Hyppää sisältöön
ISMS.online

ISO 27002:2022 – Valvonta 8.21 – Verkkopalvelujen turvallisuus

ISO 27002 Control 8.21: Security of Network Services hahmottelee parhaat käytännöt verkkopalvelujen turvaamiseen, luottamuksellisuuden, eheyden ja käytettävyyden varmistamiseen autentikoinnin, salauksen, pääsynhallinnan ja palvelutasosopimusten (SLA) avulla.

kirjailija
Sam Peters
Päivitetty heinäkuu 25, 2025
4/5 tähteä

Valvonnan tarkoitus 8.21

Tietojenkäsittelyssä "verkkopalvelua" voidaan kuvata laajasti "verkkosovelluskerroksessa" toimivaksi järjestelmäksi, kuten esim. sähköposti, tulostus, Tai tiedostopalvelin. Verkkopalveluihin kuuluvat myös hallitut sovellukset ja tietoturvaratkaisut, kuten palomuurit tai yhdyskäytävä virustorjuntaalustoille, tunkeutumisen havaitsemisjärjestelmät ja yhteyspalvelut.

Verkkopalvelut edustavat usein verkon tärkeimpiä toiminnallisia osia ja ovat kriittisiä nykyaikaisen kaupallisen ICT-verkon päivittäiselle toiminnalle. Turvallisuus on siksi ensiarvoisen tärkeää, ja verkkopalvelujen käyttöä on seurattava tarkasti ja hallittava suoraan siihen liittyvän epäonnistumisen, tunkeutumisen ja liiketoiminnan häiriöiden riskin minimoimiseksi.

Attribuuttien ohjaustaulukko 8.21

Ohjaus 8.21 on a ennaltaehkäisevä valvonta että ylläpitää riskiä luomalla joukko sääntöjä, jotka säätelevät sekä verkkopalvelujen että yhdistyksen kautta itse isäntäverkon käyttöä.

Ohjaus Tietoturvaominaisuudet Kyberturvallisuuden käsitteet Toiminnalliset valmiudet Turvallisuus Domains
#Ennaltaehkäisevä #Luottamuksellisuus #Suojella #Järjestelmä- ja verkkoturvallisuus #Suojaus
#Integrity
#Saatavuus

Määräysvallan omistus 8.21

Ohjaus 8.21 käsittelee teknisiä käsitteitä, jotka liittyvät organisaation ICT-verkon useiden keskeisten komponenttien ylläpitoon ja hallintaan. Sellaisenaan omistusoikeuden tulisi olla IT-päälliköllä tai vastaavalla organisaatiolla.



ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

81 %:n etumatka ensimmäisestä päivästä lähtien

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita


Yleiset noudattamisohjeet

Ohjaus 8.21 tunnistaa kolme pääasiallista suojaustyyppiä, kun käsitellään laajempaa verkkopalvelun turvallisuuden käsitettä:

  1. Suojausominaisuudet
  2. Palvelutasot
  3. Palveluvaatimukset

Kaikkien sisäisten ja ulkoisten verkkopalvelujen tarjoajien tulee ottaa nämä kolme toimenpidettä huomioon, ja organisaation tulee ryhtyä toimiin varmistaakseen, että palveluntarjoajat täyttävät velvollisuutensa aina.

Organisaatioiden tulee arvioida verkkopalveluntarjoaja sen perusteella, kuinka he pystyvät hallitsemaan palveluja yksiselitteisten SLA-sopimusten mukaisesti, ja valvomaan noudattamista parhaan kykynsä mukaan.

Osa tästä toiminnallisesta arvioinnista tulee sisältää luotettavista lähteistä saatuja viitteitä, jotka osoittavat verkkopalveluntarjoajan kyvyn hallita palveluita turvallisesti ja tehokkaasti.

Verkkoturvallisuussääntöjen tulee sisältää:

  1. Kaikki verkkopalvelut ja niihin liittyvät verkot, joihin pääsy on sallittu.
  2. Todennusvaatimukset mainittuihin verkkopalveluihin pääsylle, mukaan lukien kuka on valtuutettu käyttämään niitä, mistä ja milloin he voivat tehdä niin.
  3. Miten henkilöstö saa ennakkoluvan käyttää verkkopalveluja, mukaan lukien lopullinen kirjautuminen ja liiketoimintatapausanalyysi.
  4. Vankka joukko verkonhallintaohjaimia, jotka suojaavat verkkopalveluita väärinkäytöltä ja luvattomalta käytöltä.
  5. Miten henkilöstöllä on pääsy verkkopalveluihin (eli etänä tai yksinomaan paikan päällä).
  6. Lokimenettelyt, jotka sisältävät yksityiskohtaisesti tärkeimmät tiedot verkkopalvelujen pääsystä ja niitä käyttävistä henkilöistä – esim. aika, sijainti ja laitetiedot.
  7. Verkkopalvelujen käytön seuranta.

Ohjeet – Verkkopalvelun suojaus

Ohjaus 8.21 sisältää myös ohjeita siitä, kuinka parantaa kaikkien verkkopalvelujen turvallisuutta, mukaan lukien taustatoiminnot ja käyttäjän toiminta.

  • Organisaatioiden tulee ottaa huomioon turvaominaisuudet, kuten autentikointi, salaus ja yhteyden säätimet.
  • On määritettävä jäykät parametrit, jotka sanelevat yhteyden verkkopalveluihin.
  • Käyttäjien tulisi voida valita verkkopalvelun välimuistiin tallentaman (väliaikaisesti tallennetun) tiedon määrä sekä parantaakseen yleistä suorituskykyä että varmistaakseen, että tietoja ei tallenneta liikaa niin, että siitä muodostuisi konkreettinen turvallisuusriski.
  • Verkkopalveluihin pääsyn rajoittaminen.


ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Muutokset ja erot standardista ISO 27002:2013

ISO 27002:2022-8.21 korvaa standardin ISO 27002:2003-13.1.2 (Verkkopalveluiden turvallisuus).

27002:2022-8.21 sisältää useita merkittäviä lisäyksiä vuoden 2013 vastineeseensa, joista jälkimmäinen keskittyy kokonaan verkkopalvelun turvallisuuteen (joka sisältää samat ohjeistukset) ja jättää pois minkäänlaisia ​​yleisiä ohjeita verkkosäännöistä (katso edellä kohdat 1-7 "Yleiset ohjeet").

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.7 UUSI Uhan älykkyys
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.30 UUSI ICT-valmius liiketoiminnan jatkuvuuteen
7.4 UUSI Fyysisen turvallisuuden valvonta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.16 UUSI Toimien seuranta
8.23 UUSI Web-suodatus
8.28 UUSI Turvallinen koodaus
Organisaation valvonta
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.1 05.1.1, 05.1.2 Tietoturvakäytännöt
5.2 06.1.1 Tietoturvaroolit ja -vastuut
5.3 06.1.2 Tehtävien eriyttäminen
5.4 07.2.1 Johdon vastuut
5.5 06.1.3 Yhteys viranomaisiin
5.6 06.1.4 Ota yhteyttä erityisiin eturyhmiin
5.7 UUSI Uhan älykkyys
5.8 06.1.5, 14.1.1 Tietoturva projektinhallinnassa
5.9 08.1.1, 08.1.2 Tietojen ja muiden niihin liittyvien varojen luettelo
5.10 08.1.3, 08.2.3 Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11 08.1.4 Omaisuuden palautus
5.12 08.2.1 Tietojen luokitus
5.13 08.2.2 Tietojen merkitseminen
5.14 13.2.1, 13.2.2, 13.2.3 Tietojen siirto
5.15 09.1.1, 09.1.2 Kulunvalvonta
5.16 09.2.1 Identiteettihallinta
5.17 09.2.4, 09.3.1, 09.4.3 Todennustiedot
5.18 09.2.2, 09.2.5, 09.2.6 Käyttöoikeudet
5.19 15.1.1 Tietoturva toimittajasuhteissa
5.20 15.1.2 Tietoturvan huomioiminen toimittajasopimuksissa
5.21 15.1.3 Tietoturvan hallinta ICT-toimitusketjussa
5.22 15.2.1, 15.2.2 Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.24 16.1.1 Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25 16.1.4 Tietoturvatapahtumien arviointi ja päätös
5.26 16.1.5 Tietoturvahäiriöihin reagointi
5.27 16.1.6 Tietoturvahäiriöistä oppiminen
5.28 16.1.7 Todisteiden kerääminen
5.29 17.1.1, 17.1.2, 17.1.3 Tietoturva häiriön aikana
5.30 5.30 ICT-valmius liiketoiminnan jatkuvuuteen
5.31 18.1.1, 18.1.5 Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32 18.1.2 Immateriaalioikeudet
5.33 18.1.3 Tietueiden suojaus
5.34 18.1.4 Yksityisyys ja henkilötietojen suoja
5.35 18.2.1 Riippumaton tietoturvatarkastus
5.36 18.2.2, 18.2.3 Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37 12.1.1 Dokumentoidut toimintaohjeet
Ihmisten ohjaukset
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
6.1 07.1.1 Seulonta
6.2 07.1.2 Työsuhteen ehdot
6.3 07.2.2 Tietoturvatietoisuus, koulutus ja koulutus
6.4 07.2.3 Kurinpitoprosessi
6.5 07.3.1 Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6 13.2.4 Luottamuksellisuus- tai salassapitosopimukset
6.7 06.2.2 Etätyö
6.8 16.1.2, 16.1.3 Tietoturvatapahtumaraportointi
Fyysiset säätimet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
7.1 11.1.1 Fyysisen turvallisuuden rajat
7.2 11.1.2, 11.1.6 Fyysinen sisääntulo
7.3 11.1.3 Toimistojen, huoneiden ja tilojen turvaaminen
7.4 UUSI Fyysisen turvallisuuden valvonta
7.5 11.1.4 Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6 11.1.5 Työskentely turvallisilla alueilla
7.7 11.2.9 Selkeä pöytä ja selkeä näyttö
7.8 11.2.1 Laitteiden sijoitus ja suojaus
7.9 11.2.6 Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Tallennusvälineet
7.11 11.2.2 Apuohjelmia tukevat
7.12 11.2.3 Kaapeloinnin turvallisuus
7.13 11.2.4 Laitehuolto
7.14 11.2.7 Laitteiden turvallinen hävittäminen tai uudelleenkäyttö
Tekniset säädöt
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
8.1 06.2.1, 11.2.8 Käyttäjän päätelaitteet
8.2 09.2.3 Etuoikeutetut käyttöoikeudet
8.3 09.4.1 Tiedon pääsyn rajoitus
8.4 09.4.5 Pääsy lähdekoodiin
8.5 09.4.2 Turvallinen todennus
8.6 12.1.3 Kapasiteetin hallinta
8.7 12.2.1 Suojaus haittaohjelmia vastaan
8.8 12.6.1, 18.2.3 Teknisten haavoittuvuuksien hallinta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.13 12.3.1 Tietojen varmuuskopiointi
8.14 17.2.1 Tietojenkäsittelylaitteiden redundanssi
8.15 12.4.1, 12.4.2, 12.4.3 Hakkuu
8.16 UUSI Toimien seuranta
8.17 12.4.4 Kellon synkronointi
8.18 09.4.4 Etuoikeutettujen apuohjelmien käyttö
8.19 12.5.1, 12.6.2 Ohjelmistojen asennus käyttöjärjestelmiin
8.20 13.1.1 Verkkojen turvallisuus
8.21 13.1.2 Verkkopalvelujen turvallisuus
8.22 13.1.3 Verkkojen erottelu
8.23 UUSI Web-suodatus
8.24 10.1.1, 10.1.2 Salaustekniikan käyttö
8.25 14.2.1 Turvallinen kehityksen elinkaari
8.26 14.1.2, 14.1.3 Sovelluksen suojausvaatimukset
8.27 14.2.5 Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28 UUSI Turvallinen koodaus
8.29 14.2.8, 14.2.9 Tietoturvatestausta kehitetään ja hyväksytään
8.30 14.2.7 Ulkoistettu kehitys
8.31 12.1.4, 14.2.6 Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Muutoksen hallinta
8.33 14.3.1 Testitiedot
8.34 12.7.1 Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

ISO 27002 -standardi on joukko ohjeita, jotka auttavat organisaatioita suojaamaan tietoresurssejaan. Se soveltuu kaikentyyppisiin organisaatioihin niiden koosta, rakenteesta tai toimialasta riippumatta.

ISMS.online on pilvipohjainen alusta, joka tarjoaa apua ISO 27002 -standardin tehokkaassa ja kustannustehokkaassa käyttöönotossa.

Se tarjoaa organisaatioille helpon pääsyn ajantasaisiin tietoihin vaatimustenmukaisuuden tilasta aina käyttäjäystävällisen kojelautaliittymänsä kautta, jonka avulla johtajat voivat seurata edistymistään vaatimustenmukaisuuden saavuttamisessa nopeasti ja helposti.

Ota yhteyttä jo tänään aikataulun esittely.

Sam Peters

Sam on Chief Product Officer ISMS.onlinessa ja johtaa kaikkien tuoteominaisuuksien ja toimintojen kehitystä. Sam on asiantuntija monilla vaatimustenmukaisuuden aloilla ja työskentelee asiakkaiden kanssa kaikissa mittatilaustyönä tehdyissä tai suurissa projekteissa.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta kokonaan kristallilla

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Syksy 2025
Huippusuorittaja, pienyritys - syksy 2025, Iso-Britannia
Aluejohtaja - Syksy 2025 Eurooppa
Aluejohtaja - Syksy 2025 EMEA
Aluejohtaja - Syksy 2025, Iso-Britannia
Huippusuorittaja - Syksy 2025 Eurooppa Keskisuuret markkinat

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.