ISO 27002:2022, Kontroll 8.19 – Installation av programvara på operativa system

ISO 27002:2022 Reviderade kontroller

Boka en demo

vid, vinkel,vy,av,upptagen,design,kontor,med,arbetare,på

Syfte med kontroll 8.19

Operativ programvara kan i stora drag beskrivas som vilken mjukvara som helst som verksamheten aktivt använder för att bedriva sin verksamhet, till skillnad från testprogramvara eller utvecklingsprojekt.

Det är mycket viktigt att säkerställa att programvara installeras och hanteras på ett givet nätverk i enlighet med en strikt uppsättning regler och krav som minimerar risker, förbättrar effektiviteten och upprätthåller säkerheten inom interna och externa nätverk och tjänster.

Attributtabell

Kontroll 8.19 är en förebyggande kontroll den där upprätthåller risken genom att upprätta en uppsättning regler som styr installationen av programvara på operativa system.

Kontroll typInformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande#Sekretess
#Integritet
#Tillgänglighet		#Skydda#Säker konfiguration
#Applikationssäkerhet		#Skydd

Äganderätt till kontroll 8.19

Kontroll 8.19 behandlar tekniska begrepp som rör underhåll och förvaltning av operativa datorsystem. Som sådan bör ägandet ligga hos IT-chefen eller motsvarande i organisationen.

Hoppa till ämne
Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

Allmän vägledning om efterlevnad

För att säkert kunna hantera förändringar och installationer i sitt nätverk bör organisationer:

  1. Se till att mjukvaruuppdateringar endast utförs av utbildad och kompetent personal (se Kontroll 8.5).

  2. Installera endast robust körbar kod som är fri från buggar och som säkert har lämnat utvecklingsstadiet.

  3. Installera och/eller uppdatera programvaran först efter att uppdateringen eller patchen har testats framgångsrikt, och organisationen är säker på att inga konflikter eller fel kommer att uppstå.

  4. Upprätthålla ett uppdaterat bibliotekssystem.

  5. Använd ett "konfigurationskontrollsystem" som hanterar alla instanser av operativ programvara, inklusive programdokumentation.

  6. Kom överens om en "återställningsstrategi" före eventuella uppdateringar eller installationer, för att säkerställa affärskontinuitet i händelse av ett oförutsett fel eller konflikt.

  7. För en logg över eventuella uppdateringar som utförts av operativ programvara, inklusive en sammanfattning av uppdateringen, den inblandade personalen och en tidsstämpel.

  8. Se till att oanvänd programvara – inklusive all dokumentation, konfigurationsfiler, systemloggar, stödjande procedurer – lagras säkert för vidare användning om behov skulle uppstå.

  9. Genomför en strikt uppsättning regler för vilken typ av programvarupaket som användare kan installera, baserat på principerna om "minst privilegierade" och i enlighet med relevanta roller och ansvarsområden.

Vägledning – Leverantörsprogramvara

När det gäller leverantörslevererad programvara (t.ex. all programvara som används vid drift av maskiner eller för en skräddarsydd affärsfunktion) bör sådan programvara alltid hållas i gott skick genom att hänvisa till leverantörens riktlinjer för säker och säker drift.

Det är viktigt att notera att även där programvara eller programvarumoduler tillhandahålls och hanteras externt (dvs organisationen är inte ansvarig för några uppdateringar), bör åtgärder vidtas för att säkerställa att uppdateringar från tredje part inte kompromissar med integriteten hos organisationens nätverk.

Organisationer bör undvika att använda programvara från leverantörer som inte stöds om det inte är absolut nödvändigt, och överväga de tillhörande säkerhetsriskerna med att använda redundanta applikationer i motsats till en uppgradering till nyare och säkrare system.

Om en leverantör kräver åtkomst till en organisations nätverk för att utföra en installation eller uppdatering, bör aktiviteten övervakas och valideras i linje med alla relevanta auktoriseringsprocedurer (se Kontroll 5.22).

Få en försprång
på ISO 27002

Den enda efterlevnaden
lösning du behöver
Boka din demo

Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Kompletterande vägledning om kontroll 8.19

Programvara bör uppgraderas, installeras och/eller korrigeras i enlighet med organisationens publicerade ändringshanteringsprocedurer, för att säkerställa enhetlighet med andra delar av verksamheten.

Närhelst en patch identifieras som antingen helt eliminerar en sårbarhet (eller serie av sårbarheter) eller på något sätt hjälper till att förbättra organisationens informationssäkerhetsverksamhet, bör sådana förändringar nästan alltid tillämpas (även om det fortfarande finns ett behov av att bedöma sådana förändringar på från fall till fall).

Där det uppstår behov av att använda programvara med öppen källkod bör denna alltid vara av den senaste allmänt tillgängliga versionen som underhålls aktivt. Följaktligen bör organisationer överväga de inneboende riskerna med att använda ounderhållen programvara inom alla affärsfunktioner.

Stödkontroller

  • 5.22
  • 8.5

Ändringar och skillnader från ISO 27002:2013

ISO 27002:2022-8.19 ersätter ISO 27002:2003-12.5.1 (Installation av programvara på operativsystem) och 12.6.2 (Restriktioner för installation av programvara).

27002:2022-8.19 är en sammanslagning av de flesta råd som finns i 27002:2003-12.5.1 och 12.6.2, med flera nyckelbegrepp som kortfattat utvidgas och med tillägg av några nya styrande principer:

  • Underhålla ett bibliotekssystem.

  • Regler som styr användningen av programvara med öppen källkod.

  • Närmare logiska kontroller av installation och underhåll av leverantörsprogramvara.

Hur ISMS.online hjälper

ISMS.Online är en komplett lösning för implementering av ISO 27002. Det är ett webbaserat system som låter dig visa att ditt ledningssystem för informationssäkerhet (ISMS) är kompatibelt med de godkända standarderna med hjälp av genomtänkta processer, procedurer och checklistor.

Det är inte bara en lättanvänd plattform för att hantera din ISO 27002-implementering, utan också ett utmärkt verktyg för att utbilda din personal i bästa praxis och processer för informationssäkerhet, samt dokumentera alla dina ansträngningar.

Fördelarna med att använda ISMS.Online:

  • Enkel att använda onlineplattform som kan nås från vilken enhet som helst.

  • Det är helt anpassningsbart för att möta dina behov.

  • Anpassningsbara arbetsflöden och processer för att passa dina affärsbehov.

  • Utbildningsverktyg som hjälper nyanställda att komma igång snabbare.

  • Ett bibliotek med mallar för dokument som policyer, procedurer, planer och checklistor.

Hör av dig idag för att boka en demo.

Är du redo för
den nya ISO 27002

Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyaHot intelligens
5.23NyaInformationssäkerhet för användning av molntjänster
5.30NyaICT-beredskap för kontinuitet i verksamheten
7.4NyaFysisk säkerhetsövervakning
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.16NyaÖvervakningsaktiviteter
8.23NyaWebbfiltrering
8.28NyaSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyaHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.12 08.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyaInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyaICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyaFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyaÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyaWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyaSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning
Enkel. Säkra. Hållbar.

Se vår plattform i aktion med en skräddarsydd praktisk session baserad på dina behov och mål.

Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer