- nähdä ISO 27002:2022 Control 8.29 lisätietoja.
- nähdä ISO 27001:2013 Liite A 14.2.8 lisätietoja.
- nähdä ISO 27001:2013 Liite A 14.2.9 lisätietoja.
Turvallisen kehityksen varmistaminen: ISO 27001 Liite A 8.29 Tietoturvatestaus selitetty
Kyberrikolliset kehittävät jatkuvasti uusia menetelmiä ja tehostavat taktiikkaansa murtautuakseen yritysverkkoihin ja hankkiakseen pääsyn luottamuksellisiin tietoihin.
Kyberrikolliset voivat hyödyntää lähdekoodin todennusprosessiin liittyvää virhettä verkkojen murtamiseen. Lisäksi he voivat yrittää suostutella asiakaspuolen loppukäyttäjiä tekemään asioita, joiden avulla he voivat päästä käsiksi tietoihin, tunkeutua verkkoihin tai suorittaa kiristysohjelmahyökkäyksiä.
Jos sovellus, ohjelmisto tai IT-järjestelmä otetaan käyttöön haavoittuvuuksilla, arkaluonteiset tiedot vaarantuvat.
Organisaatioiden tulee perustaa ja suorittaa asianmukainen tietoturvatestausprosessi tunnistaakseen IT-järjestelmien haavoittuvuudet ja korjatakseen ne ennen kuin ne otetaan käyttöön todellisessa maailmassa.
ISO 27001:2022 liitteen A tarkoitus 8.29
ISO 27001: 2022 Liite A Control 8.29:n avulla organisaatiot voivat varmistaa, että kaikki tietoturvavaatimukset täyttyvät, kun uusia sovelluksia, tietokantoja, ohjelmistoja tai koodia otetaan käyttöön. Tämä tehdään luomalla ja seuraamalla perusteellinen tietoturvatestausprosessi.
Organisaatiot voivat tunnistaa ja poistaa mahdolliset heikkoudet koodissaan, verkoissaan, palvelimissaan, sovelluksissaan ja muissa IT-järjestelmissään ennen käyttöönottoa todellisessa maailmassa.
Liitteen A omistusoikeus 8.29
- Tietoturvavastaava tulee varmistaa, että ISO 27001:2022 liitteen A valvonta 8.29 täyttyy, mikä edellyttää turvatestausmenettelyn luomista, ylläpitoa ja käyttöönottoa, joka kattaa kaikki uudet tietojärjestelmät riippumatta siitä, onko ne luotu sisäisesti vai kolmansien osapuolien toimesta.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleiset ohjeet standardista ISO 27001:2022 Liite A 8.29 Vaatimustenmukaisuus
Organisaatioiden tulee sisällyttää tietoturvatestaus osaksi kaikkien järjestelmien testausprosessia, mikä takaa, että kaikki uudet tietojärjestelmät sekä niiden uudet/päivitetyt versiot täyttävät tietoturvavaatimukset tuotantoympäristössä ollessaan.
ISO 27001:2022 liitteen A ohjauskohdassa 8.29 hahmotellaan kolme turvatestauksen olennaista osatekijää:
- Varmista turvallisuus käyttämällä ISO 27001:2022 liitteen A 8.5 mukaista käyttöoikeuksia, ISO 27001:2022 liitteen A 8.3 mukaista pääsyrajoitusta ja ISO 27001:2022 liitteen A 8.24 mukaista salausta.
- Varmista, että koodi on kirjoitettu turvallisesti ISO 27001:2022 liitteen A 8.28 mukaisesti.
- Varmista, että kokoonpanot täyttävät liitteen A kohdissa 8.9, 8.20 ja 8.22 esitetyt vaatimukset, jotka voivat sisältää palomuureja ja käyttöjärjestelmiä.
Mitä testisuunnitelman pitäisi sisältää?
Turvatestaussuunnitelmia laatiessaan organisaatioiden tulee ottaa huomioon kyseessä olevan tietojärjestelmän kiireellisyys ja luonne.
Tämän turvatestaussuunnitelman tulee sisältää seuraavat osat:
- Muodosta kattava asialista tehtävistä sitoumuksista ja testeistä.
- Odotetut tulokset, kun tietyt ehdot täyttyvät, sisältävät sekä syötteitä että tuotoksia.
- On laadittava kriteerit tulosten arvioimiseksi.
- Kun tulokset on saatu, voidaan tehdä päätöksiä siitä, mihin toimiin pitäisi ryhtyä.
Talon sisäinen kehitys
Oman kehitystiimin tulisi suorittaa ensimmäinen tietoturvatestaus varmistaakseen, että IT-järjestelmä noudattaa tietoturvavaatimuksia.
Ensimmäinen testauskierros on suoritettava ja sen jälkeen riippumaton hyväksymistesti ISO 27001:2022 liitteen A 5.8 mukaisesti.
Talon sisäisessä kehittämisessä on otettava huomioon seuraavat asiat:
- Koodin tarkistusten tekeminen tietoturvaongelmien tunnistamiseksi ja ratkaisemiseksi, mukaan lukien odotettavissa olevat syötteet ja tilanteet.
- Haavoittuvuustarkistukset turvattomien asetusten ja muiden mahdollisten heikkouksien tunnistamiseksi.
- Läpäisytestien suorittaminen heikkojen koodausten ja suunnittelun tunnistamiseksi.
Ulkoistaminen
Organisaatioiden tulee noudattaa tiukkaa hankintamenettelyä, kun he delegoivat kehitystä tai ostaa IT-elementtejä ulkoisista lähteistä.
Organisaatioiden tulee tehdä toimittajiensa kanssa sopimus, joka täyttää ISO 27001:2022 liitteen A 5.20 mukaiset tietoturvakriteerit.
Organisaatioiden tulee taata, että niiden hankkimat tavarat ja palvelut ovat tietoturvastandardien mukaisia.
ISO 27001:2022 -standardin liitteen A täydentävät ohjeet 8.29
Organisaatiot voivat luoda useita testiympäristöjä suorittaakseen erilaisia testejä, mukaan lukien toiminnalliset, ei-toiminnalliset ja suorituskykyiset. He voivat luoda virtuaalisia testiympäristöjä, konfiguroida ne testaamaan IT-järjestelmiä eri toiminta-asetuksissa ja jalostaa niitä vastaavasti.
Liite A 8.29 korostaa tehokkaan tietoturvatestauksen tarvetta, mikä edellyttää, että organisaatiot testaavat ja valvovat testausympäristöjä, työkaluja ja tekniikoita.
Organisaatioiden tulee ottaa huomioon herkkyys ja tärkeys päättäessään, kuinka monta metatestaustasoa ne käyttävät.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Muutokset ja erot standardista ISO 27001:2013
ISO 27001:2022 Liite A 8.29 korvaa standardin ISO 27001:2013 Liite A 14.2.8 ja 14.2.9 uusimmassa versiossa.
Rakenteelliset muutokset
ISO 27001: 2022 yhdistää turvallisen testauksen yhdeksi kontrolliksi, toisin kuin ISO 27001:2013, joka viittasi suojattuun testaukseen kahdessa eri kontrollissa; System Security Testing (Liite A 14.2.8) ja System Acceptance Testing (Liite A 14.2.9).
ISO 27001:2022 liite A 8.29 tuo kattavampia vaatimuksia
Toisin kuin ISO 27001:2013, ISO 27001:2022 -versio sisältää kattavampia vaatimuksia ja neuvoja seuraavista:
- Turvatestaussuunnitelma, jonka tulisi sisältää erilaisia elementtejä.
- Turvallisuuden arviointikriteerit IT-järjestelmiä kehitettäessä talon sisällä.
- Mitä turvatestausprosessiin tulisi sisällyttää.
- Useiden testiympäristöjen käyttö on välttämätöntä. Se varmistaa prosessin perusteellisuuden ja tarkkuuden.
ISO 27001:2013 oli yksityiskohtaisempi hyväksymistestauksen suhteen
Toisin kuin standardi ISO 27001:2022, ISO 27001:2013 oli yksityiskohtaisempi järjestelmän hyväksyntätestauksen suhteen. Se sisälsi saapuvien komponenttien tietoturvatestauksen ja automatisoitujen työkalujen käytön.
Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista
Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 |
Liite A 5.1.1 Liite A 5.1.2 |
Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 |
Liite A 6.1.5 Liite A 14.1.1 |
Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 |
Liite A 8.1.1 Liite A 8.1.2 |
Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 |
Liite A 8.1.3 Liite A 8.2.3 |
Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 |
Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 |
Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 |
Liite A 9.1.1 Liite A 9.1.2 |
Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 |
Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 |
Todennustiedot |
| Organisaation valvonta | Liite A 5.18 |
Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 |
Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 |
Liite A 15.2.1 Liite A 15.2.2 |
Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 |
Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 |
Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 |
Liite A 18.1.1 Liite A 18.1.5 |
Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 |
Liite A 18.2.2 Liite A 18.2.3 |
Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 |
Liite A 16.1.2 Liite A 16.1.3 |
Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 |
Liite A 11.1.2 Liite A 11.1.6 |
Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 |
Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 |
Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 |
Liite A 6.2.1 Liite A 11.2.8 |
Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 |
Liite A 12.6.1 Liite A 18.2.3 |
Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 |
Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 |
Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttöoikeudet |
| Tekniset säädöt | Liite A 8.19 |
Liite A 12.5.1 Liite A 12.6.2 |
Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 |
Liite A 10.1.1 Liite A 10.1.2 |
Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 |
Liite A 14.1.2 Liite A 14.1.3 |
Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet Tietoturvapoikkeamista oppiminen |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 |
Liite A 14.2.8 Liite A 14.2.9 |
Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 |
Liite A 12.1.4 Liite A 14.2.6 |
Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 |
Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 |
Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
Miten ISMS.online Ohje
ISMS.online yksinkertaistaa ISO 27001:2022 -standardin käyttöönottoprosessia kehittyneen pilvipohjaisen kehyksen avulla, joka toimittaa tietoturvan hallintajärjestelmän prosessien dokumentaatiota ja tarkistuslistoja varmistaakseen yhteensopivuuden hyväksyttyjen standardien kanssa.
Ota meihin yhteyttä järjestää mielenosoitus.