- Se ISO 27002:2022 Kontroll 8.29 för mer information.
- Se ISO 27001:2013 bilaga A 14.2.8 för mer information.
- Se ISO 27001:2013 bilaga A 14.2.9 för mer information.
Säkerställa säker utveckling: ISO 27001 bilaga A 8.29 Säkerhetstestning förklaras
Cyberbrottslingar utarbetar ständigt nya metoder och förbättrar sin taktik för att bryta mot företagsnätverk och få tillgång till konfidentiell data.
Cyberbrottslingar kan utnyttja ett fel kopplat till autentiseringsprocessen i källkoden för att bryta mot nätverk. Dessutom kan de försöka övertala slutanvändare på klientsidan att göra saker som gör att de kan få tillgång till data, infiltrera nätverk eller utföra ransomware-attacker.
Om en applikation, programvara eller IT-system distribueras med sårbarheter, skulle detta innebära risk för känslig information att äventyras.
Organisationer bör sätta upp och utföra en lämplig säkerhetstestprocess för att identifiera och åtgärda eventuella sårbarheter i IT-system innan de distribueras till den verkliga världen.
Syftet med ISO 27001:2022 bilaga A 8.29
ISO 27001: 2022 Bilaga A Kontroll 8.29 tillåter organisationer att säkerställa att alla säkerhetskrav uppfylls när nya applikationer, databaser, programvara eller kod implementeras. Detta görs genom att skapa och följa en noggrann säkerhetstestprocess.
Organisationer kan identifiera och ta bort potentiella svagheter i deras kod, nätverk, servrar, applikationer och andra IT-system innan de implementeras i den verkliga världen.
Äganderätt till bilaga A 8.29
Ocuco-landskapet Informationssäkerhetsansvarig bör säkerställa att ISO 27001:2022 bilaga A Kontroll 8.29 uppfylls, vilket kräver upprättande, underhåll och implementering av ett säkerhetstestförfarande som täcker alla nya informationssystem, oavsett om de skapas internt eller av tredje part.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om ISO 27001:2022 bilaga A 8.29 Överensstämmelse
Organisationer bör införliva säkerhetstester i testprocessen för alla system, vilket garanterar att alla nya informationssystem, såväl som deras nya/uppdaterade versioner, uppfyller kraven på informationssäkerhet när de är i produktionsmiljön.
ISO 27001:2022 bilaga A Kontroll 8.29 beskriver tre element som väsentliga komponenter i säkerhetstestning:
- Säkerställ säkerhet genom användarautentisering i enlighet med ISO 27001:2022 bilaga A 8.5, åtkomstbegränsning i enlighet med ISO 27001:2022 bilaga A 8.3 och kryptografi enligt ISO 27001:2022 bilaga A 8.24.
- Se till att koden är säkert skriven i enlighet med ISO 27001:2022 Annex A 8.28.
- Se till att konfigurationer uppfyller kraven i bilaga A 8.9, 8.20 och 8.22, vilket kan involvera brandväggar och operativsystem.
Vad bör en testplan innehålla?
När organisationer utarbetar planer för säkerhetstestning bör de ta hänsyn till hur brådskande och karaktären det involverade informationssystemet har.
Denna säkerhetstestplan bör innehålla följande element:
- Skapa en övergripande agenda för de åtaganden och de tester som ska genomföras.
- Förväntade utfall när vissa villkor är uppfyllda inkluderar både input och output.
- Kriterier för att bedöma resultaten måste fastställas.
- När resultaten har erhållits kan beslut fattas om vilka åtgärder som ska vidtas.
Intern utveckling
Det interna utvecklingsteamet bör genomföra den första säkerhetstestningen för att garantera att IT-systemet följer säkerhetsspecifikationerna.
En första omgång av testning bör genomföras, följt av oberoende acceptanstestning i enlighet med ISO 27001:2022 bilaga A 5.8.
När det gäller intern utveckling bör följande beaktas:
- Genomföra kodgranskning för att identifiera och åtgärda säkerhetsproblem, inklusive förväntade indata och situationer.
- Utföra sårbarhetssökningar för att identifiera osäkra inställningar och andra potentiella svagheter.
- Utföra penetrationstester för att identifiera svag kodning och design.
Outsourcing
Organisationer bör följa en rigorös förvärvsförfarande när de delegerar utveckling eller köpa IT-element från externa källor.
Organisationer bör ingå ett kontrakt med sina leverantörer som uppfyller de informationssäkerhetskriterier som anges i ISO 27001:2022 bilaga A 5.20.
Organisationer bör garantera att de varor och tjänster de förvärvar är i linje med säkerhetsstandarderna för informationssäkerhet.
Kompletterande vägledning om ISO 27001:2022 bilaga A 8.29
Organisationer kan skapa flera testmiljöer för att genomföra en rad tester, inklusive funktionella, icke-funktionella och prestanda. De kan skapa virtuella testmiljöer, konfigurera dem för att testa IT-system i olika operativa inställningar och förfina dem därefter.
Bilaga A 8.29 betonar behovet av effektiva säkerhetstester, vilket kräver att organisationer testar och övervakar testmiljöerna, verktygen och teknikerna.
Organisationer bör överväga nivån av känslighet och betydelse när de bestämmer hur många lager av meta-testning som ska användas.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 8.29 ersätter ISO 27001:2013 Bilaga A 14.2.8 och 14.2.9 i den senaste revideringen.
Strukturella förändringar
ISO 27001: 2022 konsoliderar säker testning till en kontroll, till skillnad från ISO 27001:2013, som hänvisade till säker testning i två olika kontroller; Systemsäkerhetstestning (bilaga A 14.2.8) och systemacceptanstestning (bilaga A 14.2.9).
ISO 27001:2022 bilaga A 8.29 ger mer omfattande krav
Till skillnad från ISO 27001:2013 innehåller ISO 27001:2022-revisionen mer omfattande krav och råd om:
- En säkerhetstestplan som bör innehålla en mängd olika element.
- Kriterier för att bedöma säkerheten vid utveckling av IT-system i egen regi.
- Vad ska ingå i säkerhetstestningsprocessen.
- Det är viktigt att använda flera testmiljöer. Det säkerställer noggrannhet och noggrannhet i processen.
ISO 27001:2013 var mer detaljerad i förhållande till acceptanstestning
I motsats till ISO 27001:2022 var ISO 27001:2013 mer detaljerad angående systemacceptanstestning. Det inkluderade säkerhetstester för inkommande komponenter och användning av automatiserade verktyg.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Hur ISMS.online Hjälp
ISMS.online förenklar implementeringsprocessen för ISO 27001:2022 genom ett sofistikerat molnbaserat ramverk, som tillhandahåller dokumentation av processer för informationssäkerhetshanteringssystem och checklistor för att säkerställa kompatibilitet med accepterade standarder.
Kontakta oss till arrangera en demonstration.