Ändringar av informationssystem som att byta ut en nätverksenhet, skapa en ny databasinstans eller uppgradera programvara är ofta nödvändiga för förbättrad prestanda, minskade kostnader och högre effektivitet.
Dessa ändringar av informationsbehandlingsanläggningar och system kan dock, om de inte implementeras på rätt sätt, leda till att informationstillgångar som lagras i eller bearbetas av dessa anläggningar äventyras.
Kontroll 8.32 behandlar hur organisationer kan upprätta och tillämpa förändringshanteringsprocedurer för att övervaka, granska och kontrollera ändringar som görs i informationsbehandlingsanläggningarna och systemen.
Kontroll 8.32 gör det möjligt för organisationer att upprätthålla säkerheten för informationstillgångar när de utför ändringar i informationsbehandlingsanläggningarna och systemen genom att upprätta, implementera och hantera regler och procedurer för förändringshantering.
Kontroll 8.32 är förebyggande till sin natur. Det kräver att organisationer definierar, dokumenterar, specificerar och upprätthåller förändringskontrollprocesser som styr hela livscykeln för informationssystem, från den första designen till implementeringen och användningen.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Applikationssäkerhet #System- och nätverkssäkerhet | #Skydd |
Med tanke på att överensstämmelse med kontroll 8.32 innebär inrättande och upprätthållande av förfaranden för förändringskontroll som gäller alla stadier i informationssystemens livscykel, bör chefer för informationssäkerhet, med stöd av domänexperter, ansvara för att utforma och tillämpa dessa förfaranden.
Alla större förändringar av informationssystem och införandet av nya system bör omfattas av en överenskommen uppsättning regler och förfaranden. Dessa ändringar bör formellt specificeras och dokumenteras. Dessutom bör de gå igenom testnings- och kvalitetskontrollprocesserna.
För att säkerställa att alla ändringar överensstämmer med reglerna och standarderna för förändringskontroll bör organisationer tilldela ledningsansvar till lämplig ledning och fastställa nödvändiga rutiner.
Kontroll 8.32 listar nio element som bör inkluderas i ändringshanteringsproceduren:
Slutligen bör det noteras att organisationer bör integrera förändringskontrollprocedurer för programvara och IKT-infrastruktur i största möjliga utsträckning.
Ändringar av produktionsmiljöer som operativsystem och databaser kan äventyra integriteten och tillgängligheten av applikationer, särskilt överföringen av programvara från utvecklings- till produktionsmiljön.
En annan risk som organisationer bör vara försiktiga med är att byta mjukvara i produktionsmiljön kan få oavsiktliga konsekvenser.
För att förhindra dessa risker bör organisationer utföra tester på IKT-komponenter i en miljö isolerad från utvecklings- och produktionsmiljöer.
Detta kommer att göra det möjligt för organisationer att ha större kontroll över ny programvara och kommer att ge ett extra lager av skydd för verkliga data som används för teständamål. Detta extra skydd kan uppnås via patchar och service pack.
27002:2022/8.32 ersätter 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)
Sammantaget var 2013 års version mer föreskrivande jämfört med 2022 års version när det gäller kraven på rutiner för förändringskontroll.
Det finns tre viktiga skillnader att lyfta fram mellan de två versionerna.
Både versionen 27002:2022 och 27002:2013 listar vad ett "ändringsförfarande" bör omfatta på ett icke uttömmande sätt.
2013 års version innehöll dock följande element som inte hänvisades till i 2022 års version:
Kontroll 14.2.3 i version 27002:2013 handlade om hur organisationer kan minimera negativa effekter på och störningar i affärsverksamheten när förändringar görs i operativsystem.
Versionen 27002:2022 innehåller däremot inte krav på sådana ändringar.
Kontroll 14.2.4 i versionen 27002:2013 adresserade "Ändringar av programvarupaket". Tvärtom innehåller versionen 27002:2022 inga krav på sådana ändringar.
Vår molnbaserade plattform ger dig ett robust ramverk av informationssäkerhetskontroller så att du kan checklista din ISMS-process när du går för att säkerställa att den uppfyller kraven för ISO 27000k.
Används på rätt sätt, ISMS. online kan hjälpa dig att uppnå certifiering med ett minimum av tid och resurser.
Hör av dig idag för att boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |