- nähdä ISO 27002:2022 Control 8.27 lisätietoja.
- nähdä ISO 27001:2013 Liite A 14.2.5 lisätietoja.
ISO 27001:2022 Ohjaus 8.27 – Järjestelmän turvallisuuden vahvistaminen alusta alkaen
ISO 27001: 2022 Liite A 8.27 määrittelee, että organisaatioiden tulee ottaa käyttöön turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet varmistaakseen, että tietojärjestelmän suunnittelu, toteutus ja hallinta vastaavat organisaation turvallisuusvaatimuksia. Tämä sisältää turvallisten järjestelmäarkkitehtuurien, suunnitteluperiaatteiden ja turvallisten suunnittelukäytäntöjen luomisen.
Nykyaikaisten tietojärjestelmien monimutkaiset rakenteet yhdistettynä jatkuvasti muuttuvaan kyberturvallisuusriskiympäristöön tekevät tietojärjestelmistä alttiimpia olemassa oleville ja mahdollisille turvallisuusuhkille.
Liitteen A kohdassa 8.27 kuvataan miten organisaatiot voivat suojata tietojärjestelmänsä tietoturvauhkilta turvallisten järjestelmäsuunnitteluperiaatteiden toteuttamisen kautta tietojärjestelmän elinkaaren kaikissa vaiheissa.
ISO 27001:2022 liitteen A tarkoitus 8.27
Liite A 8.27 auttaa organisaatioita turvaamaan tietojärjestelmät suunnittelun, käyttöönoton ja käytön aikana luomalla ja toteuttamalla turvallisia järjestelmäsuunnittelun periaatteita, joita järjestelmäsuunnittelijoiden on noudatettava.
Liitteen A omistusoikeus 8.27
Tietoturvajohtaja on vastuussa tietojärjestelmien turvallista suunnittelua koskevien sääntöjen rakentamisesta, ylläpitämisestä ja toteuttamisesta.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleiset ohjeet standardista ISO 27001:2022 Liite A 8.27 Vaatimustenmukaisuus
ISO 27001:2022 Liite A 8.27 korostaa, että organisaatioiden on integroitava turvallisuus tietojärjestelmiinsä, mukaan lukien liiketoimintaprosessit, sovellukset ja tietoarkkitehtuuri.
Turvalliset suunnittelukäytännöt tulisi ottaa käyttöön kaikissa tietojärjestelmiin liittyvissä tehtävissä, ja ne on tarkistettava ja päivitettävä säännöllisesti uusien uhkien ja hyökkäysmallien huomioon ottamiseksi.
Liite A 8.27 koskee myös ulkoisten palveluntarjoajien luomia järjestelmiä sisäisesti kehitettyjen ja ylläpidettävien järjestelmien lisäksi.
Organisaatioiden tulee taata, että palveluntarjoajien käytännöt ja standardit ovat sopusoinnussa suojattujen suunnitteluprotokollien kanssa.
ISO 27001:2022 Liite A 8.27 edellyttää turvallisia järjestelmäsuunnitteluperiaatteita seuraavien kahdeksan aiheen käsittelemiseksi:
- Käyttäjien todennusmenetelmät.
- Turvallinen istunnonhallintaopastus.
- Tietojen desinfiointi- ja validointimenettelyt.
- Tietovarallisuuden ja -järjestelmien suojaamiseksi tunnetuilta uhilta analysoidaan kattavasti turvatoimia.
- Suojaustoimenpiteitä analysoitiin niiden kykyä tunnistaa, poistaa ja vastata turvallisuusuhkiin.
- Analysoidaan tiettyihin liiketoimintatoimintoihin sovellettavia turvatoimia, kuten tietojen salausta.
- Missä ja miten turvatoimet toteutetaan. Tekniseen infrastruktuuriin voidaan sisällyttää erityinen liitteen A turvavalvonta osana tätä prosessia.
- Tapa, jolla erilaiset turvatoimenpiteet toimivat yhdessä ja toimivat yhdistettynä järjestelmänä.
Ohjeita nollaluottamusperiaatteesta
Organisaatioiden tulee pitää mielessä nämä nollaluottamuksen periaatteet:
- Perustuu olettamukseen, että organisaation järjestelmät ovat jo vaarantuneet ja että sen verkon määritelty reunaturvallisuus ei pysty tarjoamaan riittävää suojaa.
- Tietojärjestelmiin pääsyn myöntämisessä tulisi noudattaa "varmennus ennen luottamusta" -politiikkaa. Näin varmistetaan, että käyttöoikeus myönnetään vasta tarkastelun jälkeen, jolloin varmistetaan, että oikeat ihmiset saavat sen.
- Tietojärjestelmiin tehtyjen pyyntöjen turvaaminen päästä päähän -salauksella antaa varmuutta.
- Varmennusmekanismit toteutetaan olettaen pääsypyynnöt ulkoisista, avoimista verkoista tietojärjestelmiin.
- Ota käyttöön vähiten etuoikeus ja dynaaminen kulunvalvonta standardin ISO 27001:2022 liitteen A 5.15, 5.18 ja 8.2 mukaisesti. Tämän on katettava arkaluonteisten tietojen ja tietojärjestelmien todennus ja valtuutus ottaen huomioon kontekstuaaliset näkökohdat, kuten käyttäjätunnukset (ISO 27001:2022 liite A 5.16) ja tietojen luokittelu (ISO 27001:2022 liite A 5.12).
- Todentaa pyytäjän henkilöllisyys ja varmentaa tietojärjestelmiin pääsyä koskevat valtuutuspyynnöt ISO 27001:2022 liitteen A 5.17, 5.16 ja 8.5 todennustietojen mukaisesti.
Mitä suojattujen järjestelmäsuunnittelutekniikoiden tulisi kattaa?
Organisaation tulee pitää mielessä seuraavat asiat:
- Sisältää suojatun arkkitehtuurin periaatteet, kuten "suunniteltu turvallisuus", "syvä puolustus", "epäonnistuu turvallisesti", "ei luota ulkoisten sovellusten syötteeseen", "olettaa tietomurron", "vähiten etuoikeus", "käytettävyys ja hallittavuus" ja "vähiten toimivuus" ” on tärkeintä.
- Turvallisuuslähtöisen suunnittelun tarkastelun tekeminen tietoturvaongelmien havaitsemiseksi ja sen varmistaminen, että turvatoimenpiteet on otettu käyttöön ja vastaavat turvallisuustarpeita.
- On välttämätöntä dokumentoida ja tunnustaa turvatoimenpiteet, jotka eivät täytä vaatimuksia.
- Järjestelmän karkaisu on välttämätöntä minkä tahansa järjestelmän turvallisuuden kannalta.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä kriteerejä tulee ottaa huomioon turvallisten suunnitteluperiaatteiden suunnittelussa?
Organisaatioiden tulee ottaa huomioon seuraavat seikat määrittäessään suojattuja järjestelmäsuunnittelun periaatteita:
- Vaatimus liitteen A valvontatoimien yhteensovittamisesta tietyn turvallisuusarkkitehtuurin kanssa on välttämätön.
- Organisaation olemassa oleva tekninen turvallisuusinfrastruktuuri, mukaan lukien julkisen avaimen infrastruktuuri, identiteetin hallinta ja tietovuotojen esto.
- Pystyykö organisaatio rakentamaan ja ylläpitämään valittua teknologiaa.
- Turvavaatimusten täyttämiseen tarvittavat kustannukset ja aika on otettava huomioon niiden monimutkaisuus huomioon ottaen.
- Nykyisten parhaiden käytäntöjen noudattaminen on välttämätöntä.
Secure System Engineering -periaatteiden soveltamisohjeet
ISO 27001:2022 liitteessä A 8.27 todetaan, että organisaatiot voivat käyttää turvallisia suunnitteluperiaatteita perustaessaan seuraavia:
- Vikasietokyky ja muut sietokykystrategiat ovat välttämättömiä. Ne auttavat varmistamaan, että järjestelmät pysyvät toiminnassa odottamattomista tapahtumista huolimatta.
- Virtualisoinnin kautta tapahtuva erottelu on yksi tekniikka, jota voidaan hyödyntää.
- Vuorottelusuojaus, varmista, että järjestelmät pysyvät turvallisina ja haitallisille häiriöille läpäisemättöminä.
Suojattu virtualisointitekniikka voi vähentää samalla laitteessa olevien sovellusten välisen sieppauksen riskiä.
Korostetaan, että peukaloinnin estojärjestelmät voivat havaita sekä loogisen että fyysisen tietojärjestelmien manipuloinnin, mikä estää luvattoman pääsyn tietoihin.
Muutokset ja erot ISO 27001:2013:sta
ISO 27001:2022 Liite A 8.27 korvaa ISO 27001:2013 liitteen A 14.2.5 tarkistetussa 2022 standardissa.
Vuoden 2022 versio sisältää laajempia vaatimuksia kuin vuoden 2013 versio, kuten:
- Vuoteen 2013 verrattuna vuoden 2022 versio antaa ohjeita siitä, mitä turvallisten suunnitteluperiaatteiden tulee sisältää.
- Vuoden 2013 iteraatiosta poiketen vuoden 2022 versio huomioi ne kriteerit, jotka organisaatioiden tulee ottaa huomioon turvallisia järjestelmäsuunnitteluperiaatteita rakentaessaan.
- Vuoden 2022 versio antaa ohjeita nollaluottamusperiaatteesta, jota ei sisällytetty vuoden 2013 versioon.
- Asiakirjan vuoden 2022 painos sisältää suosituksia turvallisista suunnittelutekniikoista, kuten "security by design", jota ei ollut vuoden 2013 versiossa.
Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista
Alla olevasta taulukosta löydät lisätietoja jokaisesta henkilöstä ISO 27001:2022 liite A Ohjaus.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 |
Liite A 5.1.1 Liite A 5.1.2 |
Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 |
Liite A 6.1.5 Liite A 14.1.1 |
Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 |
Liite A 8.1.1 Liite A 8.1.2 |
Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 |
Liite A 8.1.3 Liite A 8.2.3 |
Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 |
Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 |
Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 |
Liite A 9.1.1 Liite A 9.1.2 |
Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 |
Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 |
Todennustiedot |
| Organisaation valvonta | Liite A 5.18 |
Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 |
Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 |
Liite A 15.2.1 Liite A 15.2.2 |
Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 |
Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 |
Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 |
Liite A 18.1.1 Liite A 18.1.5 |
Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 |
Liite A 18.2.2 Liite A 18.2.3 |
Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 |
Liite A 16.1.2 Liite A 16.1.3 |
Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 |
Liite A 11.1.2 Liite A 11.1.6 |
Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 |
Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 |
Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 |
Liite A 6.2.1 Liite A 11.2.8 |
Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 |
Liite A 12.6.1 Liite A 18.2.3 |
Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 |
Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 |
Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttöoikeudet |
| Tekniset säädöt | Liite A 8.19 |
Liite A 12.5.1 Liite A 12.6.2 |
Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 |
Liite A 10.1.1 Liite A 10.1.2 |
Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 |
Liite A 14.1.2 Liite A 14.1.3 |
Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet Tietoturvapoikkeamista oppiminen |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 |
Liite A 14.2.8 Liite A 14.2.9 |
Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 |
Liite A 12.1.4 Liite A 14.2.6 |
Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 |
Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 |
Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
Miten ISMS.online Ohje
Vaiheittainen tarkistuslistamme tekee ISO 27001 -toteutuksesta helppoa. Meidän täydellinen vaatimustenmukaisuusratkaisu ISO/IEC 27001:2022 opastaa sinut prosessin läpi alusta loppuun.
Kun kirjaudut sisään, voit odottaa jopa 81 % edistystä.
Tämä ratkaisu on täysin kattava ja yksinkertainen.
Ota yhteyttä nyt varata esittely.