Hopp til innhold
ISMS.online

ISO 27002:2022 – Kontroll 8.26 – Applikasjonssikkerhetskrav

ISO 27002:2022 Kontroll 8.26 skisserer sikkerhetskrav for applikasjonsutvikling, anskaffelse og bruk, og sikrer databeskyttelse, tilgangskontroll, motstandsdyktighet mot angrep og overholdelse av regelverk for å beskytte informasjonsressurser.

Forfatter
Sam Peters
Oppdatert juli 25, 2025
4/5 stjerner

Forstå ISO 27002 Control 8.26: Applikasjonssikkerhetskrav

Applikasjonsprogrammer som webapplikasjoner, grafikkprogramvare, databaseprogramvare og betalingsbehandlingsprogramvare er avgjørende for mange kritiske forretningsoperasjoner.

Imidlertid er disse applikasjonene ofte utsatt for sikkerhetssårbarheter som kan føre til kompromittering av sensitiv informasjon.

For eksempel klarte ikke Equifax, et USA-basert kredittbyrå, å bruke en sikkerhetsoppdatering på et nettstedsapplikasjonsrammeverk som ble brukt til å håndtere kundeklager. Cyberangriperne brukte sikkerhetsproblemer i nettapplikasjonen for å infiltrere Equifax sine bedriftsnettverk og stjal sensitive data til rundt 145 millioner mennesker.

Kontroll 8.26 tar for seg hvordan organisasjoner kan etablere og anvende krav til informasjonssikkerhet for utvikling, bruk og anskaffelse av applikasjoner.

Formål med kontroll 8.26

Kontroll 8.26 gjør det mulig for organisasjoner å beskytte informasjonsressurser som er lagret på eller behandlet gjennom applikasjoner ved å identifisere og anvende passende informasjonssikkerhetskrav.

Attributttabell for kontroll 8.26

Kontroll 8.26 er en forebyggende type kontroll som forhindrer risiko for integriteten, tilgjengeligheten og konfidensialiteten til informasjonsmidler som er lagret på applikasjonen, ved bruk av passende informasjonssikkerhetstiltak.

Kontrolltype Informasjonssikkerhetsegenskaper Konsepter for cybersikkerhet Operasjonelle evner Sikkerhetsdomener
#Forebyggende #Konfidensialitet #Beskytte #Applikasjonssikkerhet #Beskyttelse
#Integritet #System- og nettverkssikkerhet #Forsvar
#Tilgjengelighet


ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Et forsprang på 81 % fra dag én

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG


Eierskap til kontroll 8.26

Chief Information Security Officer, med støtte fra informasjonssikkerhetsspesialister, bør være ansvarlig for identifisering, godkjenning og implementering av informasjonskrav for anskaffelse, bruk og utvikling av applikasjoner.

Generell veiledning om samsvar

Generell veiledning bemerker at organisasjoner bør gjennomføre en risikovurdering for å bestemme typen informasjonssikkerhetskrav passende for en bestemt applikasjon.

Mens innholdet og typene av krav til informasjonssikkerhet kan variere avhengig av søknadens art, kravene bør dekke følgende:

  • Graden av tillit som er tildelt identiteten til spesifikke enheter i samsvar med kontroll 5.17, 8.2 og 8.5.
  • Identifikasjon av klassifiseringsnivå tilordnet informasjonsmidler skal lagres på eller behandles av applikasjonen.
  • Hvorvidt det er behov for å skille tilgangen til funksjoner og informasjon som er lagret på applikasjonen.
  • Om applikasjonen er motstandsdyktig mot cyberangrep som SQL-injeksjoner eller utilsiktede avlyttinger som bufferoverløp.
  • Juridiske, regulatoriske og lovpålagte krav og standarder som gjelder for transaksjonen som behandles, genereres, lagres eller fullføres av applikasjonen.
  • Personvernhensyn for alle involverte parter.
  • Krav til beskyttelse av konfidensielle data.
  • Beskyttelse av informasjon når den er i bruk, under transport eller i hvile.
  • Enten sikker kryptering av kommunikasjon mellom alle relevante parter er nødvendig.
  • Implementering av inputkontroller som inputvalidering eller utførelse av integritetssjekker.
  • Utføre automatiserte kontroller.
  • Utføre utdatakontroller, tar hensyn til hvem som kan se utdata og autorisasjonen for Access.
  • Behov for å pålegge begrensninger på innholdet i "fritekst"-felt for å beskytte spredning av konfidensielle data på en ukontrollerbar måte.
  • Krav som oppstår som følge av forretningsbehov som logging av transaksjoner og krav om ikke-avvisning.
  • Krav pålagt av andre sikkerhetskontroller som for eksempel datalekkasjedeteksjonssystemer.
  • Hvordan håndtere feilmeldinger.


klatring

Frigjør deg fra et fjell av regneark

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din


Supplerende veiledning om transaksjonstjenester

Kontroll 8.26 krever at organisasjoner tar hensyn til følgende syv anbefalinger når en applikasjon tilbyr transaksjonstjenester mellom organisasjonen og en partner:

  • Graden av tillit hver part i transaksjonen krever i den andre partens identitet.
  • Graden av tillit som kreves i integriteten til data som kommuniseres eller behandles og identifisering av en riktig mekanisme for å oppdage eventuell mangel på integritet, inkludert verktøy som hashing og digitale signaturer.
  • Etablering av en autorisasjonsprosess for hvem som har lov til å godkjenne innholdet i, signere eller signere viktige transaksjonsdokumenter.
  • Opprettholde konfidensialiteten og integriteten til de kritiske dokumentene og bevise sending og mottak av slike dokumenter.
  • Beskytte og opprettholde integriteten og konfidensialiteten til alle transaksjoner som bestillinger og kvitteringer.
  • Krav for hvilken tidsperiode transaksjoner skal holdes konfidensielle.
  • Kontraktsmessige krav og krav knyttet til forsikring.

Supplerende veiledning om elektroniske bestillings- og betalingsapplikasjoner

Når applikasjoner inkluderer betalings- og elektronisk bestillingsfunksjonalitet, bør organisasjoner ta hensyn til følgende:

  • Krav sikrer at konfidensialitet og integritet til ordreinformasjon ikke kompromitteres.
  • Bestemme en passende grad av bekreftelse for å verifisere betalingsdetaljene oppgitt av en kunde.
  • Forhindre tap eller duplisering av transaksjonsinformasjon.
  • Sørge for at informasjon knyttet til informasjon lagres utenfor et offentlig tilgjengelig miljø, for eksempel på et lagringsmedium som ligger på organisasjonens eget intranett.
  • Der organisasjoner er avhengige av en pålitelig ekstern myndighet, for eksempel for utstedelse av digitale signaturer, må de sørge for at sikkerheten er integrert i hele prosessen.

Supplerende veiledning om nettverk

Når applikasjoner åpnes via nettverk, er de sårbare for trusler som kontraktstvister, uredelige aktiviteter, feilruting, uautoriserte endringer i innholdet i kommunikasjon eller tap av konfidensialitet for sensitiv informasjon.

Kontroll 8.26 anbefaler at organisasjoner utfører omfattende risikovurderinger for å identifisere passende kontroller som bruk av kryptografi for å sikre sikkerheten ved informasjonsoverføringer.



ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Administrer all samsvarskontroll, alt på ett sted

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din


Endringer og forskjeller fra ISO 27002:2013

27002:2022/8.26 erstatte 27002:2013/(14.1.2 og 14.1.3)

Det er tre store forskjeller mellom de to versjonene.

Alle applikasjoner vs applikasjoner som går gjennom offentlige nettverk

ISO 27002:2013-versjonen listet ikke opp krav som gjelder for alle applikasjoner: Den ga en liste over informasjonssikkerhetskrav som bør vurderes for applikasjoner som går gjennom offentlige nettverk.

Kontroller 8.26 i 2022-versjonentvert imot, ga en liste over informasjonssikkerhetskrav som gjelder for alle applikasjoner.

Ytterligere veiledning om elektroniske bestillings- og betalingsapplikasjoner

Kontroll 8.26 i 2022-versjonen inneholder spesifikk veiledning om Elektroniske bestillings- og betalingsapplikasjoner. I motsetning til dette tok ikke 2013-versjonen opp dette.

Ytterligere krav til transaksjonstjenester

Mens 2022-versjonen og 2013-versjonen er nesten identiske når det gjelder kravene til transaksjonstjenester, introduserer 2022-versjonen et tilleggskrav som ikke er adressert i 2013-versjonen:

  • Organisasjoner bør vurdere kontraktsmessige krav og krav knyttet til forsikring.

Nye ISO 27002 kontroller

Nye kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.7 NEW Trusselintelligens
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.30 NEW IKT-beredskap for forretningskontinuitet
7.4 NEW Fysisk sikkerhetsovervåking
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.16 NEW Overvåking av aktiviteter
8.23 NEW Web-filtrering
8.28 NEW Sikker koding
Organisasjonskontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.1 05.1.1, 05.1.2 Retningslinjer for informasjonssikkerhet
5.2 06.1.1 Informasjonssikkerhetsroller og ansvar
5.3 06.1.2 Ansvarsfordeling
5.4 07.2.1 Lederansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med interessegrupper
5.7 NEW Trusselintelligens
5.8 06.1.5, 14.1.1 Informasjonssikkerhet i prosjektledelse
5.9 08.1.1, 08.1.2 Inventar av informasjon og andre tilhørende eiendeler
5.10 08.1.3, 08.2.3 Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11 08.1.4 Retur av eiendeler
5.12 08.2.1 Klassifisering av informasjon
5.13 08.2.2 Merking av informasjon
5.14 13.2.1, 13.2.2, 13.2.3 Informasjonsoverføring
5.15 09.1.1, 09.1.2 Adgangskontroll
5.16 09.2.1 Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformasjon
5.18 09.2.2, 09.2.5, 09.2.6 Tilgangsrettigheter
5.19 15.1.1 Informasjonssikkerhet i leverandørforhold
5.20 15.1.2 Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21 15.1.3 Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22 15.2.1, 15.2.2 Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.24 16.1.1 Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25 16.1.4 Vurdering og beslutning om informasjonssikkerhetshendelser
5.26 16.1.5 Respons på informasjonssikkerhetshendelser
5.27 16.1.6 Lær av informasjonssikkerhetshendelser
5.28 16.1.7 Innsamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informasjonssikkerhet under avbrudd
5.30 5.30 IKT-beredskap for forretningskontinuitet
5.31 18.1.1, 18.1.5 Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32 18.1.2 Immaterielle rettigheter
5.33 18.1.3 Beskyttelse av poster
5.34 18.1.4 Personvern og beskyttelse av PII
5.35 18.2.1 Uavhengig gjennomgang av informasjonssikkerhet
5.36 18.2.2, 18.2.3 Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37 12.1.1 Dokumenterte driftsprosedyrer
Personkontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansettelsen
6.3 07.2.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4 07.2.3 Disiplinær prosess
6.5 07.3.1 Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6 13.2.4 Avtaler om konfidensialitet eller taushetsplikt
6.7 06.2.2 Fjernarbeid
6.8 16.1.2, 16.1.3 Informasjonssikkerhet hendelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
7.1 11.1.1 Fysiske sikkerhetsomkretser
7.2 11.1.2, 11.1.6 Fysisk inngang
7.3 11.1.3 Sikring av kontorer, rom og fasiliteter
7.4 NEW Fysisk sikkerhetsovervåking
7.5 11.1.4 Beskyttelse mot fysiske og miljømessige trusler
7.6 11.1.5 Arbeid i sikre områder
7.7 11.2.9 Oversiktlig skrivebord og oversiktlig skjerm
7.8 11.2.1 Utstyrsplassering og beskyttelse
7.9 11.2.6 Sikkerhet av eiendeler utenfor lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedier
7.11 11.2.2 Støtteverktøy
7.12 11.2.3 Kablingssikkerhet
7.13 11.2.4 Vedlikehold av utstyr
7.14 11.2.7 Sikker avhending eller gjenbruk av utstyr
Teknologiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
8.1 06.2.1, 11.2.8 Brukerendepunktsenheter
8.2 09.2.3 Privilegerte tilgangsrettigheter
8.3 09.4.1 Begrensning av informasjonstilgang
8.4 09.4.5 Tilgang til kildekode
8.5 09.4.2 Sikker autentisering
8.6 12.1.3 Kapasitetsstyring
8.7 12.2.1 Beskyttelse mot skadelig programvare
8.8 12.6.1, 18.2.3 Håndtering av tekniske sårbarheter
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.13 12.3.1 Sikkerhetskopiering av informasjon
8.14 17.2.1 Redundans av informasjonsbehandlingsanlegg
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NEW Overvåking av aktiviteter
8.17 12.4.4 Kloksynkronisering
8.18 09.4.4 Bruk av privilegerte hjelpeprogrammer
8.19 12.5.1, 12.6.2 Installasjon av programvare på operasjonssystemer
8.20 13.1.1 Nettverkssikkerhet
8.21 13.1.2 Sikkerhet for nettverkstjenester
8.22 13.1.3 Segregering av nettverk
8.23 NEW Web-filtrering
8.24 10.1.1, 10.1.2 Bruk av kryptografi
8.25 14.2.1 Sikker utviklingslivssyklus
8.26 14.1.2, 14.1.3 Krav til applikasjonssikkerhet
8.27 14.2.5 Sikker systemarkitektur og tekniske prinsipper
8.28 NEW Sikker koding
8.29 14.2.8, 14.2.9 Sikkerhetstesting i utvikling og aksept
8.30 14.2.7 Utkontraktert utvikling
8.31 12.1.4, 14.2.6 Separasjon av utviklings-, test- og produksjonsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Endringsledelse
8.33 14.3.1 Testinformasjon
8.34 12.7.1 Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISMS.online er en skybasert løsning som hjelper bedrifter å vise samsvar med ISO 27002. ISMS.online-løsningen kan brukes til å håndtere kravene til ISO 27002 og sikre at organisasjonen din forblir kompatibel med den nye standarden.

Vår plattform er brukervennlig og grei. Det er ikke bare for svært tekniske personer; det er for alle i bedriften din.

Ta kontakt i dag for å bestill en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder utviklingen av alle produktfunksjoner og funksjonalitet. Sam er en ekspert på mange områder av samsvar og jobber med kunder på alle skreddersydde eller storskala prosjekter.

Ta en virtuell omvisning

Start din gratis 2-minutters interaktive demonstrasjon nå og se
ISMS.online i aksjon!

Prøv det nå
plattformdashbordet er helt perfekt

Vi er ledende innen vårt felt

4/5 stjerner
Brukere elsker oss
Leder - Vinteren 2026
Regional leder - Vinteren 2026 Storbritannia
Regional leder - Vinteren 2026 EU
Regional leder – Vinteren 2026 Mellommarked EU
Regional leder - Vinteren 2026 EMEA
Regional leder - Vinteren 2026 Mellommarked EMEA

"ISMS.Online, enestående verktøy for overholdelse av forskrifter"

– Jim M.

"Gjør eksterne revisjoner til en lek og kobler alle aspekter av ISMS-en sømløst sammen"

– Karen C.

"Innovativ løsning for å administrere ISO og andre akkrediteringer"

— Ben H.