ISO 27002, Kontroll 8.32, Endringsledelse

Sikre sikre og kontrollerte endringer med ISO 27002:2022 Control 8.32

Endringer i informasjonssystemer som å bytte ut en nettverksenhet, opprette en ny databaseforekomst eller oppgradere programvare er ofte nødvendige for forbedret ytelse, reduserte kostnader og høyere effektivitet.

Imidlertid kan disse endringene i informasjonsbehandlingsfasiliteter og -systemer, hvis de ikke implementeres riktig, føre til kompromittering av informasjonsressurser som er lagret i eller behandlet av disse fasilitetene.

Kontroll 8.32 tar for seg hvordan organisasjoner kan etablere og anvende endringshåndteringsprosedyrer for å overvåke, gjennomgå og kontrollere endringer som er gjort i informasjonsbehandlingsfasilitetene og systemene.

Formål med kontroll 8.32

Kontroll 8.32 gjør det mulig for organisasjoner å opprettholde sikkerheten til informasjonsressurser når de utfører endringer på informasjonsbehandlingsfasilitetene og systemene ved å etablere, implementere og administrere regler og prosedyrer for endringshåndtering.

Attributttabell for kontroll 8.32

Kontroll 8.32 er forebyggende. Det krever at organisasjoner definerer, dokumenterer, spesifiserer og håndhever endringskontrollprosesser som styrer hele livssyklusen til informasjonssystemene, fra første utforming til distribusjon og bruk.

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Beskytte	#Applikasjonssikkerhet	#Beskyttelse
	#Integritet		#System- og nettverkssikkerhet
	#Tilgjengelighet

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Eierskap til kontroll 8.32

Tatt i betraktning at overholdelse av kontroll 8.32 innebærer etablering og håndheving av endringskontrollprosedyrer som gjelder alle stadier i livssyklusen til informasjonssystemene, bør informasjonssikkerhetssjefer, med støtte fra domeneeksperter, være ansvarlige for å utforme og håndheve disse prosedyrene.

Generell veiledning om samsvar

Alle større endringer i informasjonssystemer og innføring av nye systemer bør være underlagt et avtalt sett med regler og prosedyrer. Disse endringene bør være formelt spesifisert og dokumentert. Videre bør de gå gjennom test- og kvalitetskontrollprosessene.

For å sikre at alle endringer er i samsvar med endringskontrollreglene og -standardene, bør organisasjoner tildele ledelsesansvar til passende ledelse og bør fastsette nødvendige prosedyrer.

Kontroll 8.32 lister opp ni elementer som bør inkluderes i endringshåndteringsprosedyren:

Organisasjoner bør planlegge og måle den sannsynlige effekten av planlagte endringer, med tanke på alle avhengigheter.
Implementere autorisasjonskontroller for endringer.
Informere relevante interne og eksterne parter om de planlagte endringene.
Etablere og implementere testing og aksept testing prosesser for endringer i henhold til Kontroll 8.29.
Hvordan endringene skal implementeres, herunder hvordan de skal implementeres i praksis.
Etablere krise- og beredskapsplaner og prosedyrer. Dette kan også inkludere å fastsette en tilbakefallsprosedyre.
Holde oversikt over alle endringer og relaterte aktiviteter, inkludert alle aktivitetene som er oppført ovenfor (1 til 6).
Driftsdokumentasjon som kreves i Kontroll 5.37 og brukerprosedyrer gjennomgås og oppdateres for å gjenspeile endringene.
IKT-kontinuitetsplaner og gjenopprettings- og responsprosedyrer bør gjennomgås og revideres for å gjenspeile endringene.

Til slutt bemerkes det at organisasjoner bør integrere endringskontrollprosedyrer for programvare og IKT-infrastruktur i størst mulig grad.

Supplerende veiledning om kontroll 8.32

Endringer i produksjonsmiljøene som operativsystemer og databaser kan kompromittere integriteten og tilgjengeligheten til applikasjoner, spesielt overføringen av programvare fra utviklings- til produksjonsmiljø.

En annen risiko som organisasjoner bør være forsiktige med er endring av programvare i produksjonsmiljøet kan få utilsiktede konsekvenser.

For å forhindre disse risikoene bør organisasjoner utføre tester på IKT-komponenter i et miljø isolert fra utviklings- og produksjonsmiljøene.

Dette vil gjøre det mulig for organisasjoner å ha større kontroll over ny programvare og vil gi et ekstra lag med beskyttelse for virkelige data som brukes til testformål. Denne ekstra beskyttelsen kan oppnås via patcher og oppdateringspakker.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

27002:2022/8.32 erstatter 27002:2013/(12.1.2, 14.2.2, 14.2.3, 14.2.4)

Samlet sett var 2013-versjonen mer preskriptiv sammenlignet med 2022-versjonen når det gjelder kravene til endringskontrollprosedyrer.

Det er tre viktige forskjeller som skal fremheves mellom de to versjonene.

ISO 27002:2013-versjonen var mer detaljert når det gjelder hva "endringsprosedyre" bør innebære

Både versjonen 27002:2022 og 27002:2013 lister opp hva en "endringsprosedyre" skal inkludere på en ikke-uttømmende måte.

Imidlertid inneholdt 2013-versjonen følgende elementer som ikke ble referert til i 2022-versjonen:

Sikkerhetskritisk kode bør identifiseres og gjennomgås for å rette opp sårbarheter.
Organisasjoner bør bevare versjonskontroll for alle oppdateringer implementert på programvare.
Organisasjoner bør identifisere og dokumentere en liste over alle maskinvare- og programvarekomponenter som trenger endringer og oppdateringer.

2013-versjon adressert 'Endringer i driftsplattformer'

Kontroll 14.2.3 i versjon 27002:2013 omhandlet hvordan organisasjoner kan minimere uheldige effekter på og forstyrrelser i forretningsdriften når det gjøres endringer i operativsystemer.

27002:2022-versjonen inneholder derimot ikke krav til slike endringer.

2013-versjon adressert 'Endringer i programvarepakker'

Kontroll 14.2.4 i 27002:2013 versjon adressert 'Endringer i programvarepakker'. Tvert imot inneholder ikke 27002:2022-versjonen krav til slike endringer.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Vår skybaserte plattform gir deg et robust rammeverk av informasjonssikkerhetskontroller slik at du kan sjekke ISMS-prosessen din mens du går for å sikre at den oppfyller kravene til ISO 27000k.

Brukt riktig, ISMS. online kan hjelpe deg med å oppnå sertifisering med et minimum av tid og ressurser.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt