- Se ISO 27002:2022 Kontroll 8.29 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 14.2.8 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 14.2.9 for mer informasjon.
Sikre sikker utvikling: ISO 27001 vedlegg A 8.29 Sikkerhetstesting forklart
Cyberkriminelle utarbeider kontinuerlig nye metoder og forbedrer taktikken deres for å bryte bedriftsnettverk og få tilgang til konfidensielle data.
Cyberkriminelle kan utnytte en feil knyttet til autentiseringsprosessen i kildekoden for å bryte nettverk. I tillegg kan de prøve å overtale sluttbrukere på klientsiden til å gjøre ting som vil tillate dem å få tilgang til data, infiltrere nettverk eller utføre løsepengevareangrep.
Hvis en applikasjon, programvare eller IT-system er distribuert med sårbarheter, vil dette sette sensitiv informasjon i fare for å bli kompromittert.
Organisasjoner bør sette opp og utføre en passende sikkerhetstestprosess for å identifisere og adressere eventuelle sårbarheter i IT-systemer før de distribueres til den virkelige verden.
Formål med ISO 27001:2022 vedlegg A 8.29
ISO 27001: 2022 Vedlegg A Kontroll 8.29 lar organisasjoner sikre at alle sikkerhetskrav oppfylles når nye applikasjoner, databaser, programvare eller kode implementeres. Dette gjøres ved å opprette og følge en grundig sikkerhetstesting.
Organisasjoner kan identifisere og fjerne potensielle svakheter i deres kode, nettverk, servere, applikasjoner og andre IT-systemer før implementering i den virkelige verden.
Eierskap til vedlegg A 8.29
Ocuco Informasjonssikkerhetsansvarlig bør sikre at ISO 27001:2022 vedlegg A Kontroll 8.29 er oppfylt, som krever etablering, vedlikehold og implementering av en sikkerhetstestingsprosedyre som dekker alle nye informasjonssystemer, uavhengig av om de er opprettet internt eller av tredjeparter.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Generell veiledning for ISO 27001:2022 vedlegg A 8.29 Samsvar
Organisasjoner bør inkludere sikkerhetstesting i testprosessen for alle systemer, og garantere at alle nye informasjonssystemer, samt deres nye/oppdaterte versjoner, tilfredsstiller krav til informasjonssikkerhet når de er i produksjonsmiljøet.
ISO 27001:2022 vedlegg A Kontroll 8.29 skisserer tre elementer som essensielle komponenter i sikkerhetstesting:
- Sikre sikkerhet gjennom brukerautentisering i henhold til ISO 27001:2022 vedlegg A 8.5, tilgangsbegrensning i henhold til ISO 27001:2022 vedlegg A 8.3, og kryptografi i henhold til ISO 27001:2022 vedlegg A 8.24.
- Sørg for at koden er sikkert skrevet i samsvar med ISO 27001:2022 vedlegg A 8.28.
- Sørg for at konfigurasjoner oppfyller kravene skissert i vedlegg A 8.9, 8.20 og 8.22, som kan involvere brannmurer og operativsystemer.
Hva bør en testplan inneholde?
Når organisasjoner utarbeider sikkerhetstestplaner, bør organisasjoner vurdere nødvendigheten og karakteren til informasjonssystemet som er involvert.
Denne sikkerhetstestingsplanen bør inneholde følgende elementer:
- Lag en omfattende agenda for foretakene og testene som skal gjennomføres.
- Forventede utfall når visse betingelser er oppfylt inkluderer både input og output.
- Kriterier for vurdering av utfall må fastsettes.
- Når resultatene er oppnådd, kan det tas beslutninger om hva som skal iverksettes.
Intern utvikling
Det interne utviklingsteamet bør gjennomføre den første sikkerhetstestingen for å garantere at IT-systemet overholder sikkerhetsspesifikasjonene.
En første runde med testing bør gjennomføres, etterfulgt av uavhengig aksepttesting i tråd med ISO 27001:2022 vedlegg A 5.8.
Når det gjelder egenutvikling, bør følgende tas i betraktning:
- Gjennomføre kodegjennomganger for å identifisere og adressere sikkerhetsproblemer, inkludert forventede inndata og situasjoner.
- Utføre sårbarhetsskanninger for å identifisere usikre innstillinger og andre potensielle svakheter.
- Utføre penetrasjonstester for å identifisere svak koding og design.
Outsourcing
Organisasjoner bør følge en streng anskaffelsesprosedyre når de delegerer utvikling eller kjøpe IT-elementer fra eksterne kilder.
Organisasjoner bør inngå en kontrakt med sine leverandører som oppfyller informasjonssikkerhetskriteriene fastsatt i ISO 27001:2022 vedlegg A 5.20.
Organisasjoner bør garantere at varene og tjenestene de anskaffer er i tråd med sikkerhetsstandardene for informasjonssikkerhet.
Supplerende veiledning om ISO 27001:2022 vedlegg A 8.29
Organisasjoner kan generere flere testmiljøer for å gjennomføre en rekke tester, inkludert funksjonelle, ikke-funksjonelle og ytelsesmessige. De kan lage virtuelle testmiljøer, konfigurere dem til å teste IT-systemer i forskjellige driftsinnstillinger, og avgrense dem deretter.
Vedlegg A 8.29 understreker behovet for effektiv sikkerhetstesting, noe som gjør at organisasjoner må teste og overvåke testmiljøene, verktøyene og teknologiene.
Organisasjoner bør vurdere nivået av følsomhet og viktighet når de bestemmer hvor mange lag med meta-testing som skal brukes.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 8.29 erstatter ISO 27001:2013 Vedlegg A 14.2.8 og 14.2.9 i den nyeste revisjonen.
Strukturelle endringer
ISO 27001: 2022 konsoliderer sikker testing i én kontroll, i motsetning til ISO 27001:2013, som refererte til sikker testing i to forskjellige kontroller; Systemsikkerhetstesting (vedlegg A 14.2.8) og systemaksepttesting (vedlegg A 14.2.9).
ISO 27001:2022 vedlegg A 8.29 gir mer omfattende krav
I motsetning til ISO 27001:2013 inneholder ISO 27001:2022-revisjonen mer omfattende krav og råd om:
- En sikkerhetstestingsplan som bør inneholde en rekke elementer.
- Kriterier for vurdering av sikkerhet ved egenutvikling av IT-systemer.
- Hva bør inkluderes i sikkerhetstestingsprosessen.
- Det er viktig å bruke flere testmiljøer. Det sikrer grundighet og nøyaktighet i prosessen.
ISO 27001:2013 var mer detaljert i forhold til aksepttesting
I motsetning til ISO 27001:2022 var ISO 27001:2013 mer detaljert angående systemaksepttesting. Det inkluderte sikkerhetstesting for innkommende komponenter og bruk av automatiserte verktøy.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvordan ISMS.online Hjelp
ISMS.online forenkler implementeringsprosessen for ISO 27001:2022 gjennom et sofistikert skybasert rammeverk, som gir dokumentasjon av prosesser og sjekklister for informasjonssikkerhetsstyring for å sikre kompatibilitet med aksepterte standarder.
Kontakt oss for å arrangere en demonstrasjon.