ISO 27001:2022 Liite A Valvonta 8.27

Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet

Varaa demo

lähikuva,kuva,naisesta,käsistä,kirjoitus,kannettavalla,tietokoneella

ISO 27001: 2022 Liite A 8.27 määrittelee, että organisaatioiden tulee ottaa käyttöön turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet varmistaakseen, että tietojärjestelmän suunnittelu, toteutus ja hallinta vastaavat organisaation turvallisuusvaatimuksia. Tämä sisältää turvallisten järjestelmäarkkitehtuurien, suunnitteluperiaatteiden ja turvallisten suunnittelukäytäntöjen luomisen.

Nykyaikaisten tietojärjestelmien monimutkaiset rakenteet yhdistettynä jatkuvasti muuttuvaan kyberturvallisuusriskiympäristöön tekevät tietojärjestelmistä alttiimpia olemassa oleville ja mahdollisille turvallisuusuhkille.

Liitteen A kohdassa 8.27 kuvataan miten organisaatiot voivat suojata tietojärjestelmänsä tietoturvauhkilta turvallisten järjestelmäsuunnitteluperiaatteiden toteuttamisen kautta tietojärjestelmän elinkaaren kaikissa vaiheissa.

ISO 27001:2022 liitteen A tarkoitus 8.27

Liite A 8.27 auttaa organisaatioita turvaamaan tietojärjestelmät suunnittelun, käyttöönoton ja käytön aikana luomalla ja toteuttamalla turvallisia järjestelmäsuunnittelun periaatteita, joita järjestelmäsuunnittelijoiden on noudatettava.

Liitteen A omistusoikeus 8.27

- Tietoturvajohtaja on vastuussa tietojärjestelmien turvallista suunnittelua koskevien sääntöjen rakentamisesta, ylläpitämisestä ja toteuttamisesta.

Siirry aiheeseen

Yleiset ohjeet standardista ISO 27001:2022 Liite A 8.27 Vaatimustenmukaisuus

ISO 27001:2022 Liite A 8.27 korostaa, että organisaatioiden on integroitava turvallisuus tietojärjestelmiinsä, mukaan lukien liiketoimintaprosessit, sovellukset ja tietoarkkitehtuuri.

Turvalliset suunnittelukäytännöt tulisi ottaa käyttöön kaikissa tietojärjestelmiin liittyvissä tehtävissä, ja ne on tarkistettava ja päivitettävä säännöllisesti uusien uhkien ja hyökkäysmallien huomioon ottamiseksi.

Liite A 8.27 koskee myös ulkoisten palveluntarjoajien luomia järjestelmiä sisäisesti kehitettyjen ja ylläpidettävien järjestelmien lisäksi.

Organisaatioiden tulee taata, että palveluntarjoajien käytännöt ja standardit ovat sopusoinnussa suojattujen suunnitteluprotokollien kanssa.

ISO 27001:2022 Liite A 8.27 edellyttää turvallisia järjestelmäsuunnitteluperiaatteita seuraavien kahdeksan aiheen käsittelemiseksi:

  1. Käyttäjien todennusmenetelmät.

  2. Turvallinen istunnonhallintaopastus.

  3. Tietojen desinfiointi- ja validointimenettelyt.

  4. Tietovarallisuuden ja -järjestelmien suojaamiseksi tunnetuilta uhilta analysoidaan kattavasti turvatoimia.

  5. Suojaustoimenpiteitä analysoitiin niiden kykyä tunnistaa, poistaa ja vastata turvallisuusuhkiin.

  6. Analysoidaan tiettyihin liiketoimintatoimintoihin sovellettavia turvatoimia, kuten tietojen salausta.

  7. Missä ja miten turvatoimet toteutetaan. Tekniseen infrastruktuuriin voidaan sisällyttää erityinen liitteen A turvavalvonta osana tätä prosessia.

  8. Tapa, jolla erilaiset turvatoimenpiteet toimivat yhdessä ja toimivat yhdistettynä järjestelmänä.

Ohjeita nollaluottamusperiaatteesta

Organisaatioiden tulee pitää mielessä nämä nollaluottamuksen periaatteet:

  • Perustuu olettamukseen, että organisaation järjestelmät ovat jo vaarantuneet ja että sen verkon määritelty reunaturvallisuus ei pysty tarjoamaan riittävää suojaa.

  • Tietojärjestelmiin pääsyn myöntämisessä tulisi noudattaa "varmennus ennen luottamusta" -politiikkaa. Näin varmistetaan, että käyttöoikeus myönnetään vasta tarkastelun jälkeen, jolloin varmistetaan, että oikeat ihmiset saavat sen.

  • Tietojärjestelmiin tehtyjen pyyntöjen turvaaminen päästä päähän -salauksella antaa varmuutta.

  • Varmennusmekanismit toteutetaan olettaen pääsypyynnöt ulkoisista, avoimista verkoista tietojärjestelmiin.

  • Ota käyttöön vähiten etuoikeus ja dynaaminen kulunvalvonta standardin ISO 27001:2022 liitteen A 5.15, 5.18 ja 8.2 mukaisesti. Tämän on katettava arkaluonteisten tietojen ja tietojärjestelmien todennus ja valtuutus ottaen huomioon kontekstuaaliset näkökohdat, kuten käyttäjätunnukset (ISO 27001:2022 liite A 5.16) ja tietojen luokittelu (ISO 27001:2022 liite A 5.12).

  • Todentaa pyytäjän henkilöllisyys ja varmentaa tietojärjestelmiin pääsyä koskevat valtuutuspyynnöt ISO 27001:2022 liitteen A 5.17, 5.16 ja 8.5 todennustietojen mukaisesti.

Mitä suojattujen järjestelmäsuunnittelutekniikoiden tulisi kattaa?

Organisaation tulee pitää mielessä seuraavat asiat:

  • Sisältää suojatun arkkitehtuurin periaatteet, kuten "suunniteltu turvallisuus", "syvä puolustus", "epäonnistuu turvallisesti", "ei luota ulkoisten sovellusten syötteeseen", "olettaa tietomurron", "vähiten etuoikeus", "käytettävyys ja hallittavuus" ja "vähiten toimivuus" ” on tärkeintä.

  • Turvallisuuslähtöisen suunnittelun tarkastelun tekeminen tietoturvaongelmien havaitsemiseksi ja sen varmistaminen, että turvatoimenpiteet on otettu käyttöön ja vastaavat turvallisuustarpeita.

  • On välttämätöntä dokumentoida ja tunnustaa turvatoimenpiteet, jotka eivät täytä vaatimuksia.

  • Järjestelmän karkaisu on välttämätöntä minkä tahansa järjestelmän turvallisuuden kannalta.

Mitä kriteerejä tulee ottaa huomioon turvallisten suunnitteluperiaatteiden suunnittelussa?

Organisaatioiden tulee ottaa huomioon seuraavat seikat määrittäessään suojattuja järjestelmäsuunnittelun periaatteita:

  • Vaatimus liitteen A valvontatoimien yhteensovittamisesta tietyn turvallisuusarkkitehtuurin kanssa on välttämätön.

  • Organisaation olemassa oleva tekninen turvallisuusinfrastruktuuri, mukaan lukien julkisen avaimen infrastruktuuri, identiteetin hallinta ja tietovuotojen esto.

  • Pystyykö organisaatio rakentamaan ja ylläpitämään valittua teknologiaa.

  • Turvavaatimusten täyttämiseen tarvittavat kustannukset ja aika on otettava huomioon niiden monimutkaisuus huomioon ottaen.

  • Nykyisten parhaiden käytäntöjen noudattaminen on välttämätöntä.

Secure System Engineering -periaatteiden soveltamisohjeet

ISO 27001:2022 liitteessä A 8.27 todetaan, että organisaatiot voivat käyttää turvallisia suunnitteluperiaatteita perustaessaan seuraavia:

  • Vikasietokyky ja muut sietokykystrategiat ovat välttämättömiä. Ne auttavat varmistamaan, että järjestelmät pysyvät toiminnassa odottamattomista tapahtumista huolimatta.

  • Virtualisoinnin kautta tapahtuva erottelu on yksi tekniikka, jota voidaan hyödyntää.

  • Vuorottelusuojaus, varmista, että järjestelmät pysyvät turvallisina ja haitallisille häiriöille läpäisemättöminä.

Suojattu virtualisointitekniikka voi vähentää samalla laitteessa olevien sovellusten välisen sieppauksen riskiä.

Korostetaan, että peukaloinnin estojärjestelmät voivat havaita sekä loogisen että fyysisen tietojärjestelmien manipuloinnin, mikä estää luvattoman pääsyn tietoihin.

Muutokset ja erot ISO 27001:2013:sta

ISO 27001:2022 Liite A 8.27 korvaa ISO 27001:2013 liitteen A 14.2.5 tarkistetussa 2022 standardissa.

Vuoden 2022 versio sisältää laajempia vaatimuksia kuin vuoden 2013 versio, kuten:

  • Vuoteen 2013 verrattuna vuoden 2022 versio antaa ohjeita siitä, mitä turvallisten suunnitteluperiaatteiden tulee sisältää.

  • Vuoden 2013 iteraatiosta poiketen vuoden 2022 versio huomioi ne kriteerit, jotka organisaatioiden tulee ottaa huomioon turvallisia järjestelmäsuunnitteluperiaatteita rakentaessaan.

  • Vuoden 2022 versio antaa ohjeita nollaluottamusperiaatteesta, jota ei sisällytetty vuoden 2013 versioon.

  • Asiakirjan vuoden 2022 painos sisältää suosituksia turvallisista suunnittelutekniikoista, kuten "security by design", jota ei ollut vuoden 2013 versiossa.

Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista

Alla olevasta taulukosta löydät lisätietoja jokaisesta henkilöstä ISO 27001:2022 liite A Ohjaus.

ISO 27001:2022 Organisaation valvonta

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Organisaation valvontaLiite A 5.1Liite A 5.1.1
Liite A 5.1.2		Tietoturvakäytännöt
Organisaation valvontaLiite A 5.2Liite A 6.1.1Tietoturvan roolit ja vastuut
Organisaation valvontaLiite A 5.3Liite A 6.1.2Tehtävien erottelu
Organisaation valvontaLiite A 5.4Liite A 7.2.1Johtamisvastuut
Organisaation valvontaLiite A 5.5Liite A 6.1.3Ota yhteyttä viranomaisiin
Organisaation valvontaLiite A 5.6Liite A 6.1.4Ota yhteyttä erityisiin eturyhmiin
Organisaation valvontaLiite A 5.7UUSIThreat Intelligence
Organisaation valvontaLiite A 5.8Liite A 6.1.5
Liite A 14.1.1		Tietoturva projektinhallinnassa
Organisaation valvontaLiite A 5.9Liite A 8.1.1
Liite A 8.1.2		Tietojen ja muiden niihin liittyvien omaisuuserien luettelo
Organisaation valvontaLiite A 5.10Liite A 8.1.3
Liite A 8.2.3		Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö
Organisaation valvontaLiite A 5.11Liite A 8.1.4Omaisuuden palautus
Organisaation valvontaLiite A 5.12Liite A 8.2.1Tietojen luokitus
Organisaation valvontaLiite A 5.13Liite A 8.2.2Tietojen merkitseminen
Organisaation valvontaLiite A 5.14Liite A 13.2.1
Liite A 13.2.2
Liite A 13.2.3		Tietojen siirto
Organisaation valvontaLiite A 5.15Liite A 9.1.1
Liite A 9.1.2		Kulunvalvonta
Organisaation valvontaLiite A 5.16Liite A 9.2.1Identity Management
Organisaation valvontaLiite A 5.17Liite A 9.2.4
Liite A 9.3.1
Liite A 9.4.3		Todennustiedot
Organisaation valvontaLiite A 5.18Liite A 9.2.2
Liite A 9.2.5
Liite A 9.2.6		Käyttöoikeudet
Organisaation valvontaLiite A 5.19Liite A 15.1.1Tietoturva toimittajasuhteissa
Organisaation valvontaLiite A 5.20Liite A 15.1.2Tietoturvasta huolehtiminen toimittajasopimusten puitteissa
Organisaation valvontaLiite A 5.21Liite A 15.1.3Tietoturvan hallinta ICT:n toimitusketjussa
Organisaation valvontaLiite A 5.22Liite A 15.2.1
Liite A 15.2.2		Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta
Organisaation valvontaLiite A 5.23UUSITietoturva pilvipalveluiden käyttöön
Organisaation valvontaLiite A 5.24Liite A 16.1.1Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu
Organisaation valvontaLiite A 5.25Liite A 16.1.4Tietoturvatapahtumien arviointi ja päätös
Organisaation valvontaLiite A 5.26Liite A 16.1.5Vastaus tietoturvaloukkauksiin
Organisaation valvontaLiite A 5.27Liite A 16.1.6Tietoturvahäiriöistä oppimista
Organisaation valvontaLiite A 5.28Liite A 16.1.7Todisteiden kerääminen
Organisaation valvontaLiite A 5.29Liite A 17.1.1
Liite A 17.1.2
Liite A 17.1.3		Tietoturva häiriön aikana
Organisaation valvontaLiite A 5.30UUSIICT-valmius liiketoiminnan jatkuvuutta varten
Organisaation valvontaLiite A 5.31Liite A 18.1.1
Liite A 18.1.5		Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset
Organisaation valvontaLiite A 5.32Liite A 18.1.2Immateriaalioikeudet
Organisaation valvontaLiite A 5.33Liite A 18.1.3Tietueiden suojaus
Organisaation valvontaLiite A 5.34 Liite A 18.1.4Yksityisyys ja henkilötietojen suoja
Organisaation valvontaLiite A 5.35Liite A 18.2.1Tietoturvan riippumaton katsaus
Organisaation valvontaLiite A 5.36Liite A 18.2.2
Liite A 18.2.3		Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen
Organisaation valvontaLiite A 5.37Liite A 12.1.1Dokumentoidut toimintaohjeet

ISO 27001:2022 People Controls

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Ihmisten ohjauksetLiite A 6.1Liite A 7.1.1Seulonta
Ihmisten ohjauksetLiite A 6.2Liite A 7.1.2Palvelussuhteen ehdot
Ihmisten ohjauksetLiite A 6.3Liite A 7.2.2Tietoturvatietoisuus, koulutus ja koulutus
Ihmisten ohjauksetLiite A 6.4Liite A 7.2.3Kurinpitoprosessi
Ihmisten ohjauksetLiite A 6.5Liite A 7.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
Ihmisten ohjauksetLiite A 6.6Liite A 13.2.4Luottamuksellisuus- tai salassapitosopimukset
Ihmisten ohjauksetLiite A 6.7Liite A 6.2.2Etätyö
Ihmisten ohjauksetLiite A 6.8Liite A 16.1.2
Liite A 16.1.3		Tietoturvatapahtumien raportointi

ISO 27001:2022 Fyysiset kontrollit

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Fyysiset säätimetLiite A 7.1Liite A 11.1.1Fyysisen turvallisuuden rajat
Fyysiset säätimetLiite A 7.2Liite A 11.1.2
Liite A 11.1.6		Fyysinen sisäänpääsy
Fyysiset säätimetLiite A 7.3Liite A 11.1.3Toimistojen, huoneiden ja tilojen turvaaminen
Fyysiset säätimetLiite A 7.4UUSIFyysisen turvallisuuden valvonta
Fyysiset säätimetLiite A 7.5Liite A 11.1.4Fyysisiltä ja ympäristöuhkilta suojautuminen
Fyysiset säätimetLiite A 7.6Liite A 11.1.5Työskentely turvallisilla alueilla
Fyysiset säätimetLiite A 7.7Liite A 11.2.9Selkeä työpöytä ja selkeä näyttö
Fyysiset säätimetLiite A 7.8Liite A 11.2.1Laitteiden sijoitus ja suojaus
Fyysiset säätimetLiite A 7.9Liite A 11.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
Fyysiset säätimetLiite A 7.10Liite A 8.3.1
Liite A 8.3.2
Liite A 8.3.3
 Liite A 11.2.5		Tallennusväline
Fyysiset säätimetLiite A 7.11Liite A 11.2.2Apuohjelmat
Fyysiset säätimetLiite A 7.12Liite A 11.2.3Kaapeloinnin turvallisuus
Fyysiset säätimetLiite A 7.13Liite A 11.2.4Laitteiden huolto
Fyysiset säätimetLiite A 7.14Liite A 11.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

ISO 27001:2022 Tekniset hallintalaitteet

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Tekniset säädötLiite A 8.1Liite A 6.2.1
Liite A 11.2.8		Käyttäjän päätelaitteet
Tekniset säädötLiite A 8.2Liite A 9.2.3Etuoikeutetut käyttöoikeudet
Tekniset säädötLiite A 8.3Liite A 9.4.1Tietoihin pääsyn rajoitus
Tekniset säädötLiite A 8.4Liite A 9.4.5Pääsy lähdekoodiin
Tekniset säädötLiite A 8.5Liite A 9.4.2Suojattu todennus
Tekniset säädötLiite A 8.6Liite A 12.1.3Kapasiteetin hallinta
Tekniset säädötLiite A 8.7Liite A 12.2.1Suojaus haittaohjelmia vastaan
Tekniset säädötLiite A 8.8Liite A 12.6.1
Liite A 18.2.3		Teknisten haavoittuvuuksien hallinta
Tekniset säädötLiite A 8.9UUSIConfiguration Management
Tekniset säädötLiite A 8.10UUSITietojen poistaminen
Tekniset säädötLiite A 8.11UUSITietojen peittäminen
Tekniset säädötLiite A 8.12UUSITietovuotojen esto
Tekniset säädötLiite A 8.13Liite A 12.3.1Tietojen varmuuskopiointi
Tekniset säädötLiite A 8.14Liite A 17.2.1Tietojenkäsittelylaitteiden redundanssi
Tekniset säädötLiite A 8.15Liite A 12.4.1
Liite A 12.4.2
Liite A 12.4.3		Hakkuu
Tekniset säädötLiite A 8.16UUSISeurantatoiminnot
Tekniset säädötLiite A 8.17Liite A 12.4.4Kellon synkronointi
Tekniset säädötLiite A 8.18Liite A 9.4.4Etuoikeutettujen apuohjelmien käyttö
Tekniset säädötLiite A 8.19Liite A 12.5.1
Liite A 12.6.2		Ohjelmistojen asennus käyttöjärjestelmiin
Tekniset säädötLiite A 8.20Liite A 13.1.1Verkkoturvallisuus
Tekniset säädötLiite A 8.21Liite A 13.1.2Verkkopalveluiden turvallisuus
Tekniset säädötLiite A 8.22Liite A 13.1.3Verkkojen erottelu
Tekniset säädötLiite A 8.23UUSIWeb-suodatus
Tekniset säädötLiite A 8.24Liite A 10.1.1
Liite A 10.1.2		Kryptografian käyttö
Tekniset säädötLiite A 8.25Liite A 14.2.1Turvallisen kehityksen elinkaari
Tekniset säädötLiite A 8.26Liite A 14.1.2
Liite A 14.1.3		Sovelluksen suojausvaatimukset
Tekniset säädötLiite A 8.27Liite A 14.2.5Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet
Tekniset säädötLiite A 8.28UUSITurvallinen koodaus
Tekniset säädötLiite A 8.29Liite A 14.2.8
Liite A 14.2.9		Tietoturvatestaus kehitys- ja hyväksymisvaiheessa
Tekniset säädötLiite A 8.30Liite A 14.2.7Ulkoistettu kehitys
Tekniset säädötLiite A 8.31Liite A 12.1.4
Liite A 14.2.6		Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan
Tekniset säädötLiite A 8.32Liite A 12.1.2
Liite A 14.2.2
Liite A 14.2.3
Liite A 14.2.4		Muutoksen hallinta
Tekniset säädötLiite A 8.33Liite A 14.3.1Testitiedot
Tekniset säädötLiite A 8.34Liite A 12.7.1Tietojärjestelmien suojaus tarkastustestauksen aikana

Miten ISMS.online Ohje

Vaiheittainen tarkistuslistamme tekee ISO 27001 -toteutuksesta helppoa. Meidän täydellinen vaatimustenmukaisuusratkaisu ISO/IEC 27001:2022 opastaa sinut prosessin läpi alusta loppuun.

Kun kirjaudut sisään, voit odottaa jopa 81 % edistystä.

Tämä ratkaisu on täysin kattava ja yksinkertainen.

Ota yhteyttä nyt varata esittely.

Katso ISMS.online
toiminnassa

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

Päivitetty ISO 27001 2022 -standardia varten
  • 81 % työstä on tehty puolestasi
  • Varmennettujen tulosten menetelmä sertifioinnin onnistumiseen
  • Säästä aikaa, rahaa ja vaivaa
Varaa esittelysi
img

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja