Operativ programvare kan i store trekk beskrives som hvilken som helst programvare som virksomheten aktivt bruker for å drive sin drift, til forskjell fra testprogramvare eller utviklingsprosjekter.
Det er svært viktig å sikre at programvare er installert og administrert på et gitt nettverk i henhold til et strengt sett med regler og krav som minimerer risiko, forbedrer effektiviteten og opprettholder sikkerheten innenfor interne og eksterne nettverk og tjenester.
Kontroll 8.19 er en forebyggende kontroll Det opprettholder risiko ved å etablere et sett med regler som styrer installasjon av programvare på operasjonelle systemer.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Sikker konfigurasjon #Applikasjonssikkerhet | #Beskyttelse |
Kontroll 8.19 omhandler tekniske konsepter knyttet til vedlikehold og forvaltning av operative datasystemer. Som sådan bør eierskapet ligge hos IT-sjefen, eller tilsvarende organisatorisk.
For å kunne administrere endringer og installasjoner på nettverket på en sikker måte, bør organisasjoner:
Når det gjelder leverandørlevert programvare (f.eks. programvare som brukes i driften av maskiner eller for en skreddersydd forretningsfunksjon) bør slik programvare alltid holdes i god stand ved å henvise til leverandørens retningslinjer for sikker og sikker drift.
Det er viktig å merke seg at selv der programvare eller programvaremoduler leveres eksternt og administreres (dvs. at organisasjonen ikke er ansvarlig for noen oppdateringer), bør det tas skritt for å sikre at tredjepartsoppdateringer ikke går på akkord med integriteten til organisasjonens nettverk.
Organisasjoner bør unngå å bruke leverandørprogramvare som ikke støttes med mindre det er absolutt nødvendig, og vurdere de tilhørende sikkerhetsrisikoene ved bruk av overflødige applikasjoner i motsetning til en oppgradering til nyere og sikrere systemer.
Hvis en leverandør krever tilgang til en organisasjons nettverk for å utføre en installasjon eller oppdatering, bør aktiviteten overvåkes og valideres i tråd med alle relevante autorisasjonsprosedyrer (se kontroll 5.22).
Programvare bør oppgraderes, installeres og/eller lappes i samsvar med organisasjonens publiserte prosedyrer for endringshåndtering, for å sikre enhetlighet med andre områder av virksomheten.
Når det identifiseres en oppdatering som enten fullstendig eliminerer en sårbarhet (eller en rekke sårbarheter), eller som på noen måte bidrar til å forbedre organisasjonens informasjonssikkerhetsdrift, bør slike endringer nesten alltid brukes (selv om det fortsatt er behov for å vurdere slike endringer på fra sak til sak).
Der det oppstår behov for å bruke åpen kildekode, bør denne alltid være av den nyeste offentlig tilgjengelige versjonen som vedlikeholdes aktivt. Følgelig bør organisasjoner vurdere de iboende risikoene ved å bruke uvedlikeholdt programvare innenfor alle forretningsfunksjoner.
ISO 27002:2022-8.19 erstatter ISO 27002:2003-12.5.1 (Installasjon av programvare på driftssystemer) og 12.6.2 (Restriksjoner på installasjon av programvare).
27002:2022-8.19 er en sammenslåing av de fleste rådene i 27002:2003-12.5.1 og 12.6.2, med flere nøkkelbegreper kort utvidet og med tillegg av noen nye styrende prinsipper:
ISMS.Online er en komplett løsning for implementering av ISO 27002. Det er et nettbasert system som lar deg vise at ditt styringssystem for informasjonssikkerhet (ISMS) er i samsvar med de godkjente standardene ved hjelp av gjennomtenkte prosesser, prosedyrer og sjekklister.
Det er ikke bare en brukervennlig plattform for å administrere din ISO 27002-implementering, men også et utmerket verktøy for opplæring av personalet i beste praksis og prosesser for informasjonssikkerhet, samt dokumentere all innsats.
Fordelene ved å bruke ISMS.Online:
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |