På 90-talet brukade företag utföra säkerhetstester för mjukvaruprodukter och system endast under teststadiet, i slutfasen av mjukvaruutvecklingens livscykel.
Som ett resultat misslyckades de ofta med att upptäcka och eliminera kritiska sårbarheter, buggar och brister.
För att tidigt identifiera och åtgärda säkerhetsbrister bör organisationer integrera säkerhetsaspekter i alla stadier av utvecklingens livscykel, från planeringsstadiet till implementeringsstadiet.
Kontroll 8.25 handlar om hur organisationer kan sätta upp och implementera regler för att bygga säkra mjukvaruprodukter och system.
Control 8.25 gör det möjligt för organisationer att utforma informationssäkerhetsstandarder och tillämpa dessa standarder över hela den säkra utvecklingscykeln för mjukvaruprodukter och system.
Kontroll 8.25 är förebyggande till sin natur eftersom det kräver att organisationer proaktivt utformar och implementerar regler och kontroller som styr hela utvecklingens livscykel för varje ny mjukvaruprodukt och system.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Applikationssäkerhet #System- och nätverkssäkerhet | #Skydd |
Informationssäkerhetschefen bör ansvara för att skapa, implementera och underhålla regler och åtgärder för att säkerställa säkerheten i utvecklingens livscykel.
Control 8.25 innehåller 10 krav som organisationer bör följa för att bygga säkra mjukvaruprodukter, system och arkitektur:
Vidare, om en organisation lägger ut vissa utvecklingsuppgifter på externa parter, måste den säkerställa att den externa parten följer organisationens regler och rutiner för säker utveckling av mjukvara och system.
Kontroll 8.25 noterar att mjukvaruprodukter, arkitekturer och system också kan utvecklas inom applikationer, databaser eller webbläsare.
27002:2022/8.25 replace 27002:2013/(14.2.1)
Sammantaget finns det två viktiga skillnader.
Även om 2022-versionen i stor utsträckning liknar 2013-versionen, ställer Control 8.25 två nya krav på organisationer:
2013 års version angav uttryckligen att kontroll 14.2.1 gäller både nyutveckling och återanvändning av kod. Däremot hänvisade kontroll 8.25 inte till scenarier för kodåteranvändning.
Implementeringen av ISO 27002 är enklare med vår steg-för-steg checklista som guidar dig genom hela processen. Din kompletta överensstämmelselösning för ISO/IEC 27002:2022.
Hör av dig idag för att boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |