IT-järjestelmien ja ohjelmistokehityksen ulkoistaminen ulkopuolisille tarjoaa yrityksille monia etuja, kuten alhaisemmat kustannukset ja parempi skaalautuvuus. Näiden tehokkuusetujen ei kuitenkaan pitäisi tulla turvallisuuden kustannuksella.
Esimerkiksi ulkopuolisilla palveluntarjoajilla ei ehkä ole tiukkoja verkkojen pääsynvalvontaa tai he eivät ehkä käytä toimialatason salausta pilveen tallennettuihin tietoihin, mikä johtaa IT-järjestelmien ja ohjelmistotuotteiden vaarantumiseen.
Tämä voi johtaa tietoturvaloukkauksiin ja tietovarojen saatavuuden, luottamuksellisuuden tai eheyden menetykseen.
Mukaan Trustwaven raportti, ohjelmistojen ja IT-kehityksen ulkoistaminen oli osansa yli 60 %:ssa kaikista tietomurroista.
Ottaen huomioon, että ulkoistaminen johtaa väistämättä kehitysprosessin hallinnan menettämiseen ja vaikeuttaa tietoturvavaatimusten soveltamista ja ylläpitämistä, organisaatioiden tulee varmistaa, että ulkopuoliset osapuolet noudattavat organisaation asettamia tietoturvavaatimuksia.
Control 8.30:n avulla organisaatiot voivat varmistaa, että asetettuja tietoturvavaatimuksia noudatetaan, kun järjestelmä- ja ohjelmistokehitys ulkoistetaan ulkopuolisille toimittajille.
Control 8.30 on luonteeltaan sekä havaitsevaa että ennaltaehkäisevää: Se edellyttää organisaatioiden valvovan ja valvovan kaikkia ulkoistamistoimia sekä varmistavan, että ulkoistettu kehitysprosessi täyttää tietoturvavaatimukset.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä #Etsivä | #Luottamuksellisuus #Integrity #Saatavuus | #Tunnistaa #Suojella #Havaita | #Järjestelmä- ja verkkoturvallisuus #Sovellusturvallisuus #Toimittajasuhteiden turvallisuus | #Hallinto ja ekosysteemi #Suojaus |
Tietoturvajohtajan tulisi olla vastuussa tarvittavien menettelyjen ja valvonnan luomisesta ja toteuttamisesta sen varmistamiseksi, että nämä tietoturvavaatimukset välitetään ulkopuolisille toimittajille, että ne hyväksyvät ja noudattavat niitä.
Yleisessä ohjeessa korostetaan, että organisaatioiden tulee jatkuvasti seurata ja varmistaa, että ulkoistetun kehitystyön toimitus täyttää ulkopuoliselle palveluntuottajalle asetetut tietoturvavaatimukset.
Control 8.30 suosittelee, että organisaatiot ottavat huomioon seuraavat 11 tekijää kehitystyön ulkoistamisessa:
Yksityiskohtaisempia ohjeita toimittajasuhteiden hallintaan organisaatiot voivat katsoa standardista ISO/IEC 27036.
27002:2022/8.30 replace 27002:2013/(14.2.7)
Kaiken kaikkiaan näiden kahden version välillä ei ole olennaista eroa.
Yritykset voivat käyttää ISMS.Onlinea auttaakseen niitä ISO 27002 -vaatimustenmukaisuuspyrkimyksissään tarjoamalla niille alustan, jonka avulla on helppo hallita tietoturvakäytäntöjä ja -menettelyjä, päivittää niitä tarvittaessa, testata ja seurata niiden tehokkuutta.
Pilvipohjaisen alustamme avulla voit nopeasti ja helposti hallita kaikkia ISMS:si näkökohtia, mukaan lukien riskienhallinta, käytännöt, suunnitelmat, menettelyt ja paljon muuta, yhdessä keskeisessä paikassa. Alusta on helppokäyttöinen ja siinä on intuitiivinen käyttöliittymä, jonka avulla sen käytön oppiminen on helppoa.
Ota yhteyttä jo tänään varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |