Operatiiviset ohjelmistot voidaan yleisesti kuvata mitä tahansa ohjelmistoa, jota yritys käyttää aktiivisesti toiminnan harjoittamiseen, erillään testiohjelmistoista tai kehitysprojekteista.
On erittäin tärkeää varmistaa, että ohjelmistot asennetaan ja hallitaan tiettyyn verkkoon tiukkojen sääntöjen ja vaatimusten mukaisesti, jotka minimoivat riskit, parantavat tehokkuutta ja ylläpitävät turvallisuutta sisäisten ja ulkoisten verkkojen ja palvelujen sisällä.
Ohjaus 8.19 on a ennaltaehkäisevä valvonta että ylläpitää riskiä luomalla sääntöjä, jotka ohjaavat ohjelmiston asentamista käyttöjärjestelmiin.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Suojattu määritys #Sovellusturvallisuus | #Suojaus |
Ohjaus 8.19 käsittelee teknisiä käsitteitä, jotka liittyvät toimivien tietokonejärjestelmien ylläpitoon ja hallintaan. Sellaisenaan omistusoikeuden tulisi olla IT-päälliköllä tai vastaavalla organisaatiolla.
Hallitakseen turvallisesti muutoksia ja asennuksia verkossaan organisaatioiden tulee:
Myyjän toimittamien ohjelmistojen osalta (esim. mikä tahansa ohjelmisto, jota käytetään koneiden käytössä tai tilaustyössä) tällaiset ohjelmistot on aina pidettävä hyvässä toimintakunnossa noudattaen myyjän ohjeita turvallisesta käytöstä.
On tärkeää huomata, että vaikka ohjelmistoja tai ohjelmistomoduuleja toimitettaisiin ja hallittaisiin ulkopuolelta (eli organisaatio ei ole vastuussa päivityksistä), on varmistettava, että kolmannen osapuolen päivitykset eivät vaaranna organisaation verkon eheyttä.
Organisaatioiden tulee välttää tukemattomien toimittajaohjelmistojen käyttöä, ellei se ole ehdottoman välttämätöntä, ja ottaa huomioon redundanttien sovellusten käyttöön liittyvät turvallisuusriskit verrattuna uudempiin ja turvallisempiin järjestelmiin.
Jos toimittaja vaatii pääsyn organisaation verkkoon asennuksen tai päivityksen suorittamiseksi, toimintaa tulee valvoa ja validoida kaikkien asiaankuuluvien valtuutusmenettelyjen mukaisesti (katso valvonta 5.22).
Ohjelmistot tulee päivittää, asentaa ja/tai korjata organisaation julkaisemien muutoksenhallintamenettelyjen mukaisesti, jotta varmistetaan yhdenmukaisuus muiden liiketoiminnan osa-alueiden kanssa.
Aina kun tunnistetaan korjaustiedosto, joka joko eliminoi kokonaan haavoittuvuuden (tai sarjan haavoittuvuuksia) tai auttaa jollain tavalla parantamaan organisaation tietoturvatoimintaa, tällaisia muutoksia tulee tehdä melkein aina (vaikka tällaisia muutoksia on vielä arvioitava tapauskohtaisesti).
Jos ilmenee tarvetta käyttää avoimen lähdekoodin ohjelmistoja, sen tulee aina olla viimeisin julkisesti saatavilla oleva versio, jota ylläpidetään aktiivisesti. Näin ollen organisaatioiden tulee ottaa huomioon ylläpitämättömien ohjelmistojen käyttöön liittyvät riskit kaikissa liiketoimintatoiminnoissa.
ISO 27002:2022-8.19 korvaa standardit ISO 27002:2003-12.5.1 (Ohjelmiston asennus käyttöjärjestelmiin) ja 12.6.2 (Ohjelmiston asennuksen rajoitukset).
27002:2022-8.19 on yhdistelmä useimpien ohjeiden 27002:2003-12.5.1 ja 12.6.2 sisältämistä neuvoista, ja useita keskeisiä käsitteitä on laajennettu lyhyesti ja joihin on lisätty joitain uusia ohjausperiaatteita:
ISMS.Online on täydellinen ratkaisu ISO 27002 -toteutukseen. Se on verkkopohjainen järjestelmä, jonka avulla voit osoittaa, että tietoturvan hallintajärjestelmäsi (ISMS) on hyväksyttyjen standardien mukainen, käyttämällä hyvin harkittuja prosesseja, menettelyjä ja tarkistuslistoja.
Se ei ole vain helppokäyttöinen alusta ISO 27002 -toteutuksen hallintaan, vaan myös erinomainen työkalu henkilöstösi kouluttamiseen tietoturvan parhaista käytännöistä ja prosesseista sekä kaikkien ponnistelujesi dokumentoimiseen.
ISMS.Onlinen käytön edut:
Ota yhteyttä jo tänään varaa esittely.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |