Även om icke-produktionstestmiljöer såsom iscensättningsmiljöer är väsentliga för att bygga högkvalitativa mjukvaruprodukter och applikationer fria från buggar eller fel, utsätter användningen av riktiga data och bristen på säkerhetsåtgärder i dessa miljöer informationstillgångar för ökade risker.
Till exempel kan utvecklare använda användaruppgifter som är lätta att komma ihåg (t.ex. "admin" för både användarnamn och lösenord) för att testa miljöer där känsliga datatillgångar lagras.
Detta kan utnyttjas av cyberangripare för att få enkel tillgång till testmiljöer och stjäla känslig informationstillgångar.
Därför bör organisationer införa lämpliga kontroller och procedurer för att skydda verkliga data som används för testning.
Kontroll 8.33 gör det möjligt för organisationer att uppnå två syften:
Kontroll 8.33 är en förebyggande typ av kontroll som kräver att organisationer väljer och skyddar den mest lämpliga informationen för teststadiet för att upprätthålla informationens konfidentialitet och integritet.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet | #Skydda | #Informationsskydd | #Skydd |
Med tanke på att Kontroll 8.33 innebär val, skydd och hantering av den mest lämpliga testinformationen som ska användas för testning, bör informationssäkerhetsansvariga, i samarbete med utvecklingsteamet, vara ytterst ansvariga för att upprätta lämpliga kontroller och procedurer.
Organisationer bör inte använda känslig information, inklusive personuppgifter, i utvecklings- och testmiljöer.
För att skydda testinformationen mot förlust av konfidentialitet och integritet bör organisationer följa följande:
Dessutom bör organisationer vidta lämpliga åtgärder för att säkerställa säker lagring av informationstillgångar.
Det noteras att system- och acceptanstestning kan kräva en enorm mängd testinformation, motsvarande driftinformation.
27002:2022/8.33 replace 27002:2013/(14.3.1)
Även om 2022-versionen i stor utsträckning liknar 2013-versionen, introducerar 2022-versionen följande krav:
Versionen 27002:2013 innehöll däremot inte detta krav.
ISMS.online är en molnbaserad lösning som hjälper företag att visa efterlevnad av ISO 27002. ISMS.online-lösningen kan användas för att hantera kraven i ISO 27002 och säkerställa att din organisation förblir kompatibel med den nya standarden.
ISO 27002-standarden har uppdaterats för att återspegla de växande cyberhoten vi möter som samhälle. Den nuvarande standarden publicerades första gången 2005 och reviderades 2013 för att återspegla förändringar i teknik, regelverk och industristandarder. Den nya versionen av ISO 27002 innehåller dessa uppdateringar i ett dokument, samt lägger till nya krav för organisationer för att hjälpa dem att bättre skydda sina datatillgångar från cyberattacker.
ISMS.online-lösningen hjälper organisationer att implementera ISO 27002:2022 genom att tillhandahålla ett lättanvänt ramverk för att dokumentera policyer och procedurer för informationssäkerhet. Det ger också en centraliserad plats där du kan lagra all din efterlevnadsdokumentation så att den lätt kan nås av olika intressenter i företaget (t.ex. HR, IT).
Vår plattform är användarvänlig och okomplicerad. Det är inte bara för mycket tekniska individer; det är för alla i ditt företag.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
