ISO 27001:2022 Vedlegg A Kontroll 8.29

Sikkerhetstesting i utvikling og aksept

Bestill en demonstrasjon

foto,unge,kolleger,mannskap,jobber,med,ny,oppstart,prosjekt,in

Cyberkriminelle utarbeider kontinuerlig nye metoder og forbedrer taktikken deres for å bryte bedriftsnettverk og få tilgang til konfidensielle data.

Cyberkriminelle kan utnytte en feil knyttet til autentiseringsprosessen i kildekoden for å bryte nettverk. I tillegg kan de prøve å overtale sluttbrukere på klientsiden til å gjøre ting som vil tillate dem å få tilgang til data, infiltrere nettverk eller utføre løsepengevareangrep.

Hvis en applikasjon, programvare eller IT-system er distribuert med sårbarheter, vil dette sette sensitiv informasjon i fare for å bli kompromittert.

Organisasjoner bør sette opp og utføre en passende sikkerhetstestprosess for å identifisere og adressere eventuelle sårbarheter i IT-systemer før de distribueres til den virkelige verden.

Formål med ISO 27001:2022 vedlegg A 8.29

ISO 27001: 2022 Vedlegg A Kontroll 8.29 lar organisasjoner sikre at alle sikkerhetskrav oppfylles når nye applikasjoner, databaser, programvare eller kode implementeres. Dette gjøres ved å opprette og følge en grundig sikkerhetstesting.

Organisasjoner kan identifisere og fjerne potensielle svakheter i deres kode, nettverk, servere, applikasjoner og andre IT-systemer før implementering i den virkelige verden.

Eierskap til vedlegg A 8.29

De Informasjonssikkerhetsansvarlig bør sikre at ISO 27001:2022 vedlegg A Kontroll 8.29 er oppfylt, som krever etablering, vedlikehold og implementering av en sikkerhetstestingsprosedyre som dekker alle nye informasjonssystemer, uavhengig av om de er opprettet internt eller av tredjeparter.

Gå til emnet
Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

Generell veiledning for ISO 27001:2022 vedlegg A 8.29 Samsvar

Organisasjoner bør inkludere sikkerhetstesting i testprosessen for alle systemer, og garantere at alle nye informasjonssystemer, samt deres nye/oppdaterte versjoner, tilfredsstiller krav til informasjonssikkerhet når de er i produksjonsmiljøet.

ISO 27001:2022 vedlegg A Kontroll 8.29 skisserer tre elementer som essensielle komponenter i sikkerhetstesting:

  1. Sikre sikkerhet gjennom brukerautentisering i henhold til ISO 27001:2022 vedlegg A 8.5, tilgangsbegrensning i henhold til ISO 27001:2022 vedlegg A 8.3, og kryptografi i henhold til ISO 27001:2022 vedlegg A 8.24.

  2. Sørg for at koden er sikkert skrevet i samsvar med ISO 27001:2022 vedlegg A 8.28.

  3. Sørg for at konfigurasjoner oppfyller kravene skissert i vedlegg A 8.9, 8.20 og 8.22, som kan involvere brannmurer og operativsystemer.

Hva bør en testplan inneholde?

Når organisasjoner utarbeider sikkerhetstestplaner, bør organisasjoner vurdere nødvendigheten og karakteren til informasjonssystemet som er involvert.

Denne sikkerhetstestingsplanen bør inneholde følgende elementer:

  • Lag en omfattende agenda for foretakene og testene som skal gjennomføres.

  • Forventede utfall når visse betingelser er oppfylt inkluderer både input og output.

  • Kriterier for vurdering av utfall må fastsettes.

  • Når resultatene er oppnådd, kan det tas beslutninger om hva som skal iverksettes.

Intern utvikling

Det interne utviklingsteamet bør gjennomføre den første sikkerhetstestingen for å garantere at IT-systemet overholder sikkerhetsspesifikasjonene.

En første runde med testing bør gjennomføres, etterfulgt av uavhengig aksepttesting i tråd med ISO 27001:2022 vedlegg A 5.8.

Når det gjelder egenutvikling, bør følgende tas i betraktning:

  • Gjennomføre kodegjennomganger for å identifisere og adressere sikkerhetsproblemer, inkludert forventede inndata og situasjoner.

  • Utføre sårbarhetsskanninger for å identifisere usikre innstillinger og andre potensielle svakheter.

  • Utføre penetrasjonstester for å identifisere svak koding og design.

Outsourcing

Organisasjoner bør følge en streng anskaffelsesprosedyre når de delegerer utvikling eller kjøpe IT-elementer fra eksterne kilder.

Organisasjoner bør inngå en kontrakt med sine leverandører som oppfyller informasjonssikkerhetskriteriene fastsatt i ISO 27001:2022 vedlegg A 5.20.

Organisasjoner bør garantere at varene og tjenestene de anskaffer er i tråd med sikkerhetsstandardene for informasjonssikkerhet.

Supplerende veiledning om ISO 27001:2022 vedlegg A 8.29

Organisasjoner kan generere flere testmiljøer for å gjennomføre en rekke tester, inkludert funksjonelle, ikke-funksjonelle og ytelsesmessige. De kan lage virtuelle testmiljøer, konfigurere dem til å teste IT-systemer i forskjellige driftsinnstillinger, og avgrense dem deretter.

Vedlegg A 8.29 understreker behovet for effektiv sikkerhetstesting, noe som gjør at organisasjoner må teste og overvåke testmiljøene, verktøyene og teknologiene.

Organisasjoner bør vurdere nivået av følsomhet og viktighet når de bestemmer hvor mange lag med meta-testing som skal brukes.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.29 erstatter ISO 27001:2013 Vedlegg A 14.2.8 og 14.2.9 i den nyeste revisjonen.

Strukturelle endringer

ISO 27001: 2022 konsoliderer sikker testing i én kontroll, i motsetning til ISO 27001:2013, som refererte til sikker testing i to forskjellige kontroller; Systemsikkerhetstesting (vedlegg A 14.2.8) og systemaksepttesting (vedlegg A 14.2.9).

ISO 27001:2022 vedlegg A 8.29 gir mer omfattende krav

I motsetning til ISO 27001:2013 inneholder ISO 27001:2022-revisjonen mer omfattende krav og råd om:

  • En sikkerhetstestingsplan som bør inneholde en rekke elementer.

  • Kriterier for vurdering av sikkerhet ved egenutvikling av IT-systemer.

  • Hva bør inkluderes i sikkerhetstestingsprosessen.

  • Det er viktig å bruke flere testmiljøer. Det sikrer grundighet og nøyaktighet i prosessen.

ISO 27001:2013 var mer detaljert i forhold til aksepttesting

I motsetning til ISO 27001:2022 var ISO 27001:2013 mer detaljert angående systemaksepttesting. Det inkluderte sikkerhetstesting for innkommende komponenter og bruk av automatiserte verktøy.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.online forenkler implementeringsprosessen for ISO 27001:2022 gjennom et sofistikert skybasert rammeverk, som gir dokumentasjon av prosesser og sjekklister for informasjonssikkerhetsstyring for å sikre kompatibilitet med aksepterte standarder.

Kontakt oss for å arrangere en demonstrasjon.

Se vår plattform
i aksjon

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Metode for sikrede resultater
100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer