ISO 27002:2022, Kontroll 8.25 – Säker utvecklingslivscykel

ISO 27002:2022 Reviderade kontroller

Boka en demo

foto,unga,kollegor,besättning,jobbar,med,ny,start,projekt,in

På 90-talet brukade företag utföra säkerhetstester för mjukvaruprodukter och system endast under teststadiet, i slutfasen av mjukvaruutvecklingens livscykel.

Som ett resultat misslyckades de ofta med att upptäcka och eliminera kritiska sårbarheter, buggar och brister.

För att tidigt identifiera och åtgärda säkerhetsbrister bör organisationer integrera säkerhetsaspekter i alla stadier av utvecklingens livscykel, från planeringsstadiet till implementeringsstadiet.

Kontroll 8.25 handlar om hur organisationer kan sätta upp och implementera regler för att bygga säkra mjukvaruprodukter och system.

Syfte med kontroll 8.25

Control 8.25 gör det möjligt för organisationer att utforma informationssäkerhetsstandarder och tillämpa dessa standarder över hela den säkra utvecklingscykeln för mjukvaruprodukter och system.

Attributtabell

Kontroll 8.25 är förebyggande till sin natur eftersom det kräver att organisationer proaktivt utformar och implementerar regler och kontroller som styr hela utvecklingens livscykel för varje ny mjukvaruprodukt och system.

Kontroll typInformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande#Sekretess
#Integritet
#Tillgänglighet		#Skydda #Applikationssäkerhet
#System- och nätverkssäkerhet		#Skydd
Hoppa till ämne
Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

Äganderätt till kontroll 8.25

Informationssäkerhetschefen bör ansvara för att skapa, implementera och underhålla regler och åtgärder för att säkerställa säkerheten i utvecklingens livscykel.

Allmän vägledning om efterlevnad

Control 8.25 innehåller 10 krav som organisationer bör följa för att bygga säkra mjukvaruprodukter, system och arkitektur:

  1. Utvecklings-, test- och produktionsmiljöer bör vara åtskilda enligt kontroll 8.31.

  2. Organisationer bör ge vägledning om:

    • Säkerhetsaspekter i mjukvaruutvecklingsmetodik i enlighet med kontroll 8.27 och 8.28.

    • Säker kodning för varje programmeringsspråk i enlighet med 8.28.

  3. Organisationer bör upprätta och implementera säkerhetskrav som gäller för specifikations- och designfasen i enlighet med kontroll 5.8.

  4. Organisationer bör definiera säkerhetschecklistor för projekten enligt kontroll 5.8.

  5. Organisationer bör utföra säkerhets- och systemtester såsom penetrationstester och kodskanning i enlighet med Kontroll 8.29.

  6. Organisationer bör skapa säkra arkiv som lagrar källkoder och konfiguration i enlighet med kontrollerna 8.4 och 8.9.

  7. Organisationer bör upprätthålla säkerheten i versionskontrollen som föreskrivs i Kontroll 8.32.

  8. Organisationer bör se till att all personal som är involverad i utvecklingen har tillräcklig kunskap om applikationssäkerhet och att de får den nödvändiga utbildningen enligt definitionen i Kontroll 8.28.

  9. Utvecklare bör kunna identifiera och förhindra säkerhetsbrister enligt kontroll 8.28.

  10. Organisationer bör följa licenskraven och bör utvärdera genomförbarheten av alternativa kostnadseffektiva metoder som föreskrivs i Kontroll 8.30.

Vidare, om en organisation lägger ut vissa utvecklingsuppgifter på externa parter, måste den säkerställa att den externa parten följer organisationens regler och rutiner för säker utveckling av mjukvara och system.

Få en försprång
på ISO 27002

Den enda efterlevnaden
lösning du behöver
Boka din demo

Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

Kompletterande vägledning om kontroll 8.25

Kontroll 8.25 noterar att mjukvaruprodukter, arkitekturer och system också kan utvecklas inom applikationer, databaser eller webbläsare.

Ändringar och skillnader från ISO 27002:2013

27002:2022/8.25 replace 27002:2013/(14.2.1)

Sammantaget finns det två viktiga skillnader.

ISO 27002:2022-versionen ställer två nya krav

Även om 2022-versionen i stor utsträckning liknar 2013-versionen, ställer Control 8.25 två nya krav på organisationer:

  • Organisationer bör följa licenskraven och bör utvärdera genomförbarheten av alternativa kostnadseffektiva metoder som föreskrivs i Kontroll 8.30.

  • Organisationer bör utföra säkerhets- och systemtester såsom penetrationstester och kodskanning i enlighet med Kontroll 8.29.

ISO 27002:2013-versionen hänvisas uttryckligen till koden återanvändning

2013 års version angav uttryckligen att kontroll 14.2.1 gäller både nyutveckling och återanvändning av kod. Däremot hänvisade kontroll 8.25 inte till scenarier för kodåteranvändning.

Hur ISMS.online hjälper

Implementeringen av ISO 27002 är enklare med vår steg-för-steg checklista som guidar dig genom hela processen. Din kompletta överensstämmelselösning för ISO/IEC 27002:2022.

  • Upp till 81 % framsteg från det att du loggar in.

  • Enkel och total efterlevnadslösning.

Hör av dig idag för att boka en demo.

Se hur vi kan hjälpa dig

Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyaHot intelligens
5.23NyaInformationssäkerhet för användning av molntjänster
5.30NyaICT-beredskap för kontinuitet i verksamheten
7.4NyaFysisk säkerhetsövervakning
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.16NyaÖvervakningsaktiviteter
8.23NyaWebbfiltrering
8.28NyaSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyaHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.12 08.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyaInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyaICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyaFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyaÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyaWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyaSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning
Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer