Mens ikke-produksjonstestmiljøer som iscenesettelsesmiljøer er avgjørende for å bygge høykvalitets programvareprodukter og applikasjoner fri for feil eller feil, utsetter bruk av reelle data og mangel på sikkerhetstiltak i disse miljøene informasjonsressurser for økt risiko.
For eksempel kan utviklere bruke legitimasjon som er lett å huske (f.eks. «admin» for både brukernavn og passord) for å teste miljøer der sensitive dataressurser lagres.
Dette kan utnyttes av cyberangripere for å få enkel tilgang til testmiljøer og stjele sensitiv informasjonsressurser.
Derfor bør organisasjoner sette på plass passende kontroller og prosedyrer for å beskytte data fra den virkelige verden som brukes til testing.
Kontroll 8.33 gjør det mulig for organisasjoner å oppnå to formål:
Kontroll 8.33 er en forebyggende type kontroll som krever at organisasjoner velger og beskytter den mest passende informasjonen for testfasen for å opprettholde konfidensialitet og integritet til informasjon.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet | #Beskytte | #Informasjonsbeskyttelse | #Beskyttelse |
Tatt i betraktning at Kontroll 8.33 innebærer utvelgelse, beskyttelse og styring av den mest hensiktsmessige testinformasjonen som skal brukes til testing, bør informasjonssikkerhetsansvarlige, i samarbeid med utviklingsteamet, være det endelige ansvaret for å etablere passende kontroller og prosedyrer.
Organisasjoner bør ikke bruke sensitiv informasjon, inkludert personopplysninger, i utviklings- og testmiljøer.
For å beskytte testinformasjonen mot tap av konfidensialitet og integritet, bør organisasjoner overholde følgende:
Videre bør organisasjoner iverksette passende tiltak for å sikre sikker lagring av informasjonsmidler.
Det bemerkes at system- og aksepttesting kan kreve en enorm mengde testinformasjon, tilsvarende driftsinformasjon.
27002:2022/8.33 replace 27002:2013/(14.3.1)
Selv om 2022-versjonen i stor grad ligner på 2013-versjonen, introduserer 2022-versjonen følgende krav:
27002:2013-versjonen, derimot, inkluderte ikke dette kravet.
ISMS.online er en skybasert løsning som hjelper bedrifter å vise samsvar med ISO 27002. ISMS.online-løsningen kan brukes til å administrere kravene i ISO 27002 og sikre at organisasjonen din forblir kompatibel med den nye standarden.
ISO 27002-standarden er oppdatert for å gjenspeile de økende cybertruslene vi står overfor som samfunn. Den gjeldende standarden ble først publisert i 2005 og revidert i 2013 for å gjenspeile endringer i teknologi, forskrifter og industristandarder. Den nye versjonen av ISO 27002 inkorporerer disse oppdateringene i ett dokument, i tillegg til å legge til nye krav til organisasjoner for å hjelpe dem bedre å beskytte datamidlene sine mot cyberangrep.
ISMS.online-løsningen hjelper organisasjoner med å implementere ISO 27002:2022 ved å tilby et brukervennlig rammeverk for å dokumentere retningslinjer og prosedyrer for informasjonssikkerhet. Det gir også et sentralisert sted hvor du kan lagre all samsvarsdokumentasjonen din, slik at den lett kan nås av ulike interessenter i selskapet (f.eks. HR, IT).
Vår plattform er brukervennlig og grei. Det er ikke bare for svært tekniske personer; det er for alle i bedriften din.
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |