Tillämpningsprogram som webbapplikationer, grafikmjukvara, databasprogramvara och programvara för betalningshantering är avgörande för många kritiska affärsverksamheter.
Dessa applikationer utsätts dock ofta för säkerhetssårbarheter som kan leda till att känslig information äventyras.
Till exempel misslyckades Equifax, en USA-baserad kreditbyrå, att tillämpa en säkerhetskorrigering på ett ramverk för webbplatsapplikationer som används för att hantera kundklagomål. Cyberangriparna använde säkerhetsproblem i webbapplikationen för att infiltrera Equifax företagsnätverk och stal känslig data om cirka 145 miljoner människor.
Kontroll 8.26 tar upp hur organisationer kan fastställa och tillämpa krav på informationssäkerhet för utveckling, användning och förvärv av applikationer.
Kontroll 8.26 gör det möjligt för organisationer att skydda informationstillgångar som lagras på eller bearbetas genom applikationer genom att identifiera och tillämpa lämpliga informationssäkerhetskrav.
Kontroll 8.26 är en förebyggande typ av kontroll som förhindrar risker för integriteten, tillgängligheten och sekretessen för informationstillgångar som lagras på applikation genom användning av lämpliga informationssäkerhetsåtgärder.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Applikationssäkerhet #System- och nätverkssäkerhet | #Skydd #Försvar |
Chief Information Security Officer, med stöd av informationssäkerhetsspecialister, bör ansvara för identifiering, godkännande och implementering av informationskrav för anskaffning, användning och utveckling av applikationer.
Allmänna riktlinjer noterar att organisationer bör utföra en riskbedömning för att fastställa typen av informationssäkerhetskrav lämplig för en viss applikation.
Medan innehållet och typerna av krav på informationssäkerhet kan variera beroende på vilken typ av ansökan, kraven bör ta upp följande:
Kontroll 8.26 kräver att organisationer tar hänsyn till följande sju rekommendationer när en applikation erbjuder transaktionstjänster mellan organisationen och en partner:
När applikationer inkluderar betalning och elektronisk beställningsfunktion, bör organisationer ta hänsyn till följande:
När applikationer nås via nätverk är de sårbara för hot som kontraktstvister, bedrägliga aktiviteter, feldirigering, obehöriga ändringar av innehållet i kommunikation eller förlust av konfidentialitet för känslig information.
Kontroll 8.26 rekommenderar att organisationer utför omfattande riskbedömningar för att identifiera lämpliga kontroller såsom användning av kryptografi för att säkerställa säkerheten för informationsöverföringar.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
27002:2022/8.26 ersätt 27002:2013/(14.1.2 och 14.1.3)
Det finns tre stora skillnader mellan de två versionerna.
ISO 27002:2013-versionen listade inte krav som gäller för alla applikationer: Den gav en lista över informationssäkerhetskrav som bör beaktas för applikationer som passerar genom offentliga nätverk.
Kontroll 8.26 i 2022 års version, tvärtom, tillhandahållit en lista över informationssäkerhetskrav som gäller för alla applikationer.
Kontroll 8.26 i 2022 års version innehåller specifik vägledning om Elektroniska beställnings- och betalningsapplikationer. Däremot tog 2013 års version inte upp detta.
Medan 2022-versionen och 2013-versionen är nästan identiska när det gäller kraven för transaktionstjänster, inför 2022-versionen ett ytterligare krav som inte tas upp i 2013 års version:
ISMS.online är en molnbaserad lösning som hjälper företag att visa efterlevnad av ISO 27002. ISMS.online-lösningen kan användas för att hantera kraven på ISO 27002 och se till att din organisation förblir kompatibel med den nya standarden.
Vår plattform är användarvänlig och enkel. Det är inte bara för mycket tekniska individer; det är för alla i ditt företag.
Hör av dig idag för att boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
