Säkerställa säkra informationssystem under revisioner: ISO 27002-kontroll 8.34 förklaras
Revisionstester spelar en avgörande roll i att upptäcka och eliminera säkerhetsrisker och sårbarheter i informationssystemen.
Emellertid den revisionsprocessen, oavsett om det utförs i drift-, test- eller utvecklingsmiljöer, kan känslig information utsättas för riskerna för obehörigt avslöjande eller förlust av integritet och tillgänglighet.
Kontroll 8.34 handlar om hur organisationer kan underhålla säkerhet för informationstillgångar under revisionstester.
Syfte med kontroll 8.34
Kontroll 8.34 gör det möjligt för organisationer att eliminera och minska risker för säkerhet för informationssystem och till kontinuiteten i affärsverksamheten genom att upprätta och tillämpa lämpliga åtgärder och kontroller såsom åtkomstbegränsningar och skrivskyddade åtkomstbegränsningar.
Attributtabell för kontroll 8.34
Kontroll 8.34 är förebyggande till sin natur eftersom den kräver högsta ledningen och revisorn att planera och komma överens om revisionsprövningar rutiner, restriktioner och kontroller innan revisioner utförs.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #System- och nätverkssäkerhet | #Styrelse och ekosystem |
| #Integritet | #Informationsskydd | #Skydd | ||
| #Tillgänglighet |
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Äganderätt till kontroll 8.34
Det ledningsgruppen bör ansvara för att planera och komma överens om revisionsförfaranden och att skapa och tillämpa nödvändiga åtgärder.
Allmän vägledning om efterlevnad
Kontroll 8.34 listar åtta specifika krav som organisationer bör beakta:
- Lämplig ledning och revisor bör komma överens om tillgång till system och informationstillgångar.
- Överenskommelse om omfattningen av tekniska revisionstester som ska utföras.
- Organisationer kan endast ge skrivskyddad tillgång till information och programvara. Om det inte är möjligt att använda skrivskyddad teknik kan en administratör med nödvändiga åtkomsträttigheter få åtkomst till system eller data för revisorns räkning.
- Om en åtkomstbegäran är auktoriserad bör organisationer först verifiera att enheter som används för att komma åt system uppfyller säkerhetskraven innan de ger åtkomst.
- Tillgång bör endast ges för isolerade kopior filer som extraherats från systemet. Dessa kopior bör raderas permanent när granskningen är klar, såvida det inte finns en skyldighet att behålla dessa filer. Om skrivskyddad åtkomst är möjlig gäller inte denna kontroll.
- Förfrågningar från revisorer om att utföra speciell bearbetning, såsom att använda revisionsverktyg, bör godkännas av ledningen.
- Om en revision riskerar att påverka systemets tillgänglighet, bör revisionen utföras utanför kontorstid för att upprätthålla tillgängligheten till information.
- Åtkomstförfrågningar gjorda för revisioner bör loggas för revisionsspåret.
Kompletterande vägledning om kontroll 8.34
När revisioner utförs på test- eller utvecklingsmiljöer bör organisationer vara försiktiga mot följande risker:
- Kompromiss med kodens integritet.
- Förlust av konfidentialitet för känslig information.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022/8.34 replaces 27002:2013/(12.7.1)
Även om 2022-versionen i stor utsträckning liknar 2013-versionen, finns det två viktiga skillnader.
ISO 27002:2022-versionen introducerar ett nytt krav
2022-versionen introducerar följande krav som inte hänvisades till i 2013-versionen:
Om en åtkomstbegäran är auktoriserad bör organisationer först verifiera att enheter som används för att komma åt system uppfyller säkerhetskraven innan de ger åtkomst.
2022-versionen adresserar test- och utvecklingsmiljöer
I den kompletterande vägledningen varnar 2022-versionen organisationer mot säkerhetsrisker på grund av revisioner utförda på test- och utvecklingsmiljöer. 2013 års version hänvisade tvärtom inte till test- och utvecklingsmiljöerna.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.
Vår plattform är intuitivt och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer i ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
