På 90-tallet pleide bedrifter å utføre sikkerhetstester for programvareprodukter og systemer kun under testfasen, i sluttfasen av livssyklusen for programvareutvikling.
Som et resultat klarte de ofte ikke å oppdage og eliminere kritiske sårbarheter, feil og mangler.
For å identifisere og adressere sikkerhetssårbarheter tidlig, bør organisasjoner legge inn sikkerhetshensyn i alle stadier av utviklingslivssyklusen, fra planlegging til utrullingsstadiet.
Kontroll 8.25 omhandler hvordan organisasjoner kan sette opp og implementere regler for å bygge sikre programvareprodukter og systemer.
Control 8.25 gjør det mulig for organisasjoner å designe informasjonssikkerhetsstandarder og anvende disse standardene gjennom hele livssyklusen for sikker utvikling for programvareprodukter og -systemer.
Kontroll 8.25 er forebyggende ettersom den krever at organisasjoner proaktivt utformer og implementerer regler og kontroller som styrer hele utviklingslivssyklusen for hvert nytt programvareprodukt og system.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Applikasjonssikkerhet #System- og nettverkssikkerhet | #Beskyttelse |
Informasjonssikkerhetssjefen bør være ansvarlig for opprettelse, implementering og vedlikehold av regler og tiltak for å sikre sikkerheten i utviklingslivssyklusen.
Kontroll 8.25 inneholder 10 krav som organisasjoner bør overholde for å bygge sikre programvareprodukter, systemer og arkitektur:
Videre, dersom en organisasjon setter ut visse utviklingsoppgaver til eksterne parter, må den sørge for at den eksterne parten overholder organisasjonens regler og prosedyrer for sikker utvikling av programvare og system.
Kontroll 8.25 bemerker at programvareprodukter, arkitekturer og systemer også kan utvikles i applikasjoner, databaser eller nettlesere.
27002:2022/8.25 replace 27002:2013/(14.2.1)
Totalt sett er det to viktige forskjeller.
Mens 2022-versjonen i stor grad ligner på 2013-versjonen, stiller Control 8.25 to nye krav til organisasjoner:
2013-versjonen sa eksplisitt at kontroll 14.2.1 gjelder både for nyutvikling og for gjenbruk av kode. Kontroll 8.25 refererte derimot ikke til scenarier for gjenbruk av kode.
ISO 27002-implementering er enklere med vår trinnvise sjekkliste som veileder deg gjennom hele prosessen. Din komplette samsvarsløsning for ISO/IEC 27002:2022.
Ta kontakt i dag for å bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |