ISO 27001:2022 Bilaga A Kontroll 8.31

Separation av utvecklings-, test- och produktionsmiljöer

Boka en demo

team,på,arbetet.,grupp,unga,företag,människor,in,smarta

Att misslyckas med att separera utvecklings-, test- och produktionsmiljöer korrekt kan leda till förlust av tillgänglighet, konfidentialitet och integritet för informationstillgångar.

Till exempel satte Uber av misstag upp ett kodlager på Github som inkluderade lösenord från deras produktionsmiljö, vilket äventyrade konfidentialiteten för känslig data.

Organisationer bör upprätta lämpliga protokoll och regler för att separera utvecklings-, testnings- och produktionsinställningar för att utrota säkerhetsrisker.

Syftet med ISO 27001:2022 bilaga A 8.31

ISO 27001: 2022 Bilaga A 8.31 underlättar organisationer att bevara konfidentialitet, integritet och tillgänglighet för känsliga informationstillgångar via lämpliga processer, kontroller och bestämmelser. Den gör detta genom att isolera utvecklings-, test- och produktionsmiljöer.

Äganderätt till bilaga A 8.31

Smakämnen Chef för informationssäkerhet, med hjälp av utvecklingsteamet, ska vara ytterst ansvarig för att följa ISO 27001:2022 Annex A 8.31, som kräver etablering och implementering av organisationsövergripande processer och kontroller för att separera olika mjukvarumiljöer.

Hoppa till ämne

Allmän vägledning om ISO 27001:2022 bilaga A 8.31 Överensstämmelse

Organisationer bör överväga de produktionsfrågor som bör undvikas när de beslutar om den nödvändiga graden av separation mellan de tre miljöerna.

Bilaga A 8.31 föreslår att organisationer ska tänka på sju kriterier:

  1. Segregering av utvecklings- och produktionssystem till en tillfredsställande nivå rekommenderas. Till exempel, att använda distinkta virtuella och fysiska miljöer för produktion kan vara en hållbar lösning.

  2. Regler och auktorisationsprocedurer ska utformas, dokumenteras och implementeras avseende användning av programvara i produktionsmiljön efter att den har passerat utvecklingsmiljön.

  3. Organisationer bör utvärdera och testa ändringar av applikationer och produktionssystem i en isolerad testmiljö, utesluten från produktionsmiljön, innan de implementeras i produktionsmiljön.

  4. Ingen testning i produktionsmiljöer bör förekomma om den inte har definierats och godkänts i förväg.

  5. Utvecklingsresurser, såsom kompilatorer och redaktörer, bör inte vara tillgängliga i produktionsmiljöer om det inte är absolut nödvändigt.

  6. För att minska misstag bör korrekta miljöetiketter vara framträdande i menyerna.

  7. Inga känsliga informationstillgångar bör överföras till några utvecklings- eller testsystem om inte motsvarande säkerhetsåtgärder finns på plats.

Vägledning om skydd av utvecklings- och testmiljöer

Organisationer bör skydda utvecklings- och testmiljöer från potentiella säkerhetsrisker, med hänsyn till följande:

  • Se till att alla utvecklings-, integrations- och testverktyg, t.ex. byggare, integratörer och bibliotek, korrigeras regelbundet och hålls uppdaterade.

  • Se till att alla system och programvara är säkert konfigurerade.

  • Lämpliga kontroller måste finnas på plats för åtkomst till miljöer.

  • Ändringar av miljöer och deras koder bör övervakas och granskas.

  • Säker övervakning och översyn av miljöer bör genomföras.

  • Miljöer bör skyddas med säkerhetskopior.

Ingen individ ska ges privilegiet att göra ändringar i både utvecklings- och produktionsmiljöer utan att ha fått godkännande i förväg. För att undvika detta kan organisationer separera åtkomsträttigheter eller införa och utföra åtkomstkontroller.

Organisationer kan överväga ytterligare tekniska kontroller, som att logga alla åtkomstaktiviteter och övervaka åtkomsten till dessa miljöer i realtid.

Kompletterande vägledning om bilaga A 8.31

Om organisationer inte vidtar nödvändiga åtgärder kan deras informationssystem utsättas för betydande säkerhetsrisker.

Utvecklare och testare med åtkomst till produktionsmiljön kan göra oavsiktliga ändringar i filer eller systeminställningar, köra otillåten kod eller oavsiktligt avslöja känslig data.

Organisationer kräver en stadig inställning för att utföra grundliga tester av sin kod, vilket hindrar utvecklare från att komma åt produktionsmiljöer som lagrar och bearbetar känslig verklig data.

Organisationer bör tilldela specifika roller och genomdriva åtskillnad av arbetsuppgifter.

Utvecklings- och testteamen kan riskera att äventyra den konfidentiella produktionsdatan om de använder samma datorenheter. Oavsiktliga ändringar av känslig information eller program kan göras.

Organisationer uppmanas att sätta upp hjälpprocesser för att använda produktionsdata i test- och utvecklingssystem i enlighet med ISO 27001:2022 Annex A 8.33.

Organisationer bör överväga de åtgärder som diskuteras i denna bilaga A Kontroll när de genomför slutanvändarutbildning i utbildningsmiljöer.

Slutligen kan organisationer skymma gränserna mellan utveckling, testning och produktionsinställningar. Till exempel kan testning utföras i en utvecklingsmiljö, eller så kan personalen testa produkten genom att faktiskt använda den.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 8.31 ersätter ISO 27001:2013 Bilaga A 12.1.4 och ISO 27001:2013 Bilaga A 14.2.6. Denna revidering gör de nödvändiga justeringarna för att få standarden i linje med den senaste praxisen.

De två versionerna har mycket gemensamt, men två skillnader är anmärkningsvärda.

ISO 27001:2013 bilaga A 14.2.6 Mer detaljerad vägledning om säkra utvecklingsmiljöer

ISO 27001:2013 Annex A 14.2.6 behandlar säkra utvecklingsmiljöer och beskriver 10 rekommendationer för organisationer att överväga när de bygger en utvecklingsmiljö.

Som jämförelse innehåller ISO 27001:2022 bilaga A 8.33 inte vissa förslag, som att ha en säkerhetskopia på en avlägsen plats och begränsningar för dataöverföring.

ISO 27001:2022 bilaga A 8.31 behandlar produkttester och användning av produktionsdata

I jämförelse med ISO 27001:2013 erbjuder ISO 27001:2022 Annex A 8.31 vägledning om produkttestning och användning av produktionsdata i linje med ISO 27001:2022 Annex A 8.33.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

ISMS.Online ger support för hela ISO 27001 implementering, från riskbedömning till skapandet av policyer, procedurer och riktlinjer för att följa standarden.

ISMS.Online erbjuder ett bekvämt tillvägagångssätt för att registrera upptäckter och dela dem med kollegor online. Den gör det också möjligt för dig att skapa och lagra checklistor för varje ISO 27001-uppgift, vilket gör att du enkelt kan övervaka din organisations säkerhetsprogram.

Vi förser också organisationer med en automatiserad verktygsuppsättning som underlättar efterlevnaden av ISO 27001-standarden. Dess användarvänliga design gör det enkelt att bevisa överensstämmelse.

Kontakta oss nu för att arrangera en demonstration.

Vi kände att vi hade
det bästa av båda världar. Vi var
kunna använda vår
befintliga processer,
& Adoptera, Anpassa
innehåll gav oss nytt
djup till vårt ISMS.

Andrew Bud
Grundare, iproov

Boka din demo

Säg hej till ISO 27001 framgång

Få 81 % av arbetet gjort åt dig och bli certifierad snabbare med ISMS.online

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer