Mens ikke-produksjonstestmiljøer som iscenesettelsesmiljøer er avgjørende for å bygge høykvalitets programvareprodukter og applikasjoner fri for feil eller feil, utsetter bruk av reelle data og mangel på sikkerhetstiltak i disse miljøene informasjonsressurser for økt risiko.
For eksempel kan utviklere bruke legitimasjon som er lett å huske (f.eks. «admin» for både brukernavn og passord) for å teste miljøer der sensitive dataressurser lagres.
Dette kan utnyttes av cyberangripere for å få enkel tilgang til testmiljøer og stjele sensitiv informasjonsressurser.
Derfor bør organisasjoner sette på plass passende kontroller og prosedyrer for å beskytte data fra den virkelige verden som brukes til testing.
Kontroll 8.33 gjør det mulig for organisasjoner å oppnå to formål:
Kontroll 8.33 er en forebyggende type kontroll som krever at organisasjoner velger og beskytter den mest passende informasjonen for testfasen for å opprettholde konfidensialitet og integritet til informasjon.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet | #Beskytte | #Informasjonsbeskyttelse | #Beskyttelse |
Tatt i betraktning at Kontroll 8.33 innebærer utvelgelse, beskyttelse og styring av den mest hensiktsmessige testinformasjonen som skal brukes til testing, bør informasjonssikkerhetsansvarlige, i samarbeid med utviklingsteamet, være det endelige ansvaret for å etablere passende kontroller og prosedyrer.
Organisasjoner bør ikke bruke sensitiv informasjon, inkludert personopplysninger, i utviklings- og testmiljøer.
For å beskytte testinformasjonen mot tap av konfidensialitet og integritet, bør organisasjoner overholde følgende:
Videre bør organisasjoner iverksette passende tiltak for å sikre sikker lagring av informasjonsmidler.
Det bemerkes at system- og aksepttesting kan kreve en enorm mengde testinformasjon, tilsvarende driftsinformasjon.
27002:2022/8.33 replace 27002:2013/(14.3.1)
Selv om 2022-versjonen i stor grad ligner på 2013-versjonen, introduserer 2022-versjonen følgende krav:
27002:2013-versjonen, derimot, inkluderte ikke dette kravet.
ISMS.online er en skybasert løsning som hjelper bedrifter å vise samsvar med ISO 27002. ISMS.online-løsningen kan brukes til å administrere kravene i ISO 27002 og sikre at organisasjonen din forblir kompatibel med den nye standarden.
ISO 27002-standarden er oppdatert for å gjenspeile de økende cybertruslene vi står overfor som samfunn. Den gjeldende standarden ble først publisert i 2005 og revidert i 2013 for å gjenspeile endringer i teknologi, forskrifter og industristandarder. Den nye versjonen av ISO 27002 inkorporerer disse oppdateringene i ett dokument, i tillegg til å legge til nye krav til organisasjoner for å hjelpe dem bedre å beskytte datamidlene sine mot cyberangrep.
ISMS.online-løsningen hjelper organisasjoner med å implementere ISO 27002:2022 ved å tilby et brukervennlig rammeverk for å dokumentere retningslinjer og prosedyrer for informasjonssikkerhet. Det gir også et sentralisert sted hvor du kan lagre all samsvarsdokumentasjonen din, slik at den lett kan nås av ulike interessenter i selskapet (f.eks. HR, IT).
Vår plattform er brukervennlig og grei. Det er ikke bare for svært tekniske personer; det er for alle i bedriften din.
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
