Revisionstester spelar en avgörande roll i att upptäcka och eliminera säkerhetsrisker och sårbarheter i informationssystemen.
Emellertid den revisionsprocessen, oavsett om det utförs i drift-, test- eller utvecklingsmiljöer, kan känslig information utsättas för riskerna för obehörigt avslöjande eller förlust av integritet och tillgänglighet.
Kontroll 8.34 handlar om hur organisationer kan underhålla säkerhet för informationstillgångar under revisionstester.
Kontroll 8.34 gör det möjligt för organisationer att eliminera och minska risker för säkerhet för informationssystem och till kontinuiteten i affärsverksamheten genom att upprätta och tillämpa lämpliga åtgärder och kontroller såsom åtkomstbegränsningar och skrivskyddade åtkomstbegränsningar.
Kontroll 8.34 är förebyggande till sin natur eftersom den kräver högsta ledningen och revisorn att planera och komma överens om revisionsprövningar rutiner, restriktioner och kontroller innan revisioner utförs.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #System- och nätverkssäkerhet #Informationsskydd | #Styrelse och ekosystem #Skydd |
Det ledningsgruppen bör ansvara för att planera och komma överens om revisionsförfaranden och att skapa och tillämpa nödvändiga åtgärder.
Kontroll 8.34 listar åtta specifika krav som organisationer bör beakta:
När revisioner utförs på test- eller utvecklingsmiljöer bör organisationer vara försiktiga mot följande risker:
27002:2022/8.34 replace 27002:2013/(12.7.1)
Även om 2022-versionen i stor utsträckning liknar 2013-versionen, finns det två viktiga skillnader.
2022-versionen introducerar följande krav som inte hänvisades till i 2013-versionen:
Om en åtkomstbegäran är auktoriserad bör organisationer först verifiera att enheter som används för att komma åt system uppfyller säkerhetskraven innan de ger åtkomst.
I den kompletterande vägledningen varnar 2022-versionen organisationer mot säkerhetsrisker på grund av revisioner utförda på test- och utvecklingsmiljöer. 2013 års version hänvisade tvärtom inte till test- och utvecklingsmiljöerna.
ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.
Vår plattform är intuitivt och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer i ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
