Outsourcing av IT-systemer og programvareutvikling til eksterne parter har mange fordeler for virksomheter som reduserte kostnader og større skalerbarhet. Disse effektivitetsgevinstene bør imidlertid ikke gå på bekostning av sikkerheten.
For eksempel kan det hende at eksterne tjenesteleverandører ikke har strenge tilgangskontroller for nettverk på plass, eller at de ikke klarer å bruke kryptering på industrinivå på data som er lagret i skyen, noe som fører til kompromittering av IT-systemer og programvareprodukter.
Dette kan føre til datainnbrudd og tap av tilgjengelighet, konfidensialitet eller integritet til informasjonsressurser.
Ifølge en rapport fra Trustwave, spilte outsourcing av programvare og IT-utvikling en rolle i mer enn 60 % av alle datainnbrudd.
Tatt i betraktning at outsourcing uunngåelig fører til tap av kontroll over utviklingsprosessen og gjør det vanskeligere å anvende og vedlikeholde krav til informasjonssikkerhet, bør organisasjoner sørge for at eksterne parter overholder kravene til informasjonssikkerhet satt av organisasjonen.
Kontroll 8.30 gjør organisasjoner i stand til å sikre at de etablerte informasjonssikkerhetskravene overholdes når system- og programvareutviklingen settes ut til eksterne leverandører.
Kontroll 8.30 er både detektiv og forebyggende: Den krever at organisasjoner overvåker og overvåker alle outsourcingsaktiviteter og sikrer at den outsourcede utviklingsprosessen tilfredsstiller kravene til informasjonssikkerhet.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende #Detektiv | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere #Beskytte #Oppdag | #System- og nettverkssikkerhet #Applikasjonssikkerhet #Sikkerhet for leverandørforhold | #Governance og økosystem #Beskyttelse |
Chief Information Security Officer bør være ansvarlig for å etablere og implementere nødvendige prosedyrer og kontroller for å sikre at disse informasjonssikkerhetskravene kommuniseres til, avtales av og overholdes av eksterne leverandører.
Generell veiledning fremhever at organisasjoner kontinuerlig bør overvåke og verifisere at leveransen av utkontraktert utviklingsarbeid tilfredsstiller kravene til informasjonssikkerhet som stilles til den eksterne tjenesteleverandøren.
Control 8.30 anbefaler at organisasjoner tar hensyn til følgende 11 faktorer når de outsourcer utvikling:
For mer detaljert veiledning om håndtering av leverandørforhold, kan organisasjoner henvise til ISO/IEC 27036.
27002:2022/8.30 replace 27002:2013/(14.2.7)
Totalt sett er det ingen vesentlig forskjell mellom de to versjonene.
Bedrifter kan bruke ISMS.Online for å hjelpe dem med deres ISO 27002-samsvarsarbeid ved å gi dem en plattform som gjør det enkelt å administrere sikkerhetspolicyer og -prosedyrer, oppdatere dem etter behov, teste dem og overvåke effektiviteten.
Vår skybaserte plattform lar deg raskt og enkelt administrere alle aspektene ved ISMS-en din, inkludert risikostyring, retningslinjer, planer, prosedyrer og mer, på ett sentralt sted. Plattformen er enkel å bruke og har et intuitivt grensesnitt som gjør det enkelt å lære å bruke.
Ta kontakt i dag for å bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
