ISO 27002:2022 – Kontroll 8.28 – Säker kodning

ISO 27002:2022 Kontroll 8.28 – Secure Coding-sidan betonar vikten av att implementera säkra programvarukodningsprinciper för att förhindra säkerhetssårbarheter, säkerställa konfidentialitet, integritet och systemsäkerhet genom bästa praxis och efterlevnadsåtgärder.

Boka en demo
Författare
Max Edwards
Uppdaterad 18 februari 2025
LinkedIn Twitter Twitter

Vad är ISO 27002:2022 Control 8.28 on Secure Coding?

Dålig kodningsmetoder som felaktig indatavalidering och svag nyckelgenerering kan utsätta informationssystem för säkerhetsbrister och resultera i cyberattacker och äventyra känslig informationstillgångar.

Till exempel i det ökända Heartbleed bug incident, hackare utnyttjade felaktig indatavalidering i koden för att få tillgång till mer än 4 miljoner patientdata.

Därför bör organisationer se till att principerna för säker kodning följs så att dålig kodning inte leder till säkerhetsbrister.

Syfte med kontroll 8.28

Kontroll 8.28 gör det möjligt för organisationer att förhindra säkerhetsrisker och sårbarheter som kan uppstå som ett resultat av dålig praxis för programvarukodning genom att designa, implementera och granska lämpliga principer för säker programvarukodning.

Attributtabell för kontroll 8.28

Kontroll 8.28 är en förebyggande typ av kontroll som hjälper organisationer att upprätthålla säkerheten för nätverk, system och applikationer genom att eliminera risker som kan uppstå på grund av dåligt utformad programvarukod.

Kontroll typInformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande#Sekretess#Skydda#Applikationssäkerhet#Skydd
#Integritet#System- och nätverkssäkerhet
#Tillgänglighet


Få ett försprång på 81 %

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo


Äganderätt till kontroll 8.28

Med tanke på att 8.28 kräver utformning och implementering av organisationsövergripande principer och procedurer för säker kodning, bör chefen för informationssäkerhet vara ansvarig för att vidta lämpliga åtgärder för efterlevnad.

Allmän vägledning om efterlevnad

Kontroll 8.28 kräver att organisationer upprättar och implementerar organisationsomfattande processer för säker kodning som gäller både programvaruprodukter erhållna från externa parter och programvarukomponenter med öppen källkod.

Dessutom bör organisationer hålla sig uppdaterade med utvecklingen av verkliga säkerhetshot och med den senaste informationen om kända eller potentiella säkerhetsbrister i programvaran. Detta kommer att göra det möjligt för organisationer att förbättra och implementera robusta principer för säker programvarukodning som är effektiva mot föränderliga cyberhot.

Kompletterande vägledning om planering

Säkra programvarukodningsprinciper bör följas både för nya kodningsprojekt och för återanvändning av programvara.

Dessa principer bör följas både för interna programvaruutvecklingsaktiviteter och för överföring av organisationens mjukvaruprodukter eller tjänster till tredje part.

När organisationer upprättar en plan för principer för säker kodning och bestämmer förutsättningarna för säker kodning, bör organisationer följa följande:

  • Organisationer bör fastställa säkerhetsförväntningar skräddarsydda för deras behov och fastställa godkända principer för säker programvarukodning som kommer att gälla både intern programvaruutveckling och outsourcade programvarukomponenter.
  • Organisationer bör upptäcka och dokumentera de vanligaste och historiskt dåliga kodningsdesignmetoderna och misstagen som leder till att informationssäkerheten äventyras.
  • Organisationer bör införa och konfigurera mjukvaruutvecklingsverktyg för att säkerställa säkerheten för all kod som skapas. Ett exempel på sådana verktyg är integrerade utvecklingsmiljöer (IDE).
  • Organisationer bör uppnå överensstämmelse med de riktlinjer och instruktioner som tillhandahålls av verktyg för programvaruutveckling.
  • Organisationer bör granska, underhålla och säkert använda utvecklingsverktyg som kompilatorer.

Kompletterande vägledning om säkerhet under kodning

Säkra kodningsmetoder och procedurer bör ta hänsyn till följande för kodningsprocessen:

  • Säkra programvarukodningsprinciper bör skräddarsys för varje programmeringsspråk och teknik som används.
  • Utplacering av säkra programmeringstekniker och metoder såsom testdriven utveckling och parprogrammering.
  • Användning av strukturerade programmeringsmetoder.
  • Korrekt koddokumentation och borttagning av koddefekter.
  • Förbud mot användning av osäkra programvarukodningsmetoder såsom ej godkända kodexempel eller hårdkodade lösenord.

Kompletterande vägledning noterar också att säkerhetstestning bör utföras både under och efter utvecklingen i enlighet med Kontroll 8.29.

Innan de börjar använda programvaran i liveapplikationsmiljön bör organisationer överväga följande:

  • Vad är attackytan?
  • Följs principen om minsta privilegium?
  • Genomföra en analys av de vanligaste programmeringsmisstagen och dokumentera att dessa risker har eliminerats.


Efterlevnad behöver inte vara komplicerat.

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo


Kompletterande vägledning om granskningsprocessen

Efter att koden har tagits i bruk i produktionsmiljön

  • Uppdateringar bör tillämpas på ett säkert sätt.
  • Säkerhetssårbarheter som rapporterats i enlighet med Control 8.8 bör åtgärdas.
  • Misstänkta angrepp på informationssystem och fel bör registreras och dessa register bör granskas med jämna mellanrum så att lämpliga ändringar av koden kan göras.
  • Obehörig åtkomst till, användning av eller ändringar av källkod bör förhindras via mekanismer som hanteringsverktyg.

När organisationer använder externa verktyg bör de ta hänsyn till följande

  • Externa bibliotek bör övervakas och uppdateras med jämna mellanrum baserat på deras utgivningscykler.
  • Programvarukomponenter bör noggrant granskas, utvalda och auktoriserade, särskilt kryptografi- och autentiseringskomponenter.
  • Licensiering av externa komponenter och säkerställande av deras säkerhet.
  • Programvara bör spåras och underhållas. Dessutom måste det säkerställas att det kommer från en pålitlig källa.
  • Utvecklingsresurser bör finnas tillgängliga på lång sikt.

När du gör ändringar i ett programvarupaket bör följande beaktas

  • Risker som kan uppstå på grund av inbyggda kontroller eller kompromisser med integritetsprocesser.
  • Om säljaren ger samtycke till ändringar.
  • Om det är möjligt att få medgivande från programvaruleverantören för regelbundna uppdateringar.
  • Den sannolika effekten av att fortsätta underhållet av programvaran som uppstår till följd av ändringar.
  • Om ändringarna skulle vara kompatibla med andra programvarukomponenter som används av organisationen.

Ytterligare vägledning om kontroll 8.28

Organisationer bör se till att säkerhetsrelevant kod används när det är nödvändigt och är resistent mot manipulering.

Kontroll 8.28 listar också följande rekommendationer för säkerhetsrelevant kod:

  • Medan program som installeras via binär kod inkluderar säkerhetsrelevant kod, är detta begränsat till data som lagras i själva applikationen.
  • Begreppet säkerhetsrelevant kod är endast användbart när koden körs på en server som inte är tillgänglig för användaren och den är separerad från de processer som använder den och dess data förvaras säkert i en annan databas. Du kan till exempel köra en tolkad kod på en molntjänst och åtkomst till kod kan begränsas till privilegierade administratörer. Det rekommenderas att du skyddar dessa åtkomsträttigheter via metoder som just-in-time administratörsbehörigheter och robusta autentiseringsmekanismer.
  • Lämpliga konfigurationer på webbservrar bör implementeras för att förhindra obehörig åtkomst till och bläddring i katalogen.
  • När du designar applikationskod bör du börja med antagandet att koden är sårbar för attacker på grund av kodningsfel och åtgärder från illvilliga aktörer. Du bör designa kritiska applikationer på ett sätt så att de inte är sårbara för interna fel. Till exempel kan utdata som produceras av en algoritm granskas för att säkerställa att den överensstämmer med säkerhetskraven innan den kan användas i kritiska applikationer som finansrelaterade applikationer.
  • Vissa webbapplikationer är mycket sårbara för säkerhetshot på grund av dålig kodningsmetoder som databasinjektion och cross-site scripting-attacker.
  • Organisationer bör hänvisa till ISO/IEC 15408-serien för mer information om IT-säkerhetsutvärdering.


Hantera all efterlevnad på ett ställe

ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.

Boka en demo


Ändringar och skillnader från ISO 27002:2013

27002:2022/8.28 är en ny typ av kontroll.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyttHot intelligens
5.23NyttInformationssäkerhet för användning av molntjänster
5.30NyttICT-beredskap för kontinuitet i verksamheten
7.4NyttFysisk säkerhetsövervakning
8.9NyttKonfigurationshantering
8.10NyttRadering av information
8.11NyttDatamaskering
8.12NyttFörebyggande av dataläckage
8.16NyttÖvervakningsaktiviteter
8.23NyttWebbfiltrering
8.28NyttSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyttHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.1208.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.1709.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyttInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyttICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyttFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyttKonfigurationshantering
8.10NyttRadering av information
8.11NyttDatamaskering
8.12NyttFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyttÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyttWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyttSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

Vår plattform har utvecklats specifikt för dig som är ny på informationssäkerhet eller behöver ett enkelt sätt att lära sig om ISO 27002 utan att behöva lägga tid på att lära sig från grunden eller läsa igenom långa dokument.

ISMS.Online är utrustad med alla verktyg som behövs för att uppnå efterlevnad inklusive dokumentmallar, checklistor och policyer som kan anpassas efter dina behov.

Vill du se hur det fungerar?

Hör av dig idag för att boka en demo.

Hoppa till ämnet

Max Edwards

Max arbetar som en del av ISMS.online-marknadsföringsteamet och ser till att vår webbplats uppdateras med användbart innehåll och information om allt som rör ISO 27001, 27002 och efterlevnad.

ISMS-plattformstur

Intresserad av en ISMS.online-plattformsturné?

Starta din gratis 2-minuters interaktiva demo nu och upplev magin med ISMS.online i aktion!

Prova det gratis

Vi är ledande inom vårt område

Användare älskar oss
Grid Leader – våren 2025
Momentum Leader – våren 2025
Regional ledare - våren 2025 Storbritannien
Regional ledare - EU våren 2025
Bästa Est. ROI Enterprise – våren 2025
Kommer troligtvis att rekommendera företag – våren 2025

"ISMS.Online, enastående verktyg för regelefterlevnad"

-Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

-Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

- Ben H.

SOC 2 är här! Stärk din säkerhet och bygg kundernas förtroende med vår kraftfulla efterlevnadslösning idag!