ISO 27001:2022 Bilaga A Kontroll 8.26

Programsäkerhetskrav

Boka en demo

kulturell, blandning, av, unga, människor, som arbetar, i, ett, företag

Tillämpningsprogram som webbappar, grafikprogram, databaser och betalningshantering är väsentliga för många affärsverksamheter.

Applikationer är ofta sårbara för säkerhetsproblem som kan leda till exponering av konfidentiell data.

Som ett exempel försummade den amerikanska kreditbyrån Equifax att tillämpa en säkerhetskorrigering på webbapplikationsramverket som de använde för att hantera kundklagomål. Denna försummelse gjorde det möjligt för cyberangripare att utnyttja webbapplikationens säkerhetsbrister, infiltrera Equifax företagsnätverk och stjäla känslig information från cirka 145 miljoner människor.

ISO 27001:2022 bilaga A 8.26 beskriver hur organisationer kan implementera och implementera informationssäkerhet krav på applikationer under utveckling, användning och anskaffning. Det säkerställer att säkerhetsåtgärder integreras i applikationernas livscykel.

Syftet med ISO 27001:2022 bilaga A 8.26

ISO 27001: 2022 Bilaga A 8.26 tillåter organisationer att försvara sina datatillgångar som lagras i eller bearbetas av applikationer genom att erkänna och tillämpa lämpliga informationssäkerhetsspecifikationer.

Äganderätt till bilaga A 8.26

Smakämnen Chef för informationssäkerhet, med stöd av informationssäkerhetsexperter, bör åta sig identifiering, godkännande och implementering av informationskrav som rör anskaffning, användning och utveckling av applikationer.

Hoppa till ämne

Allmän vägledning om ISO 27001:2022 bilaga A 8.26 Överensstämmelse

Organisationer bör genomföra en riskbedömning för att fastställa de nödvändiga informationssäkerhetskraven för en viss applikation.

Innehåll och typer av informationssäkerhetskrav kan variera beroende på applikationen, men dessa bör täcka:

  • Baserat på ISO 27001:2022 bilaga A 5.17, 8.2 och 8.5, nivån av förtroende som tilldelas en specifik enhets identitet.

  • Klassificering av de informationstillgångar som ska sparas eller hanteras av programvaran måste identifieras.

  • Finns det ett behov av att separera åtkomst till funktioner och data som lagras i appen.

  • Bedöm om applikationen är robust mot cyberpenetrationer som SQL-injektioner eller oavsiktliga avlyssningar som buffertspill.

  • Juridiskt måste regulatoriska och lagstadgade krav och standarder uppfyllas när man hanterar transaktioner som bearbetas, genereras, sparas eller avslutas av appen.

  • Sekretess är av yttersta vikt för alla inblandade.

  • Det är viktigt att se till att konfidentiell information skyddas.

  • Att säkerställa informationens säkerhet när den används, överförs eller lagras är av största vikt.

  • Det är viktigt att alla berörda parter har säker kryptering av deras kommunikation om nödvändigt.

  • Att implementera indatakontroller, som att validera indata och utföra integritetskontroller, garanterar noggrannhet.

  • Utföra automatiserade kontroller.

  • Se till att åtkomsträttigheter, såväl som vem som kan se utdata, beaktas för kontroll av utdata.

  • Det är viktigt att införa gränser för vad som kan inkluderas i "fritext"-fält för att skydda mot oavsiktlig spridning av konfidentiell information.

  • Regulatoriska krav, såsom de som styr loggning av transaktioner och icke-avvisande.

  • Andra säkerhetskontroller kan kräva efterlevnad av specifika krav; till exempel system för att upptäcka dataläckage.

  • Hur din organisation hanterar felmeddelanden.

Vägledning om transaktionstjänster

ISO 27001:2022 bilaga A 8.26 kräver att organisationer överväger följande sju rekommendationer när de tillhandahåller transaktionstjänster mellan sig själva och en partner:

  • Graden av tro varje part behöver ha för den andras identitet är avgörande i varje transaktion.

  • Tillförlitligheten hos data som skickas eller behandlas måste säkerställas och ett lämpligt system för att identifiera eventuella integritetsbrister, inklusive hash och digitala signaturer, måste identifieras.

  • Företaget måste sätta upp ett system för att avgöra vem som är behörig att godkänna, signera och signera av viktiga transaktionsdokument.

  • Säkerställa sekretessen och riktigheten av viktiga dokument, och verifiera överföringen och mottagandet av nämnda dokument.

  • Att bevara konfidentialitet och korrekthet för transaktioner, detta kan vara beställningar och fakturor.

  • Krav på hur transaktioner ska förbli konfidentiella under en viss tidsperiod.

  • Avtalsförpliktelser och försäkringskrav måste uppfyllas.

Vägledning om elektronisk beställning och betalningsansökningar

Organisationer bör överväga följande när de införlivar betalnings- och elektroniska beställningsmöjligheter i applikationer:

  • Säkerställande av konfidentialitet och integritet för orderinformation är viktigt.

  • Upprätta en lämplig nivå av bekräftelse för att bekräfta betalningsinformationen som tillhandahålls av en kund.

  • Undviker felplacering eller replikering av transaktionsdata.

  • Se till att information om information hålls borta från ett allmänt tillgängligt område, t.ex. ett lagringsmedium som finns på organisationens intranät.

  • Närhelst en organisation förlitar sig på en extern myndighet för att utfärda digitala signaturer måste den säkerställa att säkerheten är integrerad genom hela processen.

Vägledning om nätverk

När applikationer nås via nätverk kan de utsättas för avtalsmässiga meningsskiljaktigheter, bedrägligt beteende, missvisning, ej godkända ändringar av innehållet i kommunikationen eller sekretessen för känsliga uppgifter kan komma att kränkas.

ISO 27001:2022 Annex A 8.26 råder organisationer att genomföra grundliga riskbedömningar för att identifiera lämpliga kontroller, såsom kryptografi, för att skydda säkerheten för informationsöverföringar.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.26 ersätter ISO 27001:2013 bilaga A 14.1.2 och 14.1.3 i den reviderade 2022-standarden.

Det finns tre stora skillnader mellan de två versionerna.

Alla applikationer kontra applikationer som passerar genom offentliga nätverk

ISO 27001:2013 ger en lista över informationssäkerhetskrav som ska beaktas för applikationer som ska överföras via publika nätverk.

ISO 27001:2022 Annex A 8.26, däremot, tillhandahåller en lista över informationssäkerhetskrav som gäller för alla applikationer.

Ytterligare vägledning om elektronisk beställning och betalningsansökningar

ISO 27001:2022 Annex A 8.26 ger specifik vägledning om elektroniska beställnings- och betalningsansökningar, något som inte togs upp i 2013 års version.

Krav på transaktionstjänster

Medan 2022-utgåvan och 2013-utgåvan är nästan desamma när det gäller förutsättningarna för transaktionstjänster, introducerar 2022-utgåvan ett extra krav som inte beaktas i 2013 års upplaga:

  • Organisationer bör ha i åtanke avtalsförpliktelser och försäkringsvillkor.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.online är ett molnbaserat system som hjälper organisationer att visa överensstämmelse med ISO 27001:2022. Detta system kan användas för att övervaka kraven enligt ISO 27001, vilket säkerställer att din organisation förblir kompatibel med standarden.

Vår plattformen är användarvänlig och tillgänglig för alla. Det kräver ingen komplicerad teknisk kunskap; vem som helst i ditt företag kan använda det.

Kontakta oss nu för att schemalägga en demonstration.

Upptäck vår plattform

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Säg hej till ISO 27001 framgång

Få 81 % av arbetet gjort åt dig och bli certifierad snabbare med ISMS.online

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer