Yritykset tekivät 90-luvulla tietoturvatestejä ohjelmistotuotteille ja -järjestelmille vain testausvaiheessa, ohjelmistokehityksen elinkaaren loppuvaiheessa.
Tämän seurauksena he eivät useinkaan onnistuneet havaitsemaan ja poistamaan kriittisiä haavoittuvuuksia, bugeja ja puutteita.
Tietoturvahaavoittuvuuksien tunnistamiseksi ja korjaamiseksi varhaisessa vaiheessa organisaatioiden tulee sisällyttää tietoturvanäkökohdat kaikkiin kehitysvaiheiden elinkaaren vaiheisiin suunnittelusta käyttöönottovaiheeseen.
Control 8.25 käsittelee sitä, kuinka organisaatiot voivat laatia ja toteuttaa sääntöjä turvallisten ohjelmistotuotteiden ja -järjestelmien rakentamiseksi.
Control 8.25:n avulla organisaatiot voivat suunnitella tietoturvastandardeja ja soveltaa näitä standardeja ohjelmistotuotteiden ja järjestelmien koko turvallisen kehityksen elinkaaren ajan.
Ohjaus 8.25 on luonteeltaan ennaltaehkäisevä, koska se vaatii organisaatioita suunnittelemaan ja toteuttamaan ennakoivasti säännöt ja kontrollit, jotka hallitsevat jokaisen uuden ohjelmistotuotteen ja järjestelmän koko kehityselinkaari.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Sovellusturvallisuus #Järjestelmä- ja verkkoturvallisuus | #Suojaus |
Tietoturvajohtajan tulee olla vastuussa sääntöjen ja toimenpiteiden luomisesta, toimeenpanosta ja ylläpidosta kehityksen elinkaaren turvallisuuden varmistamiseksi.
Ohjaus 8.25 sisältää 10 vaatimusta, jotka organisaatioiden tulee noudattaa rakentaessaan suojattuja ohjelmistotuotteita, järjestelmiä ja arkkitehtuuria:
Lisäksi jos organisaatio ulkoistaa tiettyjä kehitystehtäviä ulkopuolisille tahoille, sen on varmistettava, että ulkopuolinen osapuoli noudattaa organisaation sääntöjä ja menettelytapoja ohjelmiston ja järjestelmän turvallisesta kehittämisestä.
Ohjaus 8.25 huomauttaa, että ohjelmistotuotteita, arkkitehtuureja ja järjestelmiä voidaan kehittää myös sovelluksissa, tietokantoissa tai selaimissa.
27002:2022/8.25 replace 27002:2013/(14.2.1)
Kaiken kaikkiaan on kaksi keskeistä eroa.
Vaikka vuoden 2022 versio on suurelta osin samanlainen kuin vuoden 2013 versio, Control 8.25 asettaa organisaatioille kaksi uutta vaatimusta:
Vuoden 2013 versiossa todettiin nimenomaisesti, että Control 14.2.1 koskee sekä uutta kehitystä että koodin uudelleenkäyttöä. Sitä vastoin Control 8.25 ei viitannut koodin uudelleenkäyttöskenaarioihin.
ISO 27002:n käyttöönotto on yksinkertaisempaa vaiheittaisen tarkistusluettelomme avulla, joka opastaa sinut koko prosessin läpi. Täydellinen vaatimustenmukaisuusratkaisusi ISO/IEC 27002:2022:lle.
Ota yhteyttä jo tänään varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |