ISO 27001:2022 Vedlegg A Kontroll 8.31

Separasjon av utviklings-, test- og produksjonsmiljøer

Bestill en demonstrasjon

team,på,arbeid.,gruppe,unge,bedriftsfolk,i,smarte

Unnlatelse av å skille utviklings-, test- og produksjonsmiljøer nøyaktig kan føre til tap av tilgjengelighet, konfidensialitet og integritet til informasjonsressurser.

For eksempel satte Uber ved en feil opp et kodelager på Github som inkluderte passord fra produksjonsmiljøet deres, og kompromitterte dermed konfidensialiteten til sensitive data.

Organisasjoner bør etablere passende protokoller og forskrifter for å separere utviklings-, test- og produksjonsinnstillinger for å utrydde sikkerhetsfarer.

Formål med ISO 27001:2022 vedlegg A 8.31

ISO 27001: 2022 Vedlegg A 8.31 gjør det lettere for organisasjoner å bevare konfidensialiteten, integriteten og tilgjengeligheten til sensitive informasjonsressurser via passende prosesser, kontroller og forskrifter. Den gjør dette ved å isolere utviklings-, test- og produksjonsmiljøer.

Eierskap til vedlegg A 8.31

De Sjef for informasjonssikkerhet, med bistand fra utviklingsteamet, skal være det endelige ansvaret for å overholde ISO 27001:2022 vedlegg A 8.31, som krever etablering og implementering av organisasjonsomfattende prosesser og kontroller for å skille forskjellige programvaremiljøer.

Gå til emnet

Generell veiledning for ISO 27001:2022 vedlegg A 8.31 Samsvar

Organisasjoner bør vurdere produksjonsspørsmålene som bør unngås når de bestemmer seg for nødvendig grad av separasjon mellom de tre miljøene.

Vedlegg A 8.31 foreslår at organisasjoner husker på syv kriterier:

  1. Segregering av utviklings- og produksjonssystemer til et tilfredsstillende nivå anbefales. For eksempel kan bruk av distinkte virtuelle og fysiske miljøer for produksjon være en levedyktig løsning.

  2. Regler og autorisasjonsprosedyrer skal utarbeides, dokumenteres og implementeres når det gjelder bruk av programvare i produksjonsmiljøet etter at den har gått gjennom utviklingsmiljøet.

  3. Organisasjoner bør evaluere og prøve endringer av applikasjoner og produksjonssystemer i en isolert testsetting, ekskludert fra produksjonsmiljøet, før de implementeres i produksjonsmiljøet.

  4. Ingen testing i produksjonsmiljøer skal utføres med mindre det er nøyaktig definert og autorisert på forhånd.

  5. Utviklingsressurser, som kompilatorer og redaktører, bør ikke være tilgjengelig i produksjonsmiljøer med mindre det er helt avgjørende.

  6. For å redusere feil, bør riktige miljøetiketter være fremtredende i menyene.

  7. Ingen sensitiv informasjonsressurser skal overføres til noen utviklings- eller testsystemer med mindre tilsvarende sikkerhetstiltak er på plass.

Veiledning om beskyttelse av utviklings- og testmiljøer

Organisasjoner bør beskytte utviklings- og testmiljøer mot potensielle sikkerhetsfarer, med tanke på følgende:

  • Sørg for at alle utviklings-, integrasjons- og testverktøy, f.eks. byggherrer, integratorer og biblioteker, blir jevnlig oppdatering og holdes oppdatert.

  • Sørg for at alle systemer og programvare er sikkert konfigurert.

  • Passende kontroller må være på plass for tilgang til miljøer.

  • Endringer i miljøer og deres koder bør overvåkes og gjennomgås.

  • Sikker overvåking og gjennomgang av miljøer bør foretas.

  • Miljøer bør sikres med sikkerhetskopier.

Ingen skal gis rett til å gjøre endringer i både utviklings- og produksjonsmiljøer uten å ha fått godkjenning på forhånd. For å unngå dette kan organisasjoner skille tilgangsrettigheter eller sette på plass og utføre tilgangskontroller.

Organisasjoner kan vurdere ytterligere tekniske kontroller, for eksempel logging av alle tilgangsaktiviteter og overvåking av tilgang til disse miljøene i sanntid.

Supplerende veiledning om vedlegg A 8.31

Hvis organisasjoner ikke tar de nødvendige skritt, kan informasjonssystemene deres bli utsatt for betydelige sikkerhetsfarer.

Utviklere og testere med tilgang til produksjonsmiljøet kan gjøre utilsiktede endringer i filer eller systeminnstillinger, kjøre uautorisert kode eller utilsiktet avsløre sensitive data.

Organisasjoner krever en stabil innstilling for å utføre grundige tester på koden deres, og hindrer utviklere fra å få tilgang til produksjonsmiljøer som lagrer og behandler sensitive data fra den virkelige verden.

Organisasjoner bør tildele spesifikke roller og håndheve separasjon av oppgaver.

Utviklings- og testteamene kan risikere å kompromittere de konfidensielle produksjonsdataene hvis de bruker de samme dataenhetene. Utilsiktede endringer i sensitiv informasjon eller programvare kan bli gjort.

Organisasjoner oppfordres til å sette opp hjelpeprosesser for å bruke produksjonsdata i test- og utviklingssystemer i samsvar med ISO 27001:2022 vedlegg A 8.33.

Organisasjoner bør vurdere tiltakene omtalt i dette vedlegg A Kontroll når de gjennomfører opplæring av sluttbrukere i opplæringsmiljøer.

Til slutt kan organisasjoner skjule grensene mellom utvikling, testing og produksjonsinnstillinger. For eksempel kan testing utføres i et utviklingsmiljø, eller ansatte kan teste produktet ved å faktisk bruke det.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 8.31 erstatter ISO 27001:2013 Vedlegg A 12.1.4 og ISO 27001:2013 Vedlegg A 14.2.6. Denne revisjonen gjør de nødvendige justeringene for å bringe standarden i tråd med gjeldende praksis.

De to versjonene har mye til felles, men to forskjeller er bemerkelsesverdige.

ISO 27001:2013 vedlegg A 14.2.6 Gi mer detaljert veiledning om sikre utviklingsmiljøer

ISO 27001:2013 vedlegg A 14.2.6 omhandler sikre utviklingsmiljøer og skisserer 10 anbefalinger for organisasjoner å vurdere når de bygger et utviklingsmiljø.

Til sammenligning inkluderer ikke ISO 27001:2022 vedlegg A 8.33 visse forslag, som å ha en sikkerhetskopi på et fjerntliggende sted og begrensninger på dataoverføring.

ISO 27001:2022 vedlegg A 8.31 omhandler produkttesting og bruk av produksjonsdata

Sammenlignet med ISO 27001:2013, tilbyr ISO 27001:2022 Annex A 8.31 veiledning om produkttesting og bruk av produksjonsdata i tråd med ISO 27001:2022 Annex A 8.33.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

ISMS.Online gir støtte for hele ISO 27001 implementering, fra risikovurdering til utforming av retningslinjer, prosedyrer og retningslinjer for å følge standarden.

ISMS.Online tilbyr en praktisk tilnærming for å registrere funn og dele dem med kolleger på nettet. Den lar deg videre lage og lagre sjekklister for hver ISO 27001-oppgave, slik at du enkelt kan overvåke organisasjonens sikkerhetsprogram.

Vi gir også organisasjoner et automatisert verktøysett som letter overholdelse av ISO 27001-standarden. Det brukervennlige designet gjør det enkelt å bevise samsvar.

Ta kontakt med oss ​​nå for å arrangere en demonstrasjon.

Vi følte at vi hadde det
det beste fra begge verdenene. Vi var
i stand til å bruke vår
eksisterende prosesser,
& Adopter, Tilpass
innhold ga oss nytt
dybde til vårt ISMS.

Andrew Bud
Grunnlegger legger~~POS=HEADCOMP, iproov

Bestill demoen din

Si hei til ISO 27001 suksess

Få 81 % av arbeidet gjort for deg og bli sertifisert raskere med ISMS.online

Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer