Hoppa till innehåll
ISMS.online

ISO 27002:2022 – Kontroll 8.25 – Säker utvecklingslivscykel

ISO 27002:2022 Kontroll 8.25 betonar att integrera säkerhet under hela mjukvaruutvecklingens livscykel genom att implementera säker kodningsmetoder, säkerhetstestning, miljösegregering och utvecklarutbildning för att proaktivt mildra sårbarheter.

Författare
Sam Peters
Uppdaterad juli 25, 2025
4/5 stjärnor

Vad är ISO 27002 Control 8.25 och varför är det viktigt?

På 90-talet brukade företag utföra säkerhetstester för mjukvaruprodukter och system endast under teststadiet, i slutfasen av mjukvaruutvecklingens livscykel.

Som ett resultat misslyckades de ofta med att upptäcka och eliminera kritiska sårbarheter, buggar och brister.

För att tidigt identifiera och åtgärda säkerhetsbrister bör organisationer integrera säkerhetsaspekter i alla stadier av utvecklingens livscykel, från planeringsstadiet till implementeringsstadiet.

Kontroll 8.25 handlar om hur organisationer kan sätta upp och implementera regler för att bygga säkra mjukvaruprodukter och system.

Syfte med kontroll 8.25

Control 8.25 gör det möjligt för organisationer att utforma informationssäkerhetsstandarder och tillämpa dessa standarder över hela den säkra utvecklingscykeln för mjukvaruprodukter och system.

Attributtabell för kontroll 8.25

Kontroll 8.25 är förebyggande till sin natur eftersom det kräver att organisationer proaktivt utformar och implementerar regler och kontroller som styr hela utvecklingens livscykel för varje ny mjukvaruprodukt och system.

Kontroll typ Informationssäkerhetsegenskaper Cybersäkerhetskoncept Operativa förmågor Säkerhetsdomäner
#Förebyggande #Sekretess #Skydda #Applikationssäkerhet #Skydd
#Integritet #System- och nätverkssäkerhet
#Tillgänglighet


ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG


Äganderätt till kontroll 8.25

Informationssäkerhetschefen bör ansvara för att skapa, implementera och underhålla regler och åtgärder för att säkerställa säkerheten i utvecklingens livscykel.

Allmän vägledning om efterlevnad

Control 8.25 innehåller 10 krav som organisationer bör följa för att bygga säkra mjukvaruprodukter, system och arkitektur:

  1. Utvecklings-, test- och produktionsmiljöer bör vara åtskilda enligt kontroll 8.31.
  2. Organisationer bör ge vägledning om:

    • Säkerhetsaspekter i mjukvaruutvecklingsmetodik i enlighet med kontroll 8.27 och 8.28.
    • Säker kodning för varje programmeringsspråk i enlighet med 8.28.

  3. Organisationer bör upprätta och implementera säkerhetskrav som gäller för specifikations- och designfasen i enlighet med kontroll 5.8.
  4. Organisationer bör definiera säkerhetschecklistor för projekten enligt kontroll 5.8.
  5. Organisationer bör utföra säkerhets- och systemtester såsom penetrationstester och kodskanning i enlighet med Kontroll 8.29.
  6. Organisationer bör skapa säkra arkiv som lagrar källkoder och konfiguration i enlighet med kontrollerna 8.4 och 8.9.
  7. Organisationer bör upprätthålla säkerheten i versionskontrollen som föreskrivs i Kontroll 8.32.
  8. Organisationer bör se till att all personal som är involverad i utvecklingen har tillräcklig kunskap om applikationssäkerhet och att de får den nödvändiga utbildningen enligt definitionen i Kontroll 8.28.
  9. Utvecklare bör kunna identifiera och förhindra säkerhetsbrister enligt kontroll 8.28.
  10. Organisationer bör följa licenskraven och bör utvärdera genomförbarheten av alternativa kostnadseffektiva metoder som föreskrivs i Kontroll 8.30.

Vidare, om en organisation lägger ut vissa utvecklingsuppgifter på externa parter, måste den säkerställa att den externa parten följer organisationens regler och rutiner för säker utveckling av mjukvara och system.

Kompletterande vägledning om kontroll 8.25

Kontroll 8.25 noterar att mjukvaruprodukter, arkitekturer och system också kan utvecklas inom applikationer, databaser eller webbläsare.



ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


Ändringar och skillnader från ISO 27002:2013

27002:2022/8.25 replace 27002:2013/(14.2.1)

Sammantaget finns det två viktiga skillnader.

ISO 27002:2022-versionen ställer två nya krav

Även om 2022-versionen i stor utsträckning liknar 2013-versionen, ställer Control 8.25 två nya krav på organisationer:

  • Organisationer bör följa licenskraven och bör utvärdera genomförbarheten av alternativa kostnadseffektiva metoder som föreskrivs i Kontroll 8.30.
  • Organisationer bör utföra säkerhets- och systemtester såsom penetrationstester och kodskanning i enlighet med Kontroll 8.29.

ISO 27002:2013-versionen hänvisas uttryckligen till koden återanvändning

2013 års version angav uttryckligen att kontroll 14.2.1 gäller både nyutveckling och återanvändning av kod. Däremot hänvisade kontroll 8.25 inte till scenarier för kodåteranvändning.

Nya ISO 27002 kontroller

Nya kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.7 NYA Hot intelligens
5.23 NYA Informationssäkerhet för användning av molntjänster
5.30 NYA ICT-beredskap för kontinuitet i verksamheten
7.4 NYA Fysisk säkerhetsövervakning
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.16 NYA Övervakningsaktiviteter
8.23 NYA Webbfiltrering
8.28 NYA Säker kodning
Organisatoriska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.1 05.1.1, 05.1.2 Policyer för informationssäkerhet
5.2 06.1.1 Informationssäkerhetsroller och ansvar
5.3 06.1.2 Uppdelning av arbetsuppgifter
5.4 07.2.1 Ledningsansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med intressegrupper
5.7 NYA Hot intelligens
5.8 06.1.5, 14.1.1 Informationssäkerhet i projektledning
5.9 08.1.1, 08.1.2 Inventering av information och andra tillhörande tillgångar
5.10 08.1.3, 08.2.3 Acceptabel användning av information och andra tillhörande tillgångar
5.11 08.1.4 Återlämnande av tillgångar
5.12 08.2.1 Klassificering av information
5.13 08.2.2 Märkning av information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsöverföring
5.15 09.1.1, 09.1.2 Åtkomstkontroll
5.16 09.2.1 Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformation
5.18 09.2.2, 09.2.5, 09.2.6 Tillträdesrättigheter
5.19 15.1.1 Informationssäkerhet i leverantörsrelationer
5.20 15.1.2 Adressering av informationssäkerhet inom leverantörsavtal
5.21 15.1.3 Hantera informationssäkerhet i IKT-försörjningskedjan
5.22 15.2.1, 15.2.2 Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23 NYA Informationssäkerhet för användning av molntjänster
5.24 16.1.1 Informationssäkerhet incidenthantering planering och förberedelse
5.25 16.1.4 Bedömning och beslut om informationssäkerhetshändelser
5.26 16.1.5 Respons på informationssäkerhetsincidenter
5.27 16.1.6 Lär av informationssäkerhetsincidenter
5.28 16.1.7 Insamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informationssäkerhet vid avbrott
5.30 5.30 ICT-beredskap för kontinuitet i verksamheten
5.31 18.1.1, 18.1.5 Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32 18.1.2 Immateriella rättigheter
5.33 18.1.3 Skydd av register
5.34 18.1.4 Integritet och skydd av PII
5.35 18.2.1 Oberoende granskning av informationssäkerhet
5.36 18.2.2, 18.2.3 Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37 12.1.1 Dokumenterade driftprocedurer
Människor kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
6.1 07.1.1 Screening
6.2 07.1.2 Anställningsvillkor
6.3 07.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning
6.4 07.2.3 Disciplinär process
6.5 07.3.1 Ansvar efter uppsägning eller byte av anställning
6.6 13.2.4 Sekretess- eller sekretessavtal
6.7 06.2.2 Fjärrbearbetning
6.8 16.1.2, 16.1.3 Händelserapportering för informationssäkerhet
Fysiska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
7.1 11.1.1 Fysiska säkerhetsområden
7.2 11.1.2, 11.1.6 Fysiskt inträde
7.3 11.1.3 Säkra kontor, rum och lokaler
7.4 NYA Fysisk säkerhetsövervakning
7.5 11.1.4 Skydd mot fysiska och miljömässiga hot
7.6 11.1.5 Arbeta i säkra områden
7.7 11.2.9 Tydligt skrivbord och tydlig skärm
7.8 11.2.1 Utrustningsplacering och skydd
7.9 11.2.6 Säkerhet av tillgångar utanför lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedia
7.11 11.2.2 Stöd till verktyg
7.12 11.2.3 Kabelsäkerhet
7.13 11.2.4 Utrustningsunderhåll
7.14 11.2.7 Säker kassering eller återanvändning av utrustning
Tekniska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
8.1 06.2.1, 11.2.8 Användarslutpunktsenheter
8.2 09.2.3 Privilegerade åtkomsträttigheter
8.3 09.4.1 Begränsning av informationsåtkomst
8.4 09.4.5 Tillgång till källkod
8.5 09.4.2 Säker autentisering
8.6 12.1.3 Kapacitetshantering
8.7 12.2.1 Skydd mot skadlig programvara
8.8 12.6.1, 18.2.3 Hantering av tekniska sårbarheter
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.13 12.3.1 Säkerhetskopiering av information
8.14 17.2.1 Redundans av informationsbehandlingsanläggningar
8.15 12.4.1, 12.4.2, 12.4.3 Loggning
8.16 NYA Övervakningsaktiviteter
8.17 12.4.4 Klocksynkronisering
8.18 09.4.4 Användning av privilegierade verktygsprogram
8.19 12.5.1, 12.6.2 Installation av programvara på operativsystem
8.20 13.1.1 Nätverkssäkerhet
8.21 13.1.2 Säkerhet för nätverkstjänster
8.22 13.1.3 Segregation av nätverk
8.23 NYA Webbfiltrering
8.24 10.1.1, 10.1.2 Användning av kryptografi
8.25 14.2.1 Säker utvecklingslivscykel
8.26 14.1.2, 14.1.3 Säkerhetskrav för applikationer
8.27 14.2.5 Säker systemarkitektur och tekniska principer
8.28 NYA Säker kodning
8.29 14.2.8, 14.2.9 Säkerhetstestning i utveckling och acceptans
8.30 14.2.7 Outsourcade utveckling
8.31 12.1.4, 14.2.6 Separation av utvecklings-, test- och produktionsmiljöer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Ändra hanteringen
8.33 14.3.1 Testinformation
8.34 12.7.1 Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

Implementeringen av ISO 27002 är enklare med vår steg-för-steg checklista som guidar dig genom hela processen. Din kompletta överensstämmelselösning för ISO/IEC 27002:2022.

  • Upp till 81 % framsteg från det att du loggar in.
  • Enkel och total efterlevnadslösning.

Hör av dig idag för att boka en demo.

Sam Peters

Sam är Chief Product Officer på ISMS.online och leder utvecklingen av alla produktegenskaper och funktionalitet. Sam är expert på många områden av efterlevnad och arbetar med kunder på alla skräddarsydda eller storskaliga projekt.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.