Kontroll 8.25, Säker utvecklingslivscykel

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Vad är ISO 27002 Control 8.25 och varför är det viktigt?

På 90-talet brukade företag utföra säkerhetstester för mjukvaruprodukter och system endast under teststadiet, i slutfasen av mjukvaruutvecklingens livscykel.

Som ett resultat misslyckades de ofta med att upptäcka och eliminera kritiska sårbarheter, buggar och brister.

För att tidigt identifiera och åtgärda säkerhetsbrister bör organisationer integrera säkerhetsaspekter i alla stadier av utvecklingens livscykel, från planeringsstadiet till implementeringsstadiet.

Kontroll 8.25 handlar om hur organisationer kan sätta upp och implementera regler för att bygga säkra mjukvaruprodukter och system.

Syfte med kontroll 8.25

Control 8.25 gör det möjligt för organisationer att utforma informationssäkerhetsstandarder och tillämpa dessa standarder över hela den säkra utvecklingscykeln för mjukvaruprodukter och system.

Attributtabell för kontroll 8.25

Kontroll 8.25 är förebyggande till sin natur eftersom det kräver att organisationer proaktivt utformar och implementerar regler och kontroller som styr hela utvecklingens livscykel för varje ny mjukvaruprodukt och system.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Skydda	#Applikationssäkerhet	#Skydd
	#Integritet		#System- och nätverkssäkerhet
	#Tillgänglighet

Få ett försprång på 81 %

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo

Äganderätt till kontroll 8.25

Informationssäkerhetschefen bör ansvara för att skapa, implementera och underhålla regler och åtgärder för att säkerställa säkerheten i utvecklingens livscykel.

Allmän vägledning om efterlevnad

Control 8.25 innehåller 10 krav som organisationer bör följa för att bygga säkra mjukvaruprodukter, system och arkitektur:

Utvecklings-, test- och produktionsmiljöer bör vara åtskilda enligt kontroll 8.31.
Organisationer bör ge vägledning om:

Säkerhetsaspekter i mjukvaruutvecklingsmetodik i enlighet med kontroll 8.27 och 8.28.
Säker kodning för varje programmeringsspråk i enlighet med 8.28.

Organisationer bör upprätta och implementera säkerhetskrav som gäller för specifikations- och designfasen i enlighet med kontroll 5.8.
Organisationer bör definiera säkerhetschecklistor för projekten enligt kontroll 5.8.
Organisationer bör utföra säkerhets- och systemtester såsom penetrationstester och kodskanning i enlighet med Kontroll 8.29.
Organisationer bör skapa säkra arkiv som lagrar källkoder och konfiguration i enlighet med kontrollerna 8.4 och 8.9.
Organisationer bör upprätthålla säkerheten i versionskontrollen som föreskrivs i Kontroll 8.32.
Organisationer bör se till att all personal som är involverad i utvecklingen har tillräcklig kunskap om applikationssäkerhet och att de får den nödvändiga utbildningen enligt definitionen i Kontroll 8.28.
Utvecklare bör kunna identifiera och förhindra säkerhetsbrister enligt kontroll 8.28.
Organisationer bör följa licenskraven och bör utvärdera genomförbarheten av alternativa kostnadseffektiva metoder som föreskrivs i Kontroll 8.30.

Vidare, om en organisation lägger ut vissa utvecklingsuppgifter på externa parter, måste den säkerställa att den externa parten följer organisationens regler och rutiner för säker utveckling av mjukvara och system.

Kompletterande vägledning om kontroll 8.25

Kontroll 8.25 noterar att mjukvaruprodukter, arkitekturer och system också kan utvecklas inom applikationer, databaser eller webbläsare.

Hantera all efterlevnad på ett ställe

ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.

Boka en demo

Ändringar och skillnader från ISO 27002:2013

27002:2022/8.25 replace 27002:2013/(14.2.1)

Sammantaget finns det två viktiga skillnader.

ISO 27002:2022-versionen ställer två nya krav

Även om 2022-versionen i stor utsträckning liknar 2013-versionen, ställer Control 8.25 två nya krav på organisationer:

Organisationer bör följa licenskraven och bör utvärdera genomförbarheten av alternativa kostnadseffektiva metoder som föreskrivs i Kontroll 8.30.
Organisationer bör utföra säkerhets- och systemtester såsom penetrationstester och kodskanning i enlighet med Kontroll 8.29.

ISO 27002:2013-versionen hänvisas uttryckligen till koden återanvändning

2013 års version angav uttryckligen att kontroll 14.2.1 gäller både nyutveckling och återanvändning av kod. Däremot hänvisade kontroll 8.25 inte till scenarier för kodåteranvändning.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	Nytt	Hot intelligens
5.23	Nytt	Informationssäkerhet för användning av molntjänster
5.30	Nytt	ICT-beredskap för kontinuitet i verksamheten
7.4	Nytt	Fysisk säkerhetsövervakning
8.9	Nytt	Konfigurationshantering
8.10	Nytt	Radering av information
8.11	Nytt	Datamaskering
8.12	Nytt	Förebyggande av dataläckage
8.16	Nytt	Övervakningsaktiviteter
8.23	Nytt	Webbfiltrering
8.28	Nytt	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	Nytt	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	Nytt	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	Nytt	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	Nytt	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	Nytt	Konfigurationshantering
8.10	Nytt	Radering av information
8.11	Nytt	Datamaskering
8.12	Nytt	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	Nytt	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	Nytt	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	Nytt	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

Implementeringen av ISO 27002 är enklare med vår steg-för-steg checklista som guidar dig genom hela processen. Din kompletta överensstämmelselösning för ISO/IEC 27002:2022.

Upp till 81 % framsteg från det att du loggar in.
Enkel och total efterlevnadslösning.

Hör av dig idag för att boka en demo.

ISO 27002:2022 – Kontroll 8.25 – Säker utvecklingslivscykel