Hyppää sisältöön
Työskentele fiksummin uuden parannetun navigointimme avulla!
Katso, miten IO helpottaa vaatimustenmukaisuutta. Lue blogi
ISMS.online

ISO 27002:2022 – Ohjaus 8.26 – Sovelluksen suojausvaatimukset

ISO 27002:2022 Control 8.26 määrittelee tietoturvavaatimukset sovellusten kehittämiselle, hankinnalle ja käytölle varmistaen tietosuojan, pääsynhallinnan, hyökkäyksien sietokyvyn ja säännösten noudattamisen tietovarojen suojaamiseksi.

kirjailija
Sam Peters
Päivitetty heinäkuu 25, 2025
4/5 tähteä

ISO 27002 Control 8.26: Sovelluksen suojausvaatimukset ymmärtäminen

Sovellusohjelmistot, kuten verkkosovellukset, grafiikkaohjelmistot, tietokantaohjelmistot ja maksujenkäsittelyohjelmistot ovat tärkeitä monille kriittisille liiketoiminnoille.

Nämä sovellukset ovat kuitenkin usein alttiina tietoturva-aukkoja, jotka voivat johtaa arkaluonteisten tietojen vaarantumiseen.

Esimerkiksi Equifax, yhdysvaltalainen luottotoimisto, ei onnistunut asentamaan tietoturvakorjausta verkkosivuston sovelluskehykseen, jota käytetään asiakkaiden valitusten käsittelyyn. Kyberhyökkääjät käyttivät tietoturvaheikkoutta Web-sovelluksessa soluttautuakseen Equifaxin yritysverkkoihin ja varastaakseen arkaluonteisia tietoja noin 145 miljoonalta ihmiseltä.

Ohjaus 8.26 käsittelee miten organisaatiot voivat asettaa ja soveltaa tietoturvavaatimuksia sovellusten kehittämiseen, käyttöön ja hankintaan.

Valvonnan tarkoitus 8.26

Control 8.26 antaa organisaatioille mahdollisuuden suojata sovelluksiin tallennettuja tai niiden kautta käsiteltyjä tietovaroja tunnistamalla ja soveltamalla asianmukaisia ​​tietoturvavaatimuksia.

Attribuuttien ohjaustaulukko 8.26

Control 8.26 on ennaltaehkäisevä hallinta, joka ehkäisee sovellukseen tallennettujen tietovarojen eheyteen, saatavuuteen ja luottamuksellisuuteen kohdistuvia riskejä käyttämällä sopivia tietoturvatoimenpiteitä.

Ohjaus Tietoturvaominaisuudet Kyberturvallisuuden käsitteet Toiminnalliset valmiudet Turvallisuus Domains
#Ennaltaehkäisevä #Luottamuksellisuus #Suojella #Sovellusturvallisuus #Suojaus
#Integrity #Järjestelmä- ja verkkoturvallisuus #Puolustus
#Saatavuus


ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

81 %:n etumatka ensimmäisestä päivästä lähtien

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita


Määräysvallan omistus 8.26

Tietoturvajohtajan tulee tietoturva-asiantuntijoiden tuella vastata sovellusten hankintaa, käyttöä ja kehittämistä koskevien tietovaatimusten tunnistamisesta, hyväksymisestä ja toteuttamisesta.

Yleiset noudattamisohjeet

Yleisissä ohjeissa todetaan, että organisaatioiden tulee suorittaa a riskinarviointi tietoturvavaatimusten tyypin määrittämiseksi sopiva tiettyyn sovellukseen.

Vaikka sisältö ja tyypit tietoturvavaatimukset voivat vaihdella sovelluksen luonteen mukaan, vaatimusten tulee sisältää seuraavat asiat:

  • Tiettyjen entiteettien identiteetille määritetty luottamusaste Ohjauksen 5.17, 8.2 ja 8.5 mukaisesti.
  • Luokituksen tason tunnistaminen kohdistettu tietovaroihin sovellukseen tallennettavaksi tai sen käsittelemäksi.
  • Onko tarvetta erottaa pääsy sovellukseen tallennettuihin toimintoihin ja tietoihin.
  • Onko sovellus kestävä kyberhyökkäyksiä, kuten SQL-injektioita, tai tahattomia sieppauksia, kuten puskurin ylivuotoa, vastaan.
  • Sovelluksen käsittelemiin, luomiin, tallentamiin tai täydentämiin tapahtumiin sovellettavat lailliset, säännökset ja lakisääteiset vaatimukset ja standardit.
  • Yksityisyysnäkökohdat kaikille osapuolille.
  • Vaatimukset luottamuksellisten tietojen suojaaminen.
  • Tietojen suojaaminen käytössä, kuljetuksen aikana tai levossa.
  • Olipa viestinnän suojattu salaus kaikkien asianomaisten osapuolten välillä.
  • Syöttöohjaimien käyttöönotto, kuten syötteen validointi tai eheystarkistukset.
  • Automaattisten säätöjen suorittaminen.
  • Suorittaa tulosten hallintaa ottaen huomioon, kuka voi tarkastella lähtöjä ja käyttöoikeuden.
  • Tarve asettaa rajoituksia "vapaan tekstin" kenttien sisällölle luottamuksellisten tietojen hallitsemattoman leviämisen suojelemiseksi.
  • Liiketoiminnan tarpeista johtuvat vaatimukset, kuten tapahtumien kirjaaminen ja kiistämättömyysvaatimukset.
  • Muiden turvatoimien, kuten tietovuotojen havaitsemisjärjestelmien, asettamat vaatimukset.
  • Kuinka käsitellä virheilmoituksia.


kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Täydentävä opas transaktiopalveluista

Ohjaus 8.26 edellyttää, että organisaatiot ottavat huomioon seuraavat seitsemän suositusta, kun sovellus tarjoaa tapahtumapalveluita organisaation ja kumppanin välillä:

  • Liiketoimen kummankin osapuolen luottamus toisen osapuolen henkilöllisyyteen edellyttää.
  • Välitettyjen tai käsiteltyjen tietojen eheyteen vaadittava luottamus ja asianmukaisen mekanismin tunnistaminen eheyden puutteen havaitsemiseksi, mukaan lukien työkalut, kuten hajautus ja digitaaliset allekirjoitukset.
  • Valtuutusprosessin luominen sille, kuka saa hyväksyä olennaisten tapahtumaasiakirjojen sisällön, allekirjoittaa tai allekirjoittaa ne.
  • Kriittisten asiakirjojen luottamuksellisuuden ja eheyden säilyttäminen ja tällaisten asiakirjojen lähettämisen ja vastaanottamisen todistaminen.
  • Kaikkien tapahtumien, kuten tilausten ja kuittien, eheyden ja luottamuksellisuuden suojaaminen ja ylläpitäminen.
  • Vaatimukset, minkä ajanjakson liiketoimet on pidettävä luottamuksellisina.
  • Sopimusvaatimukset ja vakuutuksiin liittyvät vaatimukset.

Täydentävä opas sähköisistä tilaus- ja maksusovelluksista

Kun sovelluksissa on maksu- ja sähköinen tilaustoiminto, organisaatioiden tulee ottaa huomioon seuraavat asiat:

  • Vaatimukset varmistavat, että tilaustietojen luottamuksellisuus ja eheys eivät vaarannu.
  • Sopivan varmennusasteen määrittäminen asiakkaan toimittamien maksutietojen tarkistamiseksi.
  • Tapahtumatietojen katoamisen tai päällekkäisyyden estäminen.
  • Varmistetaan, että tietoihin liittyvät tiedot säilytetään julkisesti saatavilla olevan ympäristön ulkopuolella, kuten organisaation omassa intranetissä olevalle tallennusvälineelle.
  • Kun organisaatiot luottavat luotettavaan ulkoiseen viranomaiseen, kuten digitaalisten allekirjoitusten antamiseen, niiden on varmistettava, että tietoturva on integroitu koko prosessiin.

Verkkoja koskevat lisäohjeet

Kun sovelluksia käytetään verkkojen kautta, ne ovat alttiina uhille, kuten sopimuskiistat, vilpilliset toimet, väärät reititys, luvattomat muutokset viestinnän sisältöön tai arkaluonteisten tietojen luottamuksellisuuden menetys.

Control 8.26 suosittelee organisaatioille kokonaisvaltaista toimintaa riskiarvioinnit asianmukaisten valvontamenetelmien tunnistamiseksi kuten salauksen käyttö tiedonsiirron turvallisuuden varmistamiseksi.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Muutokset ja erot ISO 27002:2013:sta

27002:2022/8.26 korvaa 27002:2013/(14.1.2 ja 14.1.3)

Näiden kahden version välillä on kolme suurta eroa.

Kaikki sovellukset vs. julkisten verkkojen kautta kulkevat sovellukset

ISO 27002:2013 -versiossa ei lueteltu kaikkia sovelluksia koskevia vaatimuksia: Se sisälsi luettelon tietoturvavaatimuksista, jotka tulisi ottaa huomioon julkisten verkkojen kautta kulkeville sovelluksille.

Control 8.26 vuoden 2022 versiossapäinvastoin tarjosi luettelon tietoturvavaatimuksista, joita sovelletaan kaikkiin sovelluksiin.

Lisäohjeita sähköisistä tilaus- ja maksusovelluksista

Control 8.26 2022-versiossa sisältää erityisiä ohjeita Sähköiset tilaus- ja maksusovellukset. Sitä vastoin vuoden 2013 versio ei käsitellyt tätä.

Transaktiopalveluita koskevat lisävaatimukset

Vuoden 2022 versio ja 2013 versio ovat lähes identtisiä tapahtumapalveluiden vaatimusten osalta, mutta vuoden 2022 versio sisältää lisävaatimuksen, jota ei käsitellä vuoden 2013 versiossa:

  • Organisaatioiden tulee ottaa huomioon sopimusvaatimukset ja vakuutuksiin liittyvät vaatimukset.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.7 UUSI Uhan älykkyys
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.30 UUSI ICT-valmius liiketoiminnan jatkuvuuteen
7.4 UUSI Fyysisen turvallisuuden valvonta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.16 UUSI Toimien seuranta
8.23 UUSI Web-suodatus
8.28 UUSI Turvallinen koodaus
Organisaation valvonta
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.1 05.1.1, 05.1.2 Tietoturvakäytännöt
5.2 06.1.1 Tietoturvaroolit ja -vastuut
5.3 06.1.2 Tehtävien eriyttäminen
5.4 07.2.1 Johdon vastuut
5.5 06.1.3 Yhteys viranomaisiin
5.6 06.1.4 Ota yhteyttä erityisiin eturyhmiin
5.7 UUSI Uhan älykkyys
5.8 06.1.5, 14.1.1 Tietoturva projektinhallinnassa
5.9 08.1.1, 08.1.2 Tietojen ja muiden niihin liittyvien varojen luettelo
5.10 08.1.3, 08.2.3 Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11 08.1.4 Omaisuuden palautus
5.12 08.2.1 Tietojen luokitus
5.13 08.2.2 Tietojen merkitseminen
5.14 13.2.1, 13.2.2, 13.2.3 Tietojen siirto
5.15 09.1.1, 09.1.2 Kulunvalvonta
5.16 09.2.1 Identiteettihallinta
5.17 09.2.4, 09.3.1, 09.4.3 Todennustiedot
5.18 09.2.2, 09.2.5, 09.2.6 Käyttöoikeudet
5.19 15.1.1 Tietoturva toimittajasuhteissa
5.20 15.1.2 Tietoturvan huomioiminen toimittajasopimuksissa
5.21 15.1.3 Tietoturvan hallinta ICT-toimitusketjussa
5.22 15.2.1, 15.2.2 Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.24 16.1.1 Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25 16.1.4 Tietoturvatapahtumien arviointi ja päätös
5.26 16.1.5 Tietoturvahäiriöihin reagointi
5.27 16.1.6 Tietoturvahäiriöistä oppiminen
5.28 16.1.7 Todisteiden kerääminen
5.29 17.1.1, 17.1.2, 17.1.3 Tietoturva häiriön aikana
5.30 5.30 ICT-valmius liiketoiminnan jatkuvuuteen
5.31 18.1.1, 18.1.5 Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32 18.1.2 Immateriaalioikeudet
5.33 18.1.3 Tietueiden suojaus
5.34 18.1.4 Yksityisyys ja henkilötietojen suoja
5.35 18.2.1 Riippumaton tietoturvatarkastus
5.36 18.2.2, 18.2.3 Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37 12.1.1 Dokumentoidut toimintaohjeet
Ihmisten ohjaukset
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
6.1 07.1.1 Seulonta
6.2 07.1.2 Työsuhteen ehdot
6.3 07.2.2 Tietoturvatietoisuus, koulutus ja koulutus
6.4 07.2.3 Kurinpitoprosessi
6.5 07.3.1 Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6 13.2.4 Luottamuksellisuus- tai salassapitosopimukset
6.7 06.2.2 Etätyö
6.8 16.1.2, 16.1.3 Tietoturvatapahtumaraportointi
Fyysiset säätimet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
7.1 11.1.1 Fyysisen turvallisuuden rajat
7.2 11.1.2, 11.1.6 Fyysinen sisääntulo
7.3 11.1.3 Toimistojen, huoneiden ja tilojen turvaaminen
7.4 UUSI Fyysisen turvallisuuden valvonta
7.5 11.1.4 Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6 11.1.5 Työskentely turvallisilla alueilla
7.7 11.2.9 Selkeä pöytä ja selkeä näyttö
7.8 11.2.1 Laitteiden sijoitus ja suojaus
7.9 11.2.6 Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Tallennusvälineet
7.11 11.2.2 Apuohjelmia tukevat
7.12 11.2.3 Kaapeloinnin turvallisuus
7.13 11.2.4 Laitehuolto
7.14 11.2.7 Laitteiden turvallinen hävittäminen tai uudelleenkäyttö
Tekniset säädöt
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
8.1 06.2.1, 11.2.8 Käyttäjän päätelaitteet
8.2 09.2.3 Etuoikeutetut käyttöoikeudet
8.3 09.4.1 Tiedon pääsyn rajoitus
8.4 09.4.5 Pääsy lähdekoodiin
8.5 09.4.2 Turvallinen todennus
8.6 12.1.3 Kapasiteetin hallinta
8.7 12.2.1 Suojaus haittaohjelmia vastaan
8.8 12.6.1, 18.2.3 Teknisten haavoittuvuuksien hallinta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.13 12.3.1 Tietojen varmuuskopiointi
8.14 17.2.1 Tietojenkäsittelylaitteiden redundanssi
8.15 12.4.1, 12.4.2, 12.4.3 Hakkuu
8.16 UUSI Toimien seuranta
8.17 12.4.4 Kellon synkronointi
8.18 09.4.4 Etuoikeutettujen apuohjelmien käyttö
8.19 12.5.1, 12.6.2 Ohjelmistojen asennus käyttöjärjestelmiin
8.20 13.1.1 Verkkojen turvallisuus
8.21 13.1.2 Verkkopalvelujen turvallisuus
8.22 13.1.3 Verkkojen erottelu
8.23 UUSI Web-suodatus
8.24 10.1.1, 10.1.2 Salaustekniikan käyttö
8.25 14.2.1 Turvallinen kehityksen elinkaari
8.26 14.1.2, 14.1.3 Sovelluksen suojausvaatimukset
8.27 14.2.5 Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28 UUSI Turvallinen koodaus
8.29 14.2.8, 14.2.9 Tietoturvatestausta kehitetään ja hyväksytään
8.30 14.2.7 Ulkoistettu kehitys
8.31 12.1.4, 14.2.6 Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Muutoksen hallinta
8.33 14.3.1 Testitiedot
8.34 12.7.1 Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

ISMS.online on pilvipohjainen ratkaisu, joka auttaa yrityksiä osoittamaan noudattavansa ISO 27002 -standardia. ISMS.online-ratkaisulla voidaan hallita mm. ISO 27002 ja varmista, että organisaatiosi on uuden standardin mukainen.

Meidän alustamme on käyttäjäystävällinen ja suoraviivainen. Se ei ole vain erittäin teknisille henkilöille; se on kaikille yrityksessäsi.

Ota yhteyttä jo tänään varaa esittely.

Sam Peters

Sam on Chief Product Officer ISMS.onlinessa ja johtaa kaikkien tuoteominaisuuksien ja toimintojen kehitystä. Sam on asiantuntija monilla vaatimustenmukaisuuden aloilla ja työskentelee asiakkaiden kanssa kaikissa mittatilaustyönä tehdyissä tai suurissa projekteissa.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.