Hoppa till innehåll
ISMS.online

ISO 27002:2022 – Kontroll 8.29 – Säkerhetstestning i utveckling och acceptans

ISO 27002 Control 8.29 belyser vikten av säkerhetstestning under utveckling och acceptans för att identifiera och mildra sårbarheter före implementering, vilket säkerställer ett robust skydd av informationstillgångar.

Författare
Sam Peters
Uppdaterad juli 25, 2025
4/5 stjärnor

Säkerställa säkerhet från utveckling till implementering: ISO 27002 Control 8.29 Explained

Cyberbrottslingar uppfinner ständigt nya sätt och förbättrar sina strategier för att infiltrera företagsnätverk och få tillgång till känslig informationstillgångar.

Till exempel kan cyberangripare utnyttja en sårbarhet relaterad till autentiseringsmekanismen i källkoden för att göra intrång i nätverk. Dessutom kan de också försöka manipulera slutanvändare på klientsidan att utföra åtgärder för att infiltrera nätverk, få tillgång till data eller utföra ransomware-attacker.

Om en applikation, programvara eller IT-system distribueras i den verkliga världen med sårbarheter, skulle detta utsätta känslig informationstillgångar för risken för kompromiss.

Därför bör organisationer upprätta och implementera ett lämpligt säkerhetstestförfarande för att identifiera och åtgärda alla sårbarheter i IT-system innan de distribueras till den verkliga världen.

Syfte med kontroll 8.29

Kontroll 8.29 gör det möjligt för organisationer att verifiera att alla informationssäkerhetskrav är uppfyllda när nya applikationer, databaser, programvara eller kod tas i drift genom att etablera och tillämpa en robust säkerhetstestning.

Detta hjälper organisationer att upptäcka och eliminera sårbarheter i koden, nätverk, servrar, applikationer eller andra IT-system innan de används i den verkliga världen.

Kontrollattribut 8.29

Kontroll 8.29 är förebyggande till sin natur. Det kräver att organisationer utsätter nya informationssystem och deras nya/uppdaterade versioner för en säkerhetstestprocess innan de släpps in i produktionsmiljön.

Kontroll typ Informationssäkerhetsegenskaper Cybersäkerhetskoncept Operativa förmågor Säkerhetsdomäner
#Förebyggande #Sekretess #Identifiera #Applikationssäkerhet #Skydd
#Integritet #Informationssäkerhetssäkring
#Tillgänglighet #System- och nätverkssäkerhet


ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG


Äganderätt till kontroll 8.29

Med tanke på att Kontroll 8.29 innefattar upprättande, underhåll och implementering av en säkerhetstestningsprocedur som kommer att gälla för alla nya informationssystem, oavsett om de utvecklas internt eller av externa parter, bör informationssäkerhetsansvarig ansvara för efterlevnaden.

Allmän vägledning om efterlevnad

Organisationer bör införliva säkerhetstester i testprocessen för alla system och de måste säkerställa att alla nya informationssystem och deras nya/uppdaterade versioner uppfyller kraven på informationssäkerhet när de är i produktionsmiljön.

Kontroll 8.29 listar tre element som bör inkluderas i säkerhetstestningsprocessen:

  1. Säkerhetsfunktioner såsom användarautentisering enligt definition i Kontroll 8..5, åtkomstbegränsning som föreskrivs i Kontroll 8.3, och kryptografi som adresseras i Kontroll 8.24.
  2. Säker kodning enligt beskrivning i Kontroll 8.28.
  3. Säkra konfigurationer som föreskrivs i kontroller 8.9, 8.20, 8.22. Detta kan täcka brandväggar och operativsystem.

Vad bör en testplan innehålla?

När man utformar säkerhetstestplaner bör organisationer ta hänsyn till graden av kritik och karaktären hos det aktuella informationssystemet.

Säkerhetstestplanen bör omfatta följande:

  • Upprättande av ett detaljerat schema för de aktiviteter och de tester som ska genomföras.
  • Ingångar och utgångar som förväntas ske under en given uppsättning förhållanden.
  • Kriterier för att bedöma resultaten.
  • Om så är lämpligt, beslut att vidta åtgärder baserat på resultaten.


klättring

Befria dig från ett berg av kalkylblad

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo


Intern utveckling

När IT-system utvecklas av det interna utvecklingsteamet bör detta team utföra den första säkerhetstestningen för att säkerställa att IT-systemet uppfyller säkerhetskraven.

Denna inledande testning bör sedan följas av en oberoende acceptanstestning i enlighet med kontroll 5.8.

I samband med den interna utvecklingen bör följande beaktas:

  • Genomföra kodgranskningsaktiviteter för att upptäcka och eliminera säkerhetsbrister, inklusive förväntade indata och villkor.
  • Genomför sårbarhetsskanning för att upptäcka osäkra konfigurationer och andra sårbarheter.
  • Genomföra penetrationstester för att upptäcka osäker kod och design.

Outsourcing

Organisationer bör följa en strikt förvärvsprocess när de lägger ut utveckling på entreprenad eller när de köper IT-komponenter från externa parter.

Organisationer bör ingå ett avtal med sina leverantörer och detta avtal bör behandla informationssäkerhetskraven som föreskrivs i Kontroll 5.20.

Dessutom bör organisationer se till att de produkter och tjänster de köper överensstämmer med informationssäkerhetsstandarderna.

Kompletterande vägledning om kontroll 8.29

Organisationer kan skapa flera testmiljöer för att utföra olika tester såsom funktionella, icke-funktionella och prestandatester.

Dessutom kan de skapa virtuella testmiljöer och sedan konfigurera dessa miljöer för att testa IT-systemen i olika operativa inställningar.

Kontroll 8.29 noterar också att effektiv säkerhetstestning kräver att organisationer testar och övervakar testmiljöer, verktyg och teknologier.

Slutligen bör organisationer ta hänsyn till nivån av känslighet och kritik av data när de bestämmer antalet lager av meta-testning.



ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


Ändringar och skillnader från ISO 27002:2013

27002:2022/8.29 ersätter 27002:2013/(14.2.8 och 14.2.9)

Strukturella förändringar

2022-versionen behandlar säker testning under en enda kontroll, 2013-versionen hänvisade till säker testning i två separata kontroller. Systemsäkerhetstestning i kontroll 14.2.8 och systemacceptanstestning i kontroll 14.2.9

Kontroll 8.29 ger mer omfattande krav

Till skillnad från 2013-versionen innehåller 2022-versionen mer detaljerade krav och rekommendationer om följande:

  • Säkerhetstestplan och vad den ska innehålla.
  • Kriterier för säkerhetstestning för egen utveckling av IT-system.
  • Säkerhetstestprocessen och vad den ska innebära.
  • Användning av flera testmiljöer.

2013 års version var mer detaljerad i relation till acceptanstestning

I motsats till 2022-versionen var 2013-versionen mer föreskrivande för systemacceptanstestning. Det inkluderade krav som säkerhetstestning av mottagna komponenter och användning av automatiserade verktyg.

Nya ISO 27002 kontroller

Nya kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.7 NYA Hot intelligens
5.23 NYA Informationssäkerhet för användning av molntjänster
5.30 NYA ICT-beredskap för kontinuitet i verksamheten
7.4 NYA Fysisk säkerhetsövervakning
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.16 NYA Övervakningsaktiviteter
8.23 NYA Webbfiltrering
8.28 NYA Säker kodning
Organisatoriska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.1 05.1.1, 05.1.2 Policyer för informationssäkerhet
5.2 06.1.1 Informationssäkerhetsroller och ansvar
5.3 06.1.2 Uppdelning av arbetsuppgifter
5.4 07.2.1 Ledningsansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med intressegrupper
5.7 NYA Hot intelligens
5.8 06.1.5, 14.1.1 Informationssäkerhet i projektledning
5.9 08.1.1, 08.1.2 Inventering av information och andra tillhörande tillgångar
5.10 08.1.3, 08.2.3 Acceptabel användning av information och andra tillhörande tillgångar
5.11 08.1.4 Återlämnande av tillgångar
5.12 08.2.1 Klassificering av information
5.13 08.2.2 Märkning av information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsöverföring
5.15 09.1.1, 09.1.2 Åtkomstkontroll
5.16 09.2.1 Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformation
5.18 09.2.2, 09.2.5, 09.2.6 Tillträdesrättigheter
5.19 15.1.1 Informationssäkerhet i leverantörsrelationer
5.20 15.1.2 Adressering av informationssäkerhet inom leverantörsavtal
5.21 15.1.3 Hantera informationssäkerhet i IKT-försörjningskedjan
5.22 15.2.1, 15.2.2 Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23 NYA Informationssäkerhet för användning av molntjänster
5.24 16.1.1 Informationssäkerhet incidenthantering planering och förberedelse
5.25 16.1.4 Bedömning och beslut om informationssäkerhetshändelser
5.26 16.1.5 Respons på informationssäkerhetsincidenter
5.27 16.1.6 Lär av informationssäkerhetsincidenter
5.28 16.1.7 Insamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informationssäkerhet vid avbrott
5.30 5.30 ICT-beredskap för kontinuitet i verksamheten
5.31 18.1.1, 18.1.5 Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32 18.1.2 Immateriella rättigheter
5.33 18.1.3 Skydd av register
5.34 18.1.4 Integritet och skydd av PII
5.35 18.2.1 Oberoende granskning av informationssäkerhet
5.36 18.2.2, 18.2.3 Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37 12.1.1 Dokumenterade driftprocedurer
Människor kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
6.1 07.1.1 Screening
6.2 07.1.2 Anställningsvillkor
6.3 07.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning
6.4 07.2.3 Disciplinär process
6.5 07.3.1 Ansvar efter uppsägning eller byte av anställning
6.6 13.2.4 Sekretess- eller sekretessavtal
6.7 06.2.2 Fjärrbearbetning
6.8 16.1.2, 16.1.3 Händelserapportering för informationssäkerhet
Fysiska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
7.1 11.1.1 Fysiska säkerhetsområden
7.2 11.1.2, 11.1.6 Fysiskt inträde
7.3 11.1.3 Säkra kontor, rum och lokaler
7.4 NYA Fysisk säkerhetsövervakning
7.5 11.1.4 Skydd mot fysiska och miljömässiga hot
7.6 11.1.5 Arbeta i säkra områden
7.7 11.2.9 Tydligt skrivbord och tydlig skärm
7.8 11.2.1 Utrustningsplacering och skydd
7.9 11.2.6 Säkerhet av tillgångar utanför lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedia
7.11 11.2.2 Stöd till verktyg
7.12 11.2.3 Kabelsäkerhet
7.13 11.2.4 Utrustningsunderhåll
7.14 11.2.7 Säker kassering eller återanvändning av utrustning
Tekniska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
8.1 06.2.1, 11.2.8 Användarslutpunktsenheter
8.2 09.2.3 Privilegerade åtkomsträttigheter
8.3 09.4.1 Begränsning av informationsåtkomst
8.4 09.4.5 Tillgång till källkod
8.5 09.4.2 Säker autentisering
8.6 12.1.3 Kapacitetshantering
8.7 12.2.1 Skydd mot skadlig programvara
8.8 12.6.1, 18.2.3 Hantering av tekniska sårbarheter
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.13 12.3.1 Säkerhetskopiering av information
8.14 17.2.1 Redundans av informationsbehandlingsanläggningar
8.15 12.4.1, 12.4.2, 12.4.3 Loggning
8.16 NYA Övervakningsaktiviteter
8.17 12.4.4 Klocksynkronisering
8.18 09.4.4 Användning av privilegierade verktygsprogram
8.19 12.5.1, 12.6.2 Installation av programvara på operativsystem
8.20 13.1.1 Nätverkssäkerhet
8.21 13.1.2 Säkerhet för nätverkstjänster
8.22 13.1.3 Segregation av nätverk
8.23 NYA Webbfiltrering
8.24 10.1.1, 10.1.2 Användning av kryptografi
8.25 14.2.1 Säker utvecklingslivscykel
8.26 14.1.2, 14.1.3 Säkerhetskrav för applikationer
8.27 14.2.5 Säker systemarkitektur och tekniska principer
8.28 NYA Säker kodning
8.29 14.2.8, 14.2.9 Säkerhetstestning i utveckling och acceptans
8.30 14.2.7 Outsourcade utveckling
8.31 12.1.4, 14.2.6 Separation av utvecklings-, test- och produktionsmiljöer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Ändra hanteringen
8.33 14.3.1 Testinformation
8.34 12.7.1 Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISMS.online effektiviserar implementeringsprocessen för ISO 27002 genom att tillhandahålla ett sofistikerat molnbaserat ramverk för att dokumentera procedurer och checklistor för informationssäkerhetshanteringssystem för att säkerställa efterlevnad av erkända standarder.

Hör av dig och boka en demo.

Sam Peters

Sam är Chief Product Officer på ISMS.online och leder utvecklingen av alla produktegenskaper och funktionalitet. Sam är expert på många områden av efterlevnad och arbetar med kunder på alla skräddarsydda eller storskaliga projekt.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanel fullglas

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Hösten 2025
Högpresterande, småföretag - hösten 2025 Storbritannien
Regional ledare - Hösten 2025 Europa
Regional ledare - Hösten 2025 EMEA
Regional ledare - Hösten 2025 Storbritannien
Högpresterande - Hösten 2025 Europa Mellanmarknad

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.