Operativ programvara kan i stora drag beskrivas som vilken mjukvara som helst som verksamheten aktivt använder för att bedriva sin verksamhet, till skillnad från testprogramvara eller utvecklingsprojekt.
Det är mycket viktigt att säkerställa att programvara installeras och hanteras på ett givet nätverk i enlighet med en strikt uppsättning regler och krav som minimerar risker, förbättrar effektiviteten och upprätthåller säkerheten inom interna och externa nätverk och tjänster.
Kontroll 8.19 är en förebyggande kontroll den där upprätthåller risken genom att upprätta en uppsättning regler som styr installationen av programvara på operativa system.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Säker konfiguration #Applikationssäkerhet | #Skydd |
Kontroll 8.19 behandlar tekniska begrepp som rör underhåll och förvaltning av operativa datorsystem. Som sådan bör ägandet ligga hos IT-chefen eller motsvarande i organisationen.
För att säkert kunna hantera förändringar och installationer i sitt nätverk bör organisationer:
När det gäller leverantörslevererad programvara (t.ex. all programvara som används vid drift av maskiner eller för en skräddarsydd affärsfunktion) bör sådan programvara alltid hållas i gott skick genom att hänvisa till leverantörens riktlinjer för säker och säker drift.
Det är viktigt att notera att även där programvara eller programvarumoduler tillhandahålls och hanteras externt (dvs organisationen är inte ansvarig för några uppdateringar), bör åtgärder vidtas för att säkerställa att uppdateringar från tredje part inte kompromissar med integriteten hos organisationens nätverk.
Organisationer bör undvika att använda programvara från leverantörer som inte stöds om det inte är absolut nödvändigt, och överväga de tillhörande säkerhetsriskerna med att använda redundanta applikationer i motsats till en uppgradering till nyare och säkrare system.
Om en leverantör kräver åtkomst till en organisations nätverk för att utföra en installation eller uppdatering, bör aktiviteten övervakas och valideras i linje med alla relevanta auktoriseringsprocedurer (se Kontroll 5.22).
Programvara bör uppgraderas, installeras och/eller korrigeras i enlighet med organisationens publicerade ändringshanteringsprocedurer, för att säkerställa enhetlighet med andra delar av verksamheten.
Närhelst en patch identifieras som antingen helt eliminerar en sårbarhet (eller serie av sårbarheter) eller på något sätt hjälper till att förbättra organisationens informationssäkerhetsverksamhet, bör sådana förändringar nästan alltid tillämpas (även om det fortfarande finns ett behov av att bedöma sådana förändringar på från fall till fall).
Där det uppstår behov av att använda programvara med öppen källkod bör denna alltid vara av den senaste allmänt tillgängliga versionen som underhålls aktivt. Följaktligen bör organisationer överväga de inneboende riskerna med att använda ounderhållen programvara inom alla affärsfunktioner.
ISO 27002:2022-8.19 ersätter ISO 27002:2003-12.5.1 (Installation av programvara på operativsystem) och 12.6.2 (Restriktioner för installation av programvara).
27002:2022-8.19 är en sammanslagning av de flesta råd som finns i 27002:2003-12.5.1 och 12.6.2, med flera nyckelbegrepp som kortfattat utvidgas och med tillägg av några nya styrande principer:
ISMS.Online är en komplett lösning för implementering av ISO 27002. Det är ett webbaserat system som låter dig visa att ditt ledningssystem för informationssäkerhet (ISMS) är kompatibelt med de godkända standarderna med hjälp av genomtänkta processer, procedurer och checklistor.
Det är inte bara en lättanvänd plattform för att hantera din ISO 27002-implementering, utan också ett utmärkt verktyg för att utbilda din personal i bästa praxis och processer för informationssäkerhet, samt dokumentera alla dina ansträngningar.
Fördelarna med att använda ISMS.Online:
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |