetas av applikationer genom att erkänna och tillämpa lämpliga informationssäkerhetsspecifikationer.
Äganderätt till bilaga A 8.26
Ocuco-landskapet Chef för informationssäkerhet, med stöd av informationssäkerhetsexperter, bör åta sig identifiering, godkännande och implementering av informationskrav som rör anskaffning, användning och utveckling av applikationer.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om ISO 27001:2022 bilaga A 8.26 Överensstämmelse
Organisationer bör genomföra en riskbedömning för att fastställa de nödvändiga informationssäkerhetskraven för en viss applikation.
Innehåll och typer av informationssäkerhetskrav kan variera beroende på applikationen, men dessa bör täcka:
- Baserat på ISO 27001:2022 bilaga A 5.17, 8.2 och 8.5, nivån av förtroende som tilldelas en specifik enhets identitet.
- Klassificering av de informationstillgångar som ska sparas eller hanteras av programvaran måste identifieras.
- Finns det ett behov av att separera åtkomst till funktioner och data som lagras i appen.
- Bedöm om applikationen är robust mot cyberpenetrationer som SQL-injektioner eller oavsiktliga avlyssningar som buffertspill.
- Juridiskt måste regulatoriska och lagstadgade krav och standarder uppfyllas när man hanterar transaktioner som bearbetas, genereras, sparas eller avslutas av appen.
- Sekretess är av yttersta vikt för alla inblandade.
- Det är viktigt att se till att konfidentiell information skyddas.
- Att säkerställa informationens säkerhet när den används, överförs eller lagras är av största vikt.
- Det är viktigt att alla berörda parter har säker kryptering av deras kommunikation om nödvändigt.
- Att implementera indatakontroller, som att validera indata och utföra integritetskontroller, garanterar noggrannhet.
- Utföra automatiserade kontroller.
- Se till att åtkomsträttigheter, såväl som vem som kan se utdata, beaktas för kontroll av utdata.
- Det är viktigt att införa gränser för vad som kan inkluderas i "fritext"-fält för att skydda mot oavsiktlig spridning av konfidentiell information.
- Regulatoriska krav, såsom de som styr loggning av transaktioner och icke-avvisande.
- Andra säkerhetskontroller kan kräva efterlevnad av specifika krav; till exempel system för att upptäcka dataläckage.
- Hur din organisation hanterar felmeddelanden.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Vägledning om transaktionstjänster
ISO 27001:2022 bilaga A 8.26 kräver att organisationer överväger följande sju rekommendationer när de tillhandahåller transaktionstjänster mellan sig själva och en partner:
- Graden av tro varje part behöver ha för den andras identitet är avgörande i varje transaktion.
- Tillförlitligheten hos data som skickas eller behandlas måste säkerställas och ett lämpligt system för att identifiera eventuella integritetsbrister, inklusive hash och digitala signaturer, måste identifieras.
- Företaget måste sätta upp ett system för att avgöra vem som är behörig att godkänna, signera och signera av viktiga transaktionsdokument.
- Säkerställa sekretessen och riktigheten av viktiga dokument, och verifiera överföringen och mottagandet av nämnda dokument.
- Att bevara konfidentialitet och korrekthet för transaktioner, detta kan vara beställningar och fakturor.
- Krav på hur transaktioner ska förbli konfidentiella under en viss tidsperiod.
- Avtalsförpliktelser och försäkringskrav måste uppfyllas.
Vägledning om elektronisk beställning och betalningsansökningar
Organisationer bör överväga följande när de införlivar betalnings- och elektroniska beställningsmöjligheter i applikationer:
- Säkerställande av konfidentialitet och integritet för orderinformation är viktigt.
- Upprätta en lämplig nivå av bekräftelse för att bekräfta betalningsinformationen som tillhandahålls av en kund.
- Undviker felplacering eller replikering av transaktionsdata.
- Se till att information om information hålls borta från ett allmänt tillgängligt område, t.ex. ett lagringsmedium som finns på organisationens intranät.
- Närhelst en organisation förlitar sig på en extern myndighet för att utfärda digitala signaturer måste den säkerställa att säkerheten är integrerad genom hela processen.
Vägledning om nätverk
När applikationer nås via nätverk kan de utsättas för avtalsmässiga meningsskiljaktigheter, bedrägligt beteende, missvisning, ej godkända ändringar av innehållet i kommunikationen eller sekretessen för känsliga uppgifter kan komma att kränkas.
ISO 27001:2022 Annex A 8.26 råder organisationer att genomföra grundliga riskbedömningar för att identifiera lämpliga kontroller, såsom kryptografi, för att skydda säkerheten för informationsöverföringar.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 8.26 ersätter ISO 27001:2013 bilaga A 14.1.2 och 14.1.3 i den reviderade 2022-standarden.
Det finns tre stora skillnader mellan de två versionerna.
Alla applikationer kontra applikationer som passerar genom offentliga nätverk
ISO 27001:2013 ger en lista över informationssäkerhetskrav som ska beaktas för applikationer som ska överföras via publika nätverk.
ISO 27001:2022 Annex A 8.26, däremot, tillhandahåller en lista över informationssäkerhetskrav som gäller för alla applikationer.
Ytterligare vägledning om elektronisk beställning och betalningsansökningar
ISO 27001:2022 Annex A 8.26 ger specifik vägledning om elektroniska beställnings- och betalningsansökningar, något som inte togs upp i 2013 års version.
Krav på transaktionstjänster
Medan 2022-utgåvan och 2013-utgåvan är nästan desamma när det gäller förutsättningarna för transaktionstjänster, introducerar 2022-utgåvan ett extra krav som inte beaktas i 2013 års upplaga:
- Organisationer bör ha i åtanke avtalsförpliktelser och försäkringsvillkor.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur ISMS.online Hjälp
ISMS.online är ett molnbaserat system som hjälper organisationer att visa överensstämmelse med ISO 27001:2022. Detta system kan användas för att övervaka kraven enligt ISO 27001, vilket säkerställer att din organisation förblir kompatibel med standarden.
Vår plattformen är användarvänlig och tillgänglig för alla. Det kräver ingen komplicerad teknisk kunskap; vem som helst i ditt företag kan använda det.
Kontakta oss nu för att schemalägga en demonstration.