ISO 27001:2022 Vedlegg A Kontroll 8.26

Programsikkerhetskrav

Bestill en demonstrasjon

kulturell, blanding, av, unge, mennesker, som jobber, i, et, selskap

Applikasjonsprogramvare som nettapper, grafikkprogrammer, databaser og betalingsbehandling er avgjørende for mange forretningsoperasjoner.

Applikasjoner er ofte sårbare for sikkerhetsproblemer som kan føre til eksponering av konfidensielle data.

Som et eksempel, unnlot det amerikanske kredittbyrået Equifax å bruke en sikkerhetsoppdatering på nettapplikasjonsrammeverket de brukte for å behandle kundeklager. Denne forsømmelsen gjorde det mulig for cyberangripere å utnytte sikkerhetssvakhetene til nettapplikasjonen, infiltrere Equifax sine bedriftsnettverk og stjele sensitiv informasjon fra rundt 145 millioner mennesker.

ISO 27001:2022 vedlegg A 8.26 skisserer hvordan organisasjoner kan implementere og implementere informasjonssikkerhet krav til applikasjoner under utvikling, bruk og anskaffelse. Det sikrer at sikkerhetstiltak er integrert i livssyklusen til applikasjoner.

Formål med ISO 27001:2022 vedlegg A 8.26

ISO 27001: 2022 Vedlegg A 8.26 tillater organisasjoner å forsvare sine dataressurser lagret på eller behandlet av applikasjoner gjennom gjenkjennelse og anvendelse av passende informasjonssikkerhetsspesifikasjoner.

Eierskap til vedlegg A 8.26

De Sjef for informasjonssikkerhet, støttet av informasjonssikkerhetseksperter, bør påta seg identifisering, godkjenning og implementering av informasjonskrav knyttet til anskaffelse, bruk og utvikling av applikasjoner.

Gå til emnet

Generell veiledning for ISO 27001:2022 vedlegg A 8.26 Samsvar

Organisasjoner bør gjennomføre en risikovurdering for å etablere nødvendige informasjonssikkerhetskrav for en bestemt applikasjon.

Innhold og typer informasjonssikkerhetskrav kan variere avhengig av applikasjonen, men disse bør dekke:

  • Basert på ISO 27001:2022 vedlegg A 5.17, 8.2 og 8.5, tillitsnivået som er tildelt en spesifikk enhets identitet.

  • Klassifisering av informasjonsmidlene som skal lagres eller håndteres av programvaren må identifiseres.

  • Er det nødvendig å skille tilgang til funksjoner og data som er lagret på appen.

  • Vurder om applikasjonen er robust mot cyberpenetrasjoner som SQL-injeksjoner eller utilsiktede avlyttinger som bufferoverflyt.

  • Juridisk må regulatoriske og lovpålagte krav og standarder oppfylles når man håndterer transaksjoner behandlet, generert, lagret eller fullført av appen.

  • Personvern er av største betydning for alle involverte.

  • Det er viktig å sikre at konfidensielle data ivaretas.

  • Det er viktig å sikre sikkerheten til informasjon når den brukes, overføres eller lagres.

  • Det er viktig at alle relevante parter har sikker kryptering av kommunikasjonen deres hvis nødvendig.

  • Implementering av inndatakontroller, som å validere inndata og utføre integritetskontroller, garanterer nøyaktighet.

  • Utføre automatiserte kontroller.

  • Sikre at tilgangsrettigheter, samt hvem som kan se utdata, tas i betraktning for utdatakontroll.

  • Det er viktig å pålegge grenser for hva som kan inkluderes i "fritekst"-felt for å beskytte mot utilsiktet distribusjon av konfidensiell informasjon.

  • Regulatoriske krav, for eksempel de som styrer logging av transaksjoner og ikke-avvisning.

  • Andre sikkerhetskontroller kan kreve overholdelse av spesifikke krav; for eksempel datalekkasjedeteksjonssystemer.

  • Hvordan organisasjonen din håndterer feilmeldinger.

Veiledning om transaksjonstjenester

ISO 27001:2022 vedlegg A 8.26 krever at organisasjoner vurderer følgende syv anbefalinger når de tilbyr transaksjonstjenester mellom seg selv og en partner:

  • Graden av tro hver part trenger å ha på den andres identitet er avgjørende i enhver transaksjon.

  • Troverdigheten til data som sendes eller behandles må sikres, og et egnet system for å gjenkjenne eventuelle integritetsmangler, inkludert hashing og digitale signaturer, må identifiseres.

  • Selskapet må sette opp et system for å bestemme hvem som er autorisert til å godkjenne, signere og signere på kritiske transaksjonsdokumenter.

  • Sikre hemmelighold og nøyaktighet av viktige dokumenter, og verifisere overføring og mottak av nevnte dokumenter.

  • Ivaretakelse av konfidensialitet og nøyaktighet av transaksjoner, kan dette være bestillinger og fakturaer.

  • Krav til hvordan transaksjoner skal forbli konfidensielle i en spesifisert tidsperiode.

  • Kontraktsforpliktelser og forsikringskrav må oppfylles.

Veiledning om elektroniske bestillings- og betalingsapplikasjoner

Organisasjoner bør vurdere følgende når de integrerer betalings- og elektroniske bestillingsmuligheter i applikasjoner:

  • Det er viktig å sikre konfidensialitet og integritet til ordreinformasjon.

  • Etablere et passende nivå av bekreftelse for bekreftelse av betalingsinformasjonen gitt av en kunde.

  • Unngå feilplassering eller replikering av transaksjonsdata.

  • Sørg for at informasjon knyttet til informasjon holdes unna et offentlig tilgjengelig område, f.eks. et lagringsmedium som befinner seg på organisasjonens intranett.

  • Når en organisasjon er avhengig av en ekstern myndighet for å utstede digitale signaturer, må den sørge for at sikkerheten er integrert gjennom hele prosessen.

Veiledning om nettverk

Når applikasjoner åpnes via nettverk, kan de bli utsatt for kontraktsmessige uenigheter, uredelig oppførsel, feilføring, ikke-godkjente endringer av innholdet i kommunikasjonen eller konfidensialiteten til sensitive data kan bli brutt.

ISO 27001:2022 vedlegg A 8.26 råder organisasjoner til å gjennomføre grundige risikovurderinger for å identifisere passende kontroller, for eksempel kryptografi, for å beskytte sikkerheten til informasjonsoverføringer.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.26 erstatter ISO 27001:2013 vedlegg A 14.1.2 og 14.1.3 i den reviderte 2022-standarden.

Det er tre store forskjeller mellom de to versjonene.

Alle applikasjoner vs applikasjoner som går gjennom offentlige nettverk

ISO 27001:2013 skisserer en liste over informasjonssikkerhetskrav som skal tas i betraktning for applikasjoner som skal overføres via offentlige nettverk.

ISO 27001:2022 vedlegg A 8.26, derimot, gir en liste over informasjonssikkerhetskrav som gjelder for alle applikasjoner.

Ytterligere veiledning om elektroniske bestillings- og betalingsapplikasjoner

ISO 27001:2022 vedlegg A 8.26 gir spesifikk veiledning om elektroniske bestillings- og betalingsapplikasjoner, noe som ikke ble behandlet i 2013-versjonen.

Krav til transaksjonstjenester

Mens 2022-utgaven og 2013-utgaven er nesten like når det gjelder forutsetninger for transaksjonstjenester, introduserer 2022-utgaven et ekstra krav som ikke er vurdert i 2013-utgaven:

  • Organisasjoner bør huske på kontraktsmessige forpliktelser og forsikringsbestemmelser.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.online er et skybasert system som hjelper organisasjoner med å demonstrere samsvar med ISO 27001:2022. Dette systemet kan brukes til å overvåke ISO 27001-kravene, for å sikre at organisasjonen din forblir i samsvar med standarden.

Vår plattformen er brukervennlig og tilgjengelig for alle. Det krever ikke komplisert teknisk kunnskap; alle i virksomheten din kan bruke den.

Kontakt oss nå for å planlegge en demonstrasjon.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Si hei til ISO 27001 suksess

Få 81 % av arbeidet gjort for deg og bli sertifisert raskere med ISMS.online

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer