ISO 27001:2022 Liite A Valvonta 8.25

Turvallisen kehityksen elinkaari

Varaa demo

ryhmä,onnellisia,työtovereita,keskustelemassa,konferenssissa,huoneessa

Yritykset ottivat 90-luvulla käyttöön ohjelmistotuotteiden ja -järjestelmien tietoturvatestejä vasta ohjelmistokehityksen elinkaaren loppuvaiheessa.

Heidän huolimattomuutensa seurauksena he eivät havainneet ja korjanneet olennaisia ​​haavoittuvuuksia, bugeja ja puutteita.

Organisaatioiden tulee varmistaa, että turvallisuusnäkökohdat otetaan huomioon alusta alkaen suunnittelusta käyttöönottoon asti. Näin he voivat havaita ja korjata tietoturva-aukkoja varhaisessa vaiheessa.

ISO 27001: 2022 Liitteen A kohdassa 8.25 esitetään säännöt, jotka organisaatioiden tulee ottaa käyttöön turvallisten ohjelmistotuotteiden ja -järjestelmien luomiseksi.

ISO 27001:2022 liitteen A tarkoitus 8.25

ISO 27001:2022 Liite A 8.25 antaa organisaatioille mahdollisuuden suunnitella tietoturvastandardeja ja ottaa ne käyttöön ohjelmistotuotteiden ja järjestelmien koko turvallisen kehityksen elinkaaren ajan.

Liitteen A omistusoikeus 8.25

Tietoturvajohtajan velvollisuutena on kehittää, toteuttaa ja ylläpitää määräyksiä ja takeita kehityksen elinkaaren turvaamiseksi.

Siirry aiheeseen
Yritykset luottavat kaikkialla
  • Yksinkertainen ja helppokäyttöinen
  • Suunniteltu ISO 27001 -menestykseen
  • Säästät aikaa ja rahaa
Varaa esittelysi
img

Yleiset ohjeet standardista ISO 27001:2022 Liite A 8.25 Vaatimustenmukaisuus

ISO 27001: 2022 Liite A Control 8.25 velvoittaa organisaatiot noudattamaan 10 vaatimusta suojattujen ohjelmistotuotteiden, järjestelmien ja arkkitehtuurin rakentamisessa:

  1. Kehitys-, testaus- ja tuotantoympäristöt tulee pitää erillään ISO 27001:2022 liitteen A kohdan 8.31 mukaisesti.

  2. Organisaatioiden tulee tarjota ohjeita seuraavissa asioissa:

    • Suojaus on olennainen tekijä ohjelmistokehityksessä ISO 27001:2022 liitteen A Control 8.27 ja 8.28 mukaisesti. Siksi se on otettava huomioon metodologiaa laadittaessa.

    • Varmista, että jokaisella ohjelmointikielellä on suojattu koodaus, joka noudattaa standardin ISO 27001:2022 liitteen A 8.28 vaatimuksia.

  3. Organisaatioiden tulee ottaa käyttöön ISO 27001:2022 liitteen A 5.8 mukaiset turvallisuusvaatimukset määrittely- ja suunnitteluvaiheessa.

  4. Organisaatioiden tulee kehittää turvatarkistuslista ISO 27001:2022 liitteen A 5.8 mukaisesti.

  5. Organisaatioiden tulee osallistua turva- ja järjestelmätestaukseen, kuten tunkeutumistestaukseen ja koodiskannaukseen, ISO 8.29:27001:n liitteen A Control 2022 mukaisesti.

  6. Organisaatioiden on perustettava suojatut tietovarastot lähdekoodien ja konfiguraatioiden tallentamista varten liitteen A ohjainten 8.4 ja 8.9 mukaisesti.

  7. Organisaatioiden tulee varmistaa versionhallinnan turvallisuus standardin ISO 27001:2022 liitteen A 8.32 mukaisesti.

  8. Organisaatioiden tulee taata, että kaikilla kehittämiseen osallistuvilla henkilöillä on vaaditut sovellusturvatiedot ja ISO 27001:2022 liitteessä A 8.28 määritelty asianmukainen koulutus.

  9. Kehittäjien on kyettävä tunnistamaan ja välttämään tietoturvapuutteita standardin ISO 27001:2022 liitteen A 8.28 mukaisesti.

  10. Organisaatioiden on noudatettava lisensointisääntöjä ja arvioitava, onko olemassa toteuttamiskelpoisia, kustannustehokkaita vaihtoehtoja ISO 27001:2022 liitteen A 8.30 mukaisesti.

Jos organisaatio päättää ulkoistaa kehitystehtävät, sen on varmistettava, että mahdolliset ulkopuoliset agentit noudattavat heidän ohjelmistojen ja järjestelmien turvallista kehitystä koskevia sääntöjä ja protokollia.

ISO 27001:2022 -standardin liitteen A täydentävät ohjeet 8.25

ISO 27001:2022 liitteessä A 8.25 todetaan, että ohjelmistotuotteita, arkkitehtuureja ja järjestelmiä voidaan kehittää sovelluksissa, tietokantoissa tai selaimissa.

Muutokset ja erot standardista ISO 27001:2013

ISO 27001:2022 Liite A 8.25 korvaa ISO 27001:2013 liitteen A 14.2.1 tarkistetussa 2022 standardissa.

Yhteenvetona voidaan todeta, että on kaksi pääeroa.

ISO 27001:2022 -versio asettaa kaksi uutta vaatimusta

ISO 2022:n vuoden 27001 versio on pitkälti samanlainen kuin vuoden 2013 versio, mutta ISO 8.25:27001:n liitteen A ohjaus 2022 sisältää kaksi uutta vaatimusta organisaatioille:

  • Organisaatioiden on täytettävä lupamääräykset ja arvioitava muiden kustannustehokkaiden lähestymistapojen käytännöllisyyttä ISO 27001:2022 liitteen A 8.30 mukaisesti.

  • Organisaatioiden tulee suorittaa turva- ja järjestelmätestejä, kuten tunkeutumistestejä ja koodiskannausta, ISO 27001:2022 liitteen A 8.29 mukaisesti.

ISO 27001:2013 -versio, jossa viitataan nimenomaisesti koodin uudelleenkäyttöön

Vuoden 2013 versio osoitti liitteen A Control 14.2.1:n soveltamisen sekä uusiin kehityssuuntiin että koodin uudelleenkäyttötapauksiin. Standardin ISO 27001:2022 liite A 8.25 ei kuitenkaan sisältynyt viittausta koodin uudelleenkäyttöön.

Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista

Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.

ISO 27001:2022 Organisaation valvonta

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Organisaation valvontaLiite A 5.1Liite A 5.1.1
Liite A 5.1.2		Tietoturvakäytännöt
Organisaation valvontaLiite A 5.2Liite A 6.1.1Tietoturvan roolit ja vastuut
Organisaation valvontaLiite A 5.3Liite A 6.1.2Tehtävien erottelu
Organisaation valvontaLiite A 5.4Liite A 7.2.1Johtamisvastuut
Organisaation valvontaLiite A 5.5Liite A 6.1.3Ota yhteyttä viranomaisiin
Organisaation valvontaLiite A 5.6Liite A 6.1.4Ota yhteyttä erityisiin eturyhmiin
Organisaation valvontaLiite A 5.7UUSIThreat Intelligence
Organisaation valvontaLiite A 5.8Liite A 6.1.5
Liite A 14.1.1		Tietoturva projektinhallinnassa
Organisaation valvontaLiite A 5.9Liite A 8.1.1
Liite A 8.1.2		Tietojen ja muiden niihin liittyvien omaisuuserien luettelo
Organisaation valvontaLiite A 5.10Liite A 8.1.3
Liite A 8.2.3		Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö
Organisaation valvontaLiite A 5.11Liite A 8.1.4Omaisuuden palautus
Organisaation valvontaLiite A 5.12Liite A 8.2.1Tietojen luokitus
Organisaation valvontaLiite A 5.13Liite A 8.2.2Tietojen merkitseminen
Organisaation valvontaLiite A 5.14Liite A 13.2.1
Liite A 13.2.2
Liite A 13.2.3		Tietojen siirto
Organisaation valvontaLiite A 5.15Liite A 9.1.1
Liite A 9.1.2		Kulunvalvonta
Organisaation valvontaLiite A 5.16Liite A 9.2.1Identity Management
Organisaation valvontaLiite A 5.17Liite A 9.2.4
Liite A 9.3.1
Liite A 9.4.3		Todennustiedot
Organisaation valvontaLiite A 5.18Liite A 9.2.2
Liite A 9.2.5
Liite A 9.2.6		Käyttöoikeudet
Organisaation valvontaLiite A 5.19Liite A 15.1.1Tietoturva toimittajasuhteissa
Organisaation valvontaLiite A 5.20Liite A 15.1.2Tietoturvasta huolehtiminen toimittajasopimusten puitteissa
Organisaation valvontaLiite A 5.21Liite A 15.1.3Tietoturvan hallinta ICT:n toimitusketjussa
Organisaation valvontaLiite A 5.22Liite A 15.2.1
Liite A 15.2.2		Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta
Organisaation valvontaLiite A 5.23UUSITietoturva pilvipalveluiden käyttöön
Organisaation valvontaLiite A 5.24Liite A 16.1.1Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu
Organisaation valvontaLiite A 5.25Liite A 16.1.4Tietoturvatapahtumien arviointi ja päätös
Organisaation valvontaLiite A 5.26Liite A 16.1.5Vastaus tietoturvaloukkauksiin
Organisaation valvontaLiite A 5.27Liite A 16.1.6Tietoturvahäiriöistä oppimista
Organisaation valvontaLiite A 5.28Liite A 16.1.7Todisteiden kerääminen
Organisaation valvontaLiite A 5.29Liite A 17.1.1
Liite A 17.1.2
Liite A 17.1.3		Tietoturva häiriön aikana
Organisaation valvontaLiite A 5.30UUSIICT-valmius liiketoiminnan jatkuvuutta varten
Organisaation valvontaLiite A 5.31Liite A 18.1.1
Liite A 18.1.5		Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset
Organisaation valvontaLiite A 5.32Liite A 18.1.2Immateriaalioikeudet
Organisaation valvontaLiite A 5.33Liite A 18.1.3Tietueiden suojaus
Organisaation valvontaLiite A 5.34 Liite A 18.1.4Yksityisyys ja henkilötietojen suoja
Organisaation valvontaLiite A 5.35Liite A 18.2.1Tietoturvan riippumaton katsaus
Organisaation valvontaLiite A 5.36Liite A 18.2.2
Liite A 18.2.3		Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen
Organisaation valvontaLiite A 5.37Liite A 12.1.1Dokumentoidut toimintaohjeet

ISO 27001:2022 People Controls

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Ihmisten ohjauksetLiite A 6.1Liite A 7.1.1Seulonta
Ihmisten ohjauksetLiite A 6.2Liite A 7.1.2Palvelussuhteen ehdot
Ihmisten ohjauksetLiite A 6.3Liite A 7.2.2Tietoturvatietoisuus, koulutus ja koulutus
Ihmisten ohjauksetLiite A 6.4Liite A 7.2.3Kurinpitoprosessi
Ihmisten ohjauksetLiite A 6.5Liite A 7.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
Ihmisten ohjauksetLiite A 6.6Liite A 13.2.4Luottamuksellisuus- tai salassapitosopimukset
Ihmisten ohjauksetLiite A 6.7Liite A 6.2.2Etätyö
Ihmisten ohjauksetLiite A 6.8Liite A 16.1.2
Liite A 16.1.3		Tietoturvatapahtumien raportointi

ISO 27001:2022 Fyysiset kontrollit

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Fyysiset säätimetLiite A 7.1Liite A 11.1.1Fyysisen turvallisuuden rajat
Fyysiset säätimetLiite A 7.2Liite A 11.1.2
Liite A 11.1.6		Fyysinen sisäänpääsy
Fyysiset säätimetLiite A 7.3Liite A 11.1.3Toimistojen, huoneiden ja tilojen turvaaminen
Fyysiset säätimetLiite A 7.4UUSIFyysisen turvallisuuden valvonta
Fyysiset säätimetLiite A 7.5Liite A 11.1.4Fyysisiltä ja ympäristöuhkilta suojautuminen
Fyysiset säätimetLiite A 7.6Liite A 11.1.5Työskentely turvallisilla alueilla
Fyysiset säätimetLiite A 7.7Liite A 11.2.9Selkeä työpöytä ja selkeä näyttö
Fyysiset säätimetLiite A 7.8Liite A 11.2.1Laitteiden sijoitus ja suojaus
Fyysiset säätimetLiite A 7.9Liite A 11.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
Fyysiset säätimetLiite A 7.10Liite A 8.3.1
Liite A 8.3.2
Liite A 8.3.3
 Liite A 11.2.5		Tallennusväline
Fyysiset säätimetLiite A 7.11Liite A 11.2.2Apuohjelmat
Fyysiset säätimetLiite A 7.12Liite A 11.2.3Kaapeloinnin turvallisuus
Fyysiset säätimetLiite A 7.13Liite A 11.2.4Laitteiden huolto
Fyysiset säätimetLiite A 7.14Liite A 11.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

ISO 27001:2022 Tekniset hallintalaitteet

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Tekniset säädötLiite A 8.1Liite A 6.2.1
Liite A 11.2.8		Käyttäjän päätelaitteet
Tekniset säädötLiite A 8.2Liite A 9.2.3Etuoikeutetut käyttöoikeudet
Tekniset säädötLiite A 8.3Liite A 9.4.1Tietoihin pääsyn rajoitus
Tekniset säädötLiite A 8.4Liite A 9.4.5Pääsy lähdekoodiin
Tekniset säädötLiite A 8.5Liite A 9.4.2Suojattu todennus
Tekniset säädötLiite A 8.6Liite A 12.1.3Kapasiteetin hallinta
Tekniset säädötLiite A 8.7Liite A 12.2.1Suojaus haittaohjelmia vastaan
Tekniset säädötLiite A 8.8Liite A 12.6.1
Liite A 18.2.3		Teknisten haavoittuvuuksien hallinta
Tekniset säädötLiite A 8.9UUSIConfiguration Management
Tekniset säädötLiite A 8.10UUSITietojen poistaminen
Tekniset säädötLiite A 8.11UUSITietojen peittäminen
Tekniset säädötLiite A 8.12UUSITietovuotojen esto
Tekniset säädötLiite A 8.13Liite A 12.3.1Tietojen varmuuskopiointi
Tekniset säädötLiite A 8.14Liite A 17.2.1Tietojenkäsittelylaitteiden redundanssi
Tekniset säädötLiite A 8.15Liite A 12.4.1
Liite A 12.4.2
Liite A 12.4.3		Hakkuu
Tekniset säädötLiite A 8.16UUSISeurantatoiminnot
Tekniset säädötLiite A 8.17Liite A 12.4.4Kellon synkronointi
Tekniset säädötLiite A 8.18Liite A 9.4.4Etuoikeutettujen apuohjelmien käyttö
Tekniset säädötLiite A 8.19Liite A 12.5.1
Liite A 12.6.2		Ohjelmistojen asennus käyttöjärjestelmiin
Tekniset säädötLiite A 8.20Liite A 13.1.1Verkkoturvallisuus
Tekniset säädötLiite A 8.21Liite A 13.1.2Verkkopalveluiden turvallisuus
Tekniset säädötLiite A 8.22Liite A 13.1.3Verkkojen erottelu
Tekniset säädötLiite A 8.23UUSIWeb-suodatus
Tekniset säädötLiite A 8.24Liite A 10.1.1
Liite A 10.1.2		Kryptografian käyttö
Tekniset säädötLiite A 8.25Liite A 14.2.1Turvallisen kehityksen elinkaari
Tekniset säädötLiite A 8.26Liite A 14.1.2
Liite A 14.1.3		Sovelluksen suojausvaatimukset
Tekniset säädötLiite A 8.27Liite A 14.2.5Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet
Tekniset säädötLiite A 8.28UUSITurvallinen koodaus
Tekniset säädötLiite A 8.29Liite A 14.2.8
Liite A 14.2.9		Tietoturvatestaus kehitys- ja hyväksymisvaiheessa
Tekniset säädötLiite A 8.30Liite A 14.2.7Ulkoistettu kehitys
Tekniset säädötLiite A 8.31Liite A 12.1.4
Liite A 14.2.6		Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan
Tekniset säädötLiite A 8.32Liite A 12.1.2
Liite A 14.2.2
Liite A 14.2.3
Liite A 14.2.4		Muutoksen hallinta
Tekniset säädötLiite A 8.33Liite A 14.3.1Testitiedot
Tekniset säädötLiite A 8.34Liite A 12.7.1Tietojärjestelmien suojaus tarkastustestauksen aikana

Miten ISMS.online Ohje

Tarkistuslistamme tarjoaa helposti seurattavan oppaan ISO 27001 toteutus. Se toimii kokonaisuutena vaatimustenmukaisuusratkaisu ISO/IEC 27001:2022:lle.

  • Saavuta jopa 81 % edistystä kirjautuessasi sisään.

  • Täydellinen ja yksinkertainen vaatimustenmukaisuusratkaisu.

Ota meihin yhteyttä nyt järjestää mielenosoitus.

Katso, kuinka voimme auttaa sinua

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Varmennettujen tulosten menetelmä
100 % ISO 27001 menestys

Yksinkertainen, käytännöllinen ja aikaa säästävä polkusi ensimmäistä kertaa ISO 27001 -vaatimustenmukaisuuteen tai -sertifiointiin

Varaa esittelysi

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja