- nähdä ISO 27002:2022 Control 8.26 lisätietoja.
- nähdä ISO 27001:2013 Liite A 14.1.2 lisätietoja.
- nähdä ISO 27001:2013 Liite A 14.1.3 lisätietoja.
ISO 27001:2022 -standardin liitteen A 8.26 ymmärtäminen – Sovelluksen suojauksen perusteet
Sovellusohjelmistot, kuten verkkosovellukset, grafiikkaohjelmat, tietokannat ja maksujen käsittely, ovat välttämättömiä monille liiketoiminnoille.
Sovellukset ovat usein alttiina tietoturvaongelmille, jotka voivat johtaa luottamuksellisten tietojen paljastamiseen.
Esimerkiksi yhdysvaltalainen luottotoimisto Equifax ei laiminlyönyt tietoturvakorjauksen asentamista verkkosovelluskehykseen, jota he käyttivät asiakkaiden valitusten hallintaan. Tämän laiminlyönnin ansiosta kyberhyökkääjät pystyivät hyödyntämään verkkosovelluksen tietoturvaheikkouksia, tunkeutumaan Equifaxin yritysverkkoihin ja varastamaan arkaluonteisia tietoja noin 145 miljoonalta ihmiseltä.
ISO 27001:2022 liitteessä A 8.26 kuvataan, kuinka organisaatiot voivat toteuttaa ja toteuttaa tietoturva vaatimukset sovelluksille niiden kehittämisen, käytön ja hankinnan aikana. Se varmistaa, että tietoturvatoimenpiteet integroidaan sovellusten elinkaareen.
ISO 27001:2022 liitteen A tarkoitus 8.26
ISO 27001: 2022 Liite A 8.26 antaa organisaatioille mahdollisuuden puolustaa sovelluksiin tallennettuja tai niiden käsittelemiä tietoresurssejaan tunnistamalla ja soveltamalla asianmukaisia tietoturvamääritelmiä.
Liitteen A omistusoikeus 8.26
- TietoturvajohtajaTietoturvaasiantuntijoiden tukemana tulee tunnistaa, hyväksyä ja toteuttaa sovellusten hankintaan, käyttöön ja kehittämiseen liittyvät tietovaatimukset.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleiset ohjeet standardista ISO 27001:2022 Liite A 8.26 Vaatimustenmukaisuus
Organisaatioiden tulisi suorittaa riskinarviointi tiettyä sovellusta varten tarvittavien tietoturvavaatimusten määrittämiseksi.
Tietoturvavaatimusten sisältö ja tyypit voivat vaihdella sovelluksesta riippuen, mutta niiden tulee kattaa:
- Perustuu ISO 27001:2022 liitteen A kohtiin 5.17, 8.2 ja 8.5, tietyn entiteetin identiteetille määritetty luottamustaso.
- Ohjelmiston tallennettavien tai käsittelemien tietovarojen luokitus on tunnistettava.
- Onko tarvetta erottaa pääsy sovellukseen tallennettuihin ominaisuuksiin ja tietoihin?
- Arvioi, kestääkö sovellus kybertunkeutumisia, kuten SQL-injektioita, tai tahattomia sieppauksia, kuten puskurin ylivuodon, vastaan.
- Lakisääteiset ja lakisääteiset vaatimukset ja standardit on täytettävä, kun käsitellään sovelluksen käsittelemiä, luomia, tallentamia tai viimeistelemiä tapahtumia.
- Yksityisyys on äärimmäisen tärkeää kaikille osapuolille.
- Luottamuksellisten tietojen turvaaminen on tärkeää.
- Tietoturvan varmistaminen, kun niitä käytetään, siirretään tai tallennetaan, on ensiarvoisen tärkeää.
- On tärkeää, että kaikki asiaankuuluvat osapuolet ovat viestinnän suojattua salausta jos välttämätöntä.
- Syöttöohjaimien käyttöönotto, kuten syötteen validointi ja eheystarkistukset, takaa tarkkuuden.
- Automaattisten säätöjen suorittaminen.
- Varmistetaan, että käyttöoikeudet sekä se, kuka voi tarkastella lähtöjä, otetaan huomioon lähdön ohjauksessa.
- On olennaisen tärkeää asettaa rajoituksia "vapaateksti"-kenttiin sisällytettävälle luottamuksellisen tiedon tahattoman levittämisen estämiseksi.
- Sääntelyvaatimukset, kuten ne, jotka koskevat tapahtumien kirjaamista ja kiistämättömyyttä.
- Muut turvatarkastukset voivat edellyttää erityisvaatimusten noudattamista; esimerkiksi tietovuotojen havaitsemisjärjestelmät.
- Miten organisaatiosi käsittelee virheilmoituksia.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Ohjeita transaktiopalveluihin
ISO 27001:2022 Liite A 8.26 edellyttää, että organisaatiot ottavat huomioon seuraavat seitsemän suositusta tarjotessaan transaktiopalveluja itsensä ja kumppanin välillä:
- Se uskon aste, joka kummallakin osapuolella on oltava toisen identiteettiin, on olennaista kaikissa liiketoimissa.
- Lähetettyjen tai käsiteltyjen tietojen luotettavuus on varmistettava, ja on tunnistettava sopiva järjestelmä mahdollisten eheyspuutteiden tunnistamiseksi, mukaan lukien hajautus ja digitaaliset allekirjoitukset.
- Yrityksen on perustettava järjestelmä sen määrittämiseksi, kuka on valtuutettu hyväksymään, allekirjoittamaan ja allekirjoittamaan kriittiset tapahtumaasiakirjat.
- Keskeisten asiakirjojen salassapidon ja oikeellisuuden varmistaminen sekä mainittujen asiakirjojen lähettämisen ja vastaanoton varmistaminen.
- Liiketoimien luottamuksellisuuden ja tarkkuuden säilyttämiseksi kyseessä voivat olla tilaukset ja laskut.
- Vaatimukset siitä, kuinka tapahtumien on pysyttävä luottamuksellisina tietyn ajan.
- Sopimusvelvoitteet ja vakuutusvaatimukset on täytettävä.
Sähköisiä tilaus- ja maksusovelluksia koskevat ohjeet
Organisaatioiden tulee ottaa huomioon seuraavat seikat sisällyttäessään maksu- ja sähköisiä tilausominaisuuksia sovelluksiin:
- Tilaustietojen luottamuksellisuuden ja eheyden varmistaminen on välttämätöntä.
- Asiakkaan antamien maksutietojen vahvistamiseen sopivan vahvistustason määrittäminen.
- Tapahtumatietojen väärän sijoittamisen tai kopioimisen välttäminen.
- Huolehdi siitä, että tietoja koskevat tiedot säilytetään poissa julkisesti saatavilla olevilta alueilta, esim. organisaation intranetissä sijaitsevalta tallennusvälineeltä.
- Aina kun organisaatio luottaa ulkoiseen viranomaiseen digitaalisten allekirjoitusten antamisessa, sen on varmistettava, että tietoturva on integroitu koko prosessiin.
Ohjeita verkkoihin
Kun sovelluksiin päästään verkkojen kautta, ne voivat joutua sopimusriitojen, vilpillisen toiminnan, harhaanjohtamisen, viestinnän sisällön hyväksymättömien muutosten tai arkaluonteisten tietojen luottamuksellisuuden rikkomiseen.
ISO 27001:2022 Liite A 8.26 neuvoo organisaatioita suorittamaan perusteellisia riskinarviointeja tunnistaakseen sopivat hallintakeinot, kuten salaus, tiedonsiirron turvallisuuden suojaamiseksi.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot ISO 27001:2013:sta
ISO 27001:2022 Liite A 8.26 korvaa ISO 27001:2013 liitteen A 14.1.2 ja 14.1.3 tarkistetussa 2022 standardissa.
Näiden kahden version välillä on kolme suurta eroa.
Kaikki sovellukset vs. julkisten verkkojen kautta kulkevat sovellukset
ISO 27001:2013 sisältää luettelon tietoturvavaatimuksista, jotka on otettava huomioon sovelluksissa, jotka lähetetään julkisten verkkojen kautta.
Sen sijaan ISO 27001:2022 liite A 8.26 sisältää luettelon tietoturvavaatimuksista, jotka koskevat kaikkia sovelluksia.
Lisäohjeita sähköisistä tilaus- ja maksusovelluksista
ISO 27001:2022 liite A 8.26 sisältää erityisiä ohjeita sähköisistä tilaus- ja maksusovelluksista, joita ei käsitelty vuoden 2013 versiossa.
Transaktiopalveluita koskevat vaatimukset
Kun vuoden 2022 painos ja 2013 painos ovat lähes samat asiointipalvelujen edellytysten osalta, vuoden 2022 painos tuo lisäkysynnän, jota ei huomioida 2013 painoksessa:
- Organisaatioiden tulee pitää mielessä sopimusvelvoitteet ja vakuutusehdot.
Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista
Alla olevasta taulukosta löydät lisätietoja jokaisesta henkilöstä ISO 27001:2022 liite A Ohjaus.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 |
Liite A 5.1.1 Liite A 5.1.2 |
Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 |
Liite A 6.1.5 Liite A 14.1.1 |
Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 |
Liite A 8.1.1 Liite A 8.1.2 |
Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 |
Liite A 8.1.3 Liite A 8.2.3 |
Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 |
Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 |
Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 |
Liite A 9.1.1 Liite A 9.1.2 |
Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 |
Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 |
Todennustiedot |
| Organisaation valvonta | Liite A 5.18 |
Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 |
Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 |
Liite A 15.2.1 Liite A 15.2.2 |
Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 |
Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 |
Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 |
Liite A 18.1.1 Liite A 18.1.5 |
Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 |
Liite A 18.2.2 Liite A 18.2.3 |
Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 |
Liite A 16.1.2 Liite A 16.1.3 |
Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 |
Liite A 11.1.2 Liite A 11.1.6 |
Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 |
Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 |
Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 |
Liite A 6.2.1 Liite A 11.2.8 |
Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 |
Liite A 12.6.1 Liite A 18.2.3 |
Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 |
Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 |
Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttöoikeudet |
| Tekniset säädöt | Liite A 8.19 |
Liite A 12.5.1 Liite A 12.6.2 |
Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 |
Liite A 10.1.1 Liite A 10.1.2 |
Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 |
Liite A 14.1.2 Liite A 14.1.3 |
Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet Tietoturvapoikkeamista oppiminen |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 |
Liite A 14.2.8 Liite A 14.2.9 |
Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 |
Liite A 12.1.4 Liite A 14.2.6 |
Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 |
Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 |
Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
Miten ISMS.online Ohje
ISMS.online on pilvipohjainen järjestelmä joka auttaa organisaatioita osoittamaan yhdenmukaisuutta ISO 27001:2022 -standardin kanssa. Tämän järjestelmän avulla voidaan valvoa ISO 27001 -standardin vaatimuksia ja varmistaa, että organisaatiosi pysyy standardin mukaisena.
Yhtiömme alusta on käyttäjäystävällinen ja kaikkien saatavilla. Se ei vaadi monimutkaista teknistä tietämystä; kuka tahansa yrityksesi työntekijä voi käyttää sitä.
Ota meihin yhteyttä nyt järjestää esittelyn.