ISO 27001:2022 bilaga A 8.29 – Säkerhetstestning i utveckling och acceptans

ISO 27001:2022 bilaga A Kontroll 8.29 kräver säkerhetstestning genom utvecklings- och acceptansfaser för att identifiera sårbarheter före implementering. Det säkerställer efterlevnad av säkerhetskrav genom strukturerade testplaner, interna utvärderingar och leverantörsöversyn.

Boka en demo
Författare
Max Edwards
Uppdaterad 31 januari 2025
LinkedIn Twitter Twitter

Säkerställa säker utveckling: ISO 27001 bilaga A 8.29 Säkerhetstestning förklaras

Cyberbrottslingar utarbetar ständigt nya metoder och förbättrar sin taktik för att bryta mot företagsnätverk och få tillgång till konfidentiell data.

Cyberbrottslingar kan utnyttja ett fel kopplat till autentiseringsprocessen i källkoden för att bryta mot nätverk. Dessutom kan de försöka övertala slutanvändare på klientsidan att göra saker som gör att de kan få tillgång till data, infiltrera nätverk eller utföra ransomware-attacker.

Om en applikation, programvara eller IT-system distribueras med sårbarheter, skulle detta innebära risk för känslig information att äventyras.

Organisationer bör sätta upp och utföra en lämplig säkerhetstestprocess för att identifiera och åtgärda eventuella sårbarheter i IT-system innan de distribueras till den verkliga världen.

Syftet med ISO 27001:2022 bilaga A 8.29

ISO 27001: 2022 Bilaga A Kontroll 8.29 tillåter organisationer att säkerställa att alla säkerhetskrav uppfylls när nya applikationer, databaser, programvara eller kod implementeras. Detta görs genom att skapa och följa en noggrann säkerhetstestprocess.

Organisationer kan identifiera och ta bort potentiella svagheter i deras kod, nätverk, servrar, applikationer och andra IT-system innan de implementeras i den verkliga världen.

Äganderätt till bilaga A 8.29

Smakämnen Informationssäkerhetsansvarig bör säkerställa att ISO 27001:2022 bilaga A Kontroll 8.29 uppfylls, vilket kräver upprättande, underhåll och implementering av ett säkerhetstestförfarande som täcker alla nya informationssystem, oavsett om de skapas internt eller av tredje part.



Få ett försprång på 81 %

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo


Allmän vägledning om ISO 27001:2022 bilaga A 8.29 Överensstämmelse

Organisationer bör införliva säkerhetstester i testprocessen för alla system, vilket garanterar att alla nya informationssystem, såväl som deras nya/uppdaterade versioner, uppfyller kraven på informationssäkerhet när de är i produktionsmiljön.

ISO 27001:2022 bilaga A Kontroll 8.29 beskriver tre element som väsentliga komponenter i säkerhetstestning:

  1. Säkerställ säkerhet genom användarautentisering i enlighet med ISO 27001:2022 bilaga A 8.5, åtkomstbegränsning i enlighet med ISO 27001:2022 bilaga A 8.3 och kryptografi enligt ISO 27001:2022 bilaga A 8.24.
  2. Se till att koden är säkert skriven i enlighet med ISO 27001:2022 Annex A 8.28.
  3. Se till att konfigurationer uppfyller kraven i bilaga A 8.9, 8.20 och 8.22, vilket kan involvera brandväggar och operativsystem.

Vad bör en testplan innehålla?

När organisationer utarbetar planer för säkerhetstestning bör de ta hänsyn till hur brådskande och karaktären det involverade informationssystemet har.

Denna säkerhetstestplan bör innehålla följande element:

  • Skapa en övergripande agenda för de åtaganden och de tester som ska genomföras.
  • Förväntade utfall när vissa villkor är uppfyllda inkluderar både input och output.
  • Kriterier för att bedöma resultaten måste fastställas.
  • När resultaten har erhållits kan beslut fattas om vilka åtgärder som ska vidtas.

Intern utveckling

Det interna utvecklingsteamet bör genomföra den första säkerhetstestningen för att garantera att IT-systemet följer säkerhetsspecifikationerna.

En första omgång av testning bör genomföras, följt av oberoende acceptanstestning i enlighet med ISO 27001:2022 bilaga A 5.8.

När det gäller intern utveckling bör följande beaktas:

  • Genomföra kodgranskning för att identifiera och åtgärda säkerhetsproblem, inklusive förväntade indata och situationer.
  • Utföra sårbarhetssökningar för att identifiera osäkra inställningar och andra potentiella svagheter.
  • Utföra penetrationstester för att identifiera svag kodning och design.

Outsourcing

Organisationer bör följa en rigorös förvärvsförfarande när de delegerar utveckling eller köpa IT-element från externa källor.

Organisationer bör ingå ett kontrakt med sina leverantörer som uppfyller de informationssäkerhetskriterier som anges i ISO 27001:2022 bilaga A 5.20.

Organisationer bör garantera att de varor och tjänster de förvärvar är i linje med säkerhetsstandarderna för informationssäkerhet.

Kompletterande vägledning om ISO 27001:2022 bilaga A 8.29

Organisationer kan skapa flera testmiljöer för att genomföra en rad tester, inklusive funktionella, icke-funktionella och prestanda. De kan skapa virtuella testmiljöer, konfigurera dem för att testa IT-system i olika operativa inställningar och förfina dem därefter.

Bilaga A 8.29 betonar behovet av effektiva säkerhetstester, vilket kräver att organisationer testar och övervakar testmiljöerna, verktygen och teknikerna.

Organisationer bör överväga nivån av känslighet och betydelse när de bestämmer hur många lager av meta-testning som ska användas.



Efterlevnad behöver inte vara komplicerat.

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo


Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.29 ersätter ISO 27001:2013 Bilaga A 14.2.8 och 14.2.9 i den senaste revideringen.

Strukturella förändringar

ISO 27001: 2022 konsoliderar säker testning till en kontroll, till skillnad från ISO 27001:2013, som hänvisade till säker testning i två olika kontroller; Systemsäkerhetstestning (bilaga A 14.2.8) och systemacceptanstestning (bilaga A 14.2.9).

ISO 27001:2022 bilaga A 8.29 ger mer omfattande krav

Till skillnad från ISO 27001:2013 innehåller ISO 27001:2022-revisionen mer omfattande krav och råd om:

  • En säkerhetstestplan som bör innehålla en mängd olika element.
  • Kriterier för att bedöma säkerheten vid utveckling av IT-system i egen regi.
  • Vad ska ingå i säkerhetstestningsprocessen.
  • Det är viktigt att använda flera testmiljöer. Det säkerställer noggrannhet och noggrannhet i processen.

ISO 27001:2013 var mer detaljerad i förhållande till acceptanstestning

I motsats till ISO 27001:2022 var ISO 27001:2013 mer detaljerad angående systemacceptanstestning. Det inkluderade säkerhetstester för inkommande komponenter och användning av automatiserade verktyg.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYAHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYAInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYAIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYAFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYASystemintegration
Tekniska kontrollerBilaga A 8.10NYAInformationsradering
Tekniska kontrollerBilaga A 8.11NYADatamaskning
Tekniska kontrollerBilaga A 8.12NYAFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYAÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYAWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYASäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.online förenklar implementeringsprocessen för ISO 27001:2022 genom ett sofistikerat molnbaserat ramverk, som tillhandahåller dokumentation av processer för informationssäkerhetshanteringssystem och checklistor för att säkerställa kompatibilitet med accepterade standarder.

Kontakta oss till arrangera en demonstration.

Hoppa till ämnet

Max Edwards

Max arbetar som en del av ISMS.online-marknadsföringsteamet och ser till att vår webbplats uppdateras med användbart innehåll och information om allt som rör ISO 27001, 27002 och efterlevnad.

ISMS-plattformstur

Intresserad av en ISMS.online-plattformsturné?

Starta din gratis 2-minuters interaktiva demo nu och upplev magin med ISMS.online i aktion!

Prova det gratis

Vi är ledande inom vårt område

Användare älskar oss
Grid Leader – våren 2025
Momentum Leader – våren 2025
Regional ledare - våren 2025 Storbritannien
Regional ledare - EU våren 2025
Bästa Est. ROI Enterprise – våren 2025
Kommer troligtvis att rekommendera företag – våren 2025

"ISMS.Online, enastående verktyg för regelefterlevnad"

-Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

-Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

- Ben H.

SOC 2 är här! Stärk din säkerhet och bygg kundernas förtroende med vår kraftfulla efterlevnadslösning idag!