Tietoturvan varmistaminen ulkoistetussa kehitystyössä: ISO 27002 Control 8.30
IT-järjestelmien ja ohjelmistokehityksen ulkoistaminen ulkopuolisille tarjoaa yrityksille monia etuja, kuten alhaisemmat kustannukset ja parempi skaalautuvuus. Näiden tehokkuusetujen ei kuitenkaan pitäisi tulla turvallisuuden kustannuksella.
Esimerkiksi ulkopuolisilla palveluntarjoajilla ei ehkä ole tiukkoja verkkojen pääsynvalvontaa tai he eivät ehkä käytä toimialatason salausta pilveen tallennettuihin tietoihin, mikä johtaa IT-järjestelmien ja ohjelmistotuotteiden vaarantumiseen.
Tämä voi johtaa tietoturvaloukkauksiin ja tietovarojen saatavuuden, luottamuksellisuuden tai eheyden menetykseen.
Mukaan Trustwaven raportti, ohjelmistojen ja IT-kehityksen ulkoistaminen oli osansa yli 60 %:ssa kaikista tietomurroista.
Ottaen huomioon, että ulkoistaminen johtaa väistämättä kehitysprosessin hallinnan menettämiseen ja vaikeuttaa tietoturvavaatimusten soveltamista ja ylläpitämistä, organisaatioiden tulee varmistaa, että ulkopuoliset osapuolet noudattavat organisaation asettamia tietoturvavaatimuksia.
Valvonnan tarkoitus 8.30
Control 8.30:n avulla organisaatiot voivat varmistaa, että asetettuja tietoturvavaatimuksia noudatetaan, kun järjestelmä- ja ohjelmistokehitys ulkoistetaan ulkopuolisille toimittajille.
Ohjauksen ominaisuudet 8.30
Control 8.30 on luonteeltaan sekä havaitsevaa että ennaltaehkäisevää: Se edellyttää organisaatioiden valvovan ja valvovan kaikkia ulkoistamistoimia sekä varmistavan, että ulkoistettu kehitysprosessi täyttää tietoturvavaatimukset.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Tunnistaa | #Järjestelmä- ja verkkoturvallisuus | #Hallinto ja ekosysteemi |
| #Etsivä | #Integrity | #Suojella | #Sovellusturvallisuus | #Suojaus |
| #Saatavuus | #Havaita | #Toimittajasuhteiden turvallisuus |
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Määräysvallan omistus 8.30
Tietoturvajohtajan tulisi olla vastuussa tarvittavien menettelyjen ja valvonnan luomisesta ja toteuttamisesta sen varmistamiseksi, että nämä tietoturvavaatimukset välitetään ulkopuolisille toimittajille, että ne hyväksyvät ja noudattavat niitä.
Yleiset noudattamisohjeet
Yleisessä ohjeessa korostetaan, että organisaatioiden tulee jatkuvasti seurata ja varmistaa, että ulkoistetun kehitystyön toimitus täyttää ulkopuoliselle palveluntuottajalle asetetut tietoturvavaatimukset.
Control 8.30 suosittelee, että organisaatiot ottavat huomioon seuraavat 11 tekijää kehitystyön ulkoistamisessa:
- Sopimusten tekeminen, mukaan lukien lisenssisopimukset, jotka koskevat koodin omistajuutta ja immateriaalioikeuksia.
- Asianmukaisten sopimusvaatimusten asettaminen turvalliselle suunnittelulle ja koodaukselle Control 8.25 ja 8.29 mukaisesti.
- Kolmannen osapuolen kehittäjien omaksuttavan uhkamallin luominen.
- Hyväksymistestin suorittaminen toimitetun työn laadun ja tarkkuuden varmistamiseksi.
- Todiste siitä, että mahdollisimman vähän vaaditut yksityisyys- ja turvallisuusominaisuudet on saavutettu. Tämä voidaan saavuttaa varmennusraporttien avulla.
- Säilytetään todisteet siitä, kuinka riittävästi testausta on suoritettu toimitetun IT-järjestelmän tai ohjelmiston suojaamiseksi haitalliselta sisällöltä.
- Säilytetään todisteita siitä, kuinka riittävästi testausta on tehty suojatakseen tunnistettuja haavoittuvuuksia.
- Ohjelmiston lähdekoodin kattavien escrow-sopimusten tekeminen. Se voi esimerkiksi käsitellä sitä, mitä tapahtuu, jos ulkoinen toimittaja lopettaa toimintansa.
- Sopimukseen toimittajan kanssa tulee sisältyä organisaation oikeus auditoida kehitysprosesseja ja valvontaa.
- Kehitysympäristön turvallisuusvaatimusten määrittäminen ja toteuttaminen.
- Organisaatioiden tulee myös ottaa huomioon sovellettavat lait, säädökset ja määräykset.
Täydentävä opas
Yksityiskohtaisempia ohjeita toimittajasuhteiden hallintaan organisaatiot voivat katsoa standardista ISO/IEC 27036.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot standardista ISO 27002:2013
27002:2022/8.30 replaces 27002:2013/(14.2.7)
Kaiken kaikkiaan näiden kahden version välillä ei ole olennaista eroa.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
Yritykset voivat käyttää ISMS.Onlinea auttaakseen niitä ISO 27002 -vaatimustenmukaisuuspyrkimyksissään tarjoamalla niille alustan, jonka avulla on helppo hallita tietoturvakäytäntöjä ja -menettelyjä, päivittää niitä tarvittaessa, testata ja seurata niiden tehokkuutta.
Pilvipohjaisen alustamme avulla voit nopeasti ja helposti hallita kaikkia ISMS:si näkökohtia, mukaan lukien riskienhallinta, käytännöt, suunnitelmat, menettelyt ja paljon muuta, yhdessä keskeisessä paikassa. Alusta on helppokäyttöinen ja siinä on intuitiivinen käyttöliittymä, jonka avulla sen käytön oppiminen on helppoa.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
