For formålene med ISO 27002, Kontroll 8.4 definerer "kildekode" som den underliggende koden, spesifikasjonene og planene som brukes til å lage applikasjoner, programmer og prosesser som er eiendommen til organisasjonen selv.
Når man diskuterer tilgang til kildekode, legger Control 8.4 like stor vekt på utviklingsverktøy (kompilatorer, testmiljøer osv.).
Å administrere kildekode representerer en unik risiko til enhver organisasjon som har behov for å lagre den. Elementer av forretningskritisk kildekode inkluderer produksjonsdata, beskyttede konfigurasjonsdetaljer og aspekter ved en organisasjons IP.
Kontroll 8.4 er en forebyggende kontroll Det endrer risiko ved å etablere et sett med underliggende datatilgangsprinsipper (i samsvar med en organisasjons bredere sett med tilgangskontroller) som styrer lese-/skrivetilgang til:
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Identitets- og tilgangsadministrasjon #Applikasjonssikkerhet #Sikker konfigurasjon | #Beskyttelse |
Kontroll 8.4 omhandler en organisasjons evne til å kontrollere tilgang til forretningskritiske data knyttet til kildekode, utviklingsverktøy og kommersielt sensitiv informasjon som programvarebiblioteker.
Som sådan bør eierskapet ligge hos Chief Information Security Officer (eller tilsvarende organisatorisk), som innehar ansvar for organisasjonens samlede informasjons- og datasikkerhet praksis.
Control 8.4 tar til orde for et kildekodestyringssystem som lar organisasjoner sentralt administrere tilgang til og deres endring av kildekode på tvers av deres IKT-område.
Kontroll 8.4 ber organisasjoner vurdere tilgang til kildekode sammen med et sett med strenge lese- og/eller skriverettigheter, basert på kildekodens natur, hvor den får tilgang fra og hvem som får tilgang til den.
Når organisasjoner prøver å kontrollere tilgangen til kildekoden, bør de:
27002:2022-8.4 replaces 27002:2014-9.4.5 (Tilgang til kildekode), og inneholder tre hovedforskjeller i sin tilnærming til å etablere et kildekodestyringssystem (et konsept som er fraværende fra 27002:2014-9.4.5)
ISMS.Online forenkler prosessen med å implementere ISO 27002 ved å tilby alle nødvendige ressurser, informasjon og verktøy på ett sted. Det lar deg opprette en ISMS med bare noen få museklikk, noe som ellers ville tatt lang tid hvis det gjøres manuelt.
Vil du se den i aksjon?
Ta kontakt i dag for å bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |