I syftena med ISO 27002 , Control 8.4 definierar "källkod" som den underliggande koden, specifikationer och planer som används för att skapa applikationer, program och processer som är organisationens egendom.
När man diskuterar tillgång till källkod lägger Control 8.4 lika stor vikt vid utvecklingsverktyg (kompilatorer, testmiljöer etc).
Att hantera källkod utgör en unik risk till alla organisationer som har behov av att lagra det. Delar av affärskritisk källkod inkluderar produktionsdata, skyddade konfigurationsdetaljer och aspekter av en organisations IP.
Kontroll 8.4 är en förebyggande kontroll den där ändrar risken genom att upprätta en uppsättning underliggande dataåtkomstprinciper (i enlighet med en organisations bredare uppsättning åtkomstkontroller) som styr läs/skrivåtkomst till:
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Identitets- och åtkomsthantering #Applikationssäkerhet #Säker konfiguration | #Skydd |
Kontroll 8.4 handlar om en organisations förmåga att kontrollera åtkomsten till affärskritisk data relaterad till källkod, utvecklingsverktyg och kommersiellt känslig information såsom programvarubibliotek.
Som sådan bör ägandet ligga hos Chief Information Security Officer (eller organisatorisk motsvarande), som innehar ansvar för organisationens övergripande informations- och datasäkerhet praxis.
Control 8.4 förespråkar ett källkodshanteringssystem som gör det möjligt för organisationer att centralt administrera åtkomst till och deras ändring av källkod över dess ICT-område.
Kontroll 8.4 ber organisationer att överväga åtkomst till källkod tillsammans med en uppsättning strikta läs- och/eller skrivbehörigheter, baserat på källkodens natur, varifrån den nås och vem som får åtkomst till den.
När organisationer försöker kontrollera åtkomsten till källkoden bör de:
27002:2022-8.4 replaces 27002:2014-9.4.5 (Tillgång till källkod), och innehåller tre huvudsakliga skillnader i sitt tillvägagångssätt för att etablera ett källkodshanteringssystem (ett koncept som saknas från 27002:2014-9.4.5)
ISMS.Online förenklar genomförandeprocessen ISO 27002 genom att tillhandahålla alla nödvändiga resurser, information och verktyg på ett ställe. Det låter dig skapa ett ISMS med bara några få musklick, vilket annars skulle ta lång tid om det gjordes manuellt.
Vill du se den i aktion?
Hör av dig idag för att boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |