- Se ISO 27002:2022 Kontroll 8.31 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 12.1.4 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 14.2.6 for mer informasjon.
ISO 27001 vedlegg A 8.31: Hvorfor det er kritisk å skille utviklings-, test- og produksjonsmiljøer
Unnlatelse av å skille utviklings-, test- og produksjonsmiljøer nøyaktig kan føre til tap av tilgjengelighet, konfidensialitet og integritet til informasjonsressurser.
For eksempel satte Uber ved en feil opp et kodelager på Github som inkluderte passord fra produksjonsmiljøet deres, og kompromitterte dermed konfidensialiteten til sensitive data.
Organisasjoner bør etablere passende protokoller og forskrifter for å separere utviklings-, test- og produksjonsinnstillinger for å utrydde sikkerhetsfarer.
Formål med ISO 27001:2022 vedlegg A 8.31
ISO 27001: 2022 Vedlegg A 8.31 gjør det lettere for organisasjoner å bevare konfidensialiteten, integriteten og tilgjengeligheten til sensitive informasjonsressurser via passende prosesser, kontroller og forskrifter. Den gjør dette ved å isolere utviklings-, test- og produksjonsmiljøer.
Eierskap til vedlegg A 8.31
Ocuco Sjef for informasjonssikkerhet, med bistand fra utviklingsteamet, skal være det endelige ansvaret for å overholde ISO 27001:2022 vedlegg A 8.31, som krever etablering og implementering av organisasjonsomfattende prosesser og kontroller for å skille forskjellige programvaremiljøer.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Generell veiledning for ISO 27001:2022 vedlegg A 8.31 Samsvar
Organisasjoner bør vurdere produksjonsspørsmålene som bør unngås når de bestemmer seg for nødvendig grad av separasjon mellom de tre miljøene.
Vedlegg A 8.31 foreslår at organisasjoner husker på syv kriterier:
- Segregering av utviklings- og produksjonssystemer til et tilfredsstillende nivå anbefales. For eksempel kan bruk av distinkte virtuelle og fysiske miljøer for produksjon være en levedyktig løsning.
- Regler og autorisasjonsprosedyrer skal utarbeides, dokumenteres og implementeres når det gjelder bruk av programvare i produksjonsmiljøet etter at den har gått gjennom utviklingsmiljøet.
- Organisasjoner bør evaluere og prøve endringer av applikasjoner og produksjonssystemer i en isolert testsetting, ekskludert fra produksjonsmiljøet, før de implementeres i produksjonsmiljøet.
- Ingen testing i produksjonsmiljøer skal utføres med mindre det er nøyaktig definert og autorisert på forhånd.
- Utviklingsressurser, som kompilatorer og redaktører, bør ikke være tilgjengelig i produksjonsmiljøer med mindre det er helt avgjørende.
- For å redusere feil, bør riktige miljøetiketter være fremtredende i menyene.
- Ingen sensitiv informasjonsressurser skal overføres til noen utviklings- eller testsystemer med mindre tilsvarende sikkerhetstiltak er på plass.
Veiledning om beskyttelse av utviklings- og testmiljøer
Organisasjoner bør beskytte utviklings- og testmiljøer mot potensielle sikkerhetsfarer, med tanke på følgende:
- Sørg for at alle utviklings-, integrasjons- og testverktøy, f.eks. byggherrer, integratorer og biblioteker, blir jevnlig oppdatering og holdes oppdatert.
- Sørg for at alle systemer og programvare er sikkert konfigurert.
- Passende kontroller må være på plass for tilgang til miljøer.
- Endringer i miljøer og deres koder bør overvåkes og gjennomgås.
- Sikker overvåking og gjennomgang av miljøer bør foretas.
- Miljøer bør sikres med sikkerhetskopier.
Ingen skal gis rett til å gjøre endringer i både utviklings- og produksjonsmiljøer uten å ha fått godkjenning på forhånd. For å unngå dette kan organisasjoner skille tilgangsrettigheter eller sette på plass og utføre tilgangskontroller.
Organisasjoner kan vurdere ytterligere tekniske kontroller, for eksempel logging av alle tilgangsaktiviteter og overvåking av tilgang til disse miljøene i sanntid.
Supplerende veiledning om vedlegg A 8.31
Hvis organisasjoner ikke tar de nødvendige skritt, kan informasjonssystemene deres bli utsatt for betydelige sikkerhetsfarer.
Utviklere og testere med tilgang til produksjonsmiljøet kan gjøre utilsiktede endringer i filer eller systeminnstillinger, kjøre uautorisert kode eller utilsiktet avsløre sensitive data.
Organisasjoner krever en stabil innstilling for å utføre grundige tester på koden deres, og hindrer utviklere fra å få tilgang til produksjonsmiljøer som lagrer og behandler sensitive data fra den virkelige verden.
Organisasjoner bør tildele spesifikke roller og håndheve separasjon av oppgaver.
Utviklings- og testteamene kan risikere å kompromittere de konfidensielle produksjonsdataene hvis de bruker de samme dataenhetene. Utilsiktede endringer i sensitiv informasjon eller programvare kan bli gjort.
Organisasjoner oppfordres til å sette opp hjelpeprosesser for å bruke produksjonsdata i test- og utviklingssystemer i samsvar med ISO 27001:2022 vedlegg A 8.33.
Organisasjoner bør vurdere tiltakene omtalt i dette vedlegg A Kontroll når de gjennomfører opplæring av sluttbrukere i opplæringsmiljøer.
Til slutt kan organisasjoner skjule grensene mellom utvikling, testing og produksjonsinnstillinger. For eksempel kan testing utføres i et utviklingsmiljø, eller ansatte kan teste produktet ved å faktisk bruke det.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 8.31 erstatter ISO 27001:2013 Vedlegg A 12.1.4 og ISO 27001:2013 Vedlegg A 14.2.6. Denne revisjonen gjør de nødvendige justeringene for å bringe standarden i tråd med gjeldende praksis.
De to versjonene har mye til felles, men to forskjeller er bemerkelsesverdige.
ISO 27001:2013 vedlegg A 14.2.6 Gi mer detaljert veiledning om sikre utviklingsmiljøer
ISO 27001:2013 vedlegg A 14.2.6 omhandler sikre utviklingsmiljøer og skisserer 10 anbefalinger for organisasjoner å vurdere når de bygger et utviklingsmiljø.
Til sammenligning inkluderer ikke ISO 27001:2022 vedlegg A 8.33 visse forslag, som å ha en sikkerhetskopi på et fjerntliggende sted og begrensninger på dataoverføring.
ISO 27001:2022 vedlegg A 8.31 omhandler produkttesting og bruk av produksjonsdata
Sammenlignet med ISO 27001:2013, tilbyr ISO 27001:2022 Annex A 8.31 veiledning om produkttesting og bruk av produksjonsdata i tråd med ISO 27001:2022 Annex A 8.33.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvordan ISMS.online Hjelp
ISMS.Online gir støtte for hele ISO 27001 implementering, fra risikovurdering til utforming av retningslinjer, prosedyrer og retningslinjer for å følge standarden.
ISMS.Online tilbyr en praktisk tilnærming for å registrere funn og dele dem med kolleger på nettet. Den lar deg videre lage og lagre sjekklister for hver ISO 27001-oppgave, slik at du enkelt kan overvåke organisasjonens sikkerhetsprogram.
Vi gir også organisasjoner et automatisert verktøysett som letter overholdelse av ISO 27001-standarden. Det brukervennlige designet gjør det enkelt å bevise samsvar.
Ta kontakt med oss nå for å arrangere en demonstrasjon.