Hyppää sisältöön
Työskentele fiksummin uuden parannetun navigointimme avulla!
Katso, miten IO helpottaa vaatimustenmukaisuutta. Lue blogi
ISMS.online

ISO 27002:2022 – Valvonta 8.31 – Kehitys-, testaus- ja tuotantoympäristöjen erottaminen

ISO 27002 Control 8.31 korostaa kehitys-, testaus- ja tuotantoympäristöjen erottamisen tärkeyttä turvallisuusriskien, kuten tietojen altistumisen tai luvattoman käytön, estämiseksi. Siinä hahmotellaan tärkeimmät parhaat käytännöt, mukaan lukien tiukka erottelu, valtuutuksen valvonta ja pääsyrajoitukset, tietojen eheyden ja turvallisuuden ylläpitämiseksi.

kirjailija
Sam Peters
Päivitetty heinäkuu 25, 2025
4/5 tähteä

Kehitys-, testaus- ja tuotantoympäristöjen turvallisen erottamisen varmistaminen

Jos kehitys-, testaus- ja tuotantoympäristöjä ei eroteta asianmukaisesti, tietoresurssit voivat menettää käytettävyyden, luottamuksellisuuden ja eheyden.

Esimerkiksi Uber julkaisi vahingossa Githubin koodivarasto, joka sisälsi tuotantoympäristön käyttäjien salasanoja, mikä johti arkaluonteisten tietojen luottamuksellisuuden menettämiseen.

Siksi organisaatioiden tulee ottaa käyttöön asianmukaiset menettelyt ja hallintakeinot kehitys-, testaus- ja tuotantoympäristöjen turvallisesti eristämiseksi turvallisuusriskien poistamiseksi.

Valvonnan tarkoitus 8.31

Ohjaus 8.31 antaa organisaatioille mahdollisuuden ylläpitää arkaluonteisten tietoresurssien luottamuksellisuutta, eheyttä ja saatavuutta erottamalla kehitys-, testaus- ja tuotantoympäristöt asianmukaisten menettelytapojen, ohjausten ja käytäntöjen avulla.

Attribuuttien ohjaustaulukko 8.31

Ohjaus 8.31 on luonteeltaan ennaltaehkäisevä ja vaatii organisaatioilta ennakoivasti luomaan ja soveltamaan prosesseja ja teknisiä kontrolleja, joilla kehitys-, testaus- ja tuotantoympäristöt voidaan turvallisesti erottaa toisistaan.

Ohjaus Tietoturvaominaisuudet Kyberturvallisuuden käsitteet Toiminnalliset valmiudet Turvallisuus Domains
#Ennaltaehkäisevä #Luottamuksellisuus #Suojella #Sovellusturvallisuus #Suojaus
#Integrity #Järjestelmä- ja verkkoturvallisuus
#Saatavuus


ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

81 %:n etumatka ensimmäisestä päivästä lähtien

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita


Määräysvallan omistus 8.31

Ottaen huomioon, että Control 8.31 edellyttää organisaation laajuisten prosessien ja kontrollien perustamista ja käyttöönottoa eri ohjelmistoympäristöjen erottamiseksi, tietoturvapäällikkö on kehitystiimin avulla viime kädessä vastuussa vaatimustenmukaisuudesta.

Yleiset noudattamisohjeet

Organisaatioiden tulee ottaa huomioon mahdolliset tuotanto-ongelmat, jotka tulisi estää määritellessään kolmen ympäristön välistä erotustasoa.

Erityisesti Control 8.31 suosittelee, että organisaatiot ottavat huomioon seuraavat seitsemän kriteeriä:

  1. Kehitys- ja tuotantojärjestelmien eristäminen ja käyttö riittävässä määrin. Esimerkiksi erillisten virtuaalisten ja fyysisten ympäristöjen käyttö tuotannossa voisi olla tehokas tapa.
  2. Ohjelmistojen käyttöön tuotantoympäristössä tulee laatia, dokumentoida ja soveltaa asianmukaiset säännöt ja valtuutusmenettelyt kehitysympäristön läpikäynnin jälkeen.
  3. Organisaatioiden tulee tarkistaa ja testata sovelluksiin ja tuotantojärjestelmiin tehdyt muutokset tuotantoympäristöstä erillään olevassa testiympäristössä ennen kuin nämä muutokset otetaan käyttöön tuotantoympäristössä.
  4. Tuotantoympäristöissä testaamista ei pitäisi sallia, ellei tällaista testausta ole määritelty ja hyväksytty ennen testausta.
  5. Kehitystyökalut, kuten kääntäjät ja editorit, eivät saa olla käytettävissä tuotantoympäristöistä, ellei tämä käyttö ole ehdottoman välttämätöntä.
  6. Virheiden minimoimiseksi asianmukaiset ympäristön tunnistetarrat tulee näyttää näkyvästi valikoissa.
  7. Arkaluontoisia tietovaroja ei saa siirtää kehitys- ja testausympäristöihin, ellei kehitys- ja testausjärjestelmissä sovelleta vastaavia turvatoimia.

Kehitys- ja testausympäristöjen suojaamista koskevat täydentävät ohjeet

Organisaatioiden tulee suojata kehitys- ja testausympäristöjä turvallisuusriskeiltä ottaen huomioon seuraavat seikat:

  • Kaikki kehitys-, integrointi- ja testaustyökalut, kuten rakentajat, integraattorit ja kirjastot, tulee korjata ja päivittää säännöllisesti.
  • Kaikki järjestelmät ja ohjelmistot on konfiguroitava turvallisesti.
  • Pääsyä ympäristöihin tulee valvoa asianmukaisesti.
  • Muutoksia ympäristöihin ja niihin tallennettuun koodiin tulee seurata ja tarkastella.
  • Ympäristöjä tulee valvoa ja arvioida turvallisesti.
  • Ympäristöt tulee varmuuskopioida.

Lisäksi kenellekään yksittäiselle henkilölle ei pitäisi antaa etuoikeutta tehdä muutoksia sekä kehitys- että tuotantoympäristöissä ilman lupaa. Tämän estämiseksi organisaatiot voivat erottaa käyttöoikeudet tai luoda ja ottaa käyttöön pääsynvalvontaa.

Lisäksi organisaatiot voivat harkita myös ylimääräisiä teknisiä valvontatoimia, kuten kaikkien pääsytoimintojen kirjaamista ja kaikkien näiden ympäristöjen pääsyn reaaliaikaista seurantaa.

Valvontaa koskevat lisäohjeet 8.31

Jos organisaatiot eivät toteuta tarvittavia toimenpiteitä, niiden tietojärjestelmiin voi kohdistua merkittäviä turvallisuusriskejä.

Esimerkiksi kehittäjät ja testaajat, joilla on pääsy tuotantoympäristöön, voivat tehdä ei-toivottuja muutoksia tiedostoihin tai järjestelmäympäristöihin, suorittaa luvatonta koodia tai vahingossa paljastaa arkaluonteisia tietoja.

Siksi organisaatiot tarvitsevat vakaan ympäristön voidakseen suorittaa koodin vankan testauksen ja estääkseen kehittäjiä pääsemästä tuotantoympäristöihin, joissa arkaluontoisia reaalimaailman tietoja isännöidään ja käsitellään.

Organisaatioiden tulisi myös soveltaa toimenpiteitä, kuten nimettyjä rooleja ja velvollisuuksien erottamista.

Toinen tuotantotietojen luottamuksellisuuden uhka on kehitys- ja testaushenkilöstö. Kun kehitys- ja testausryhmät suorittavat toimintansa samoilla tietokoneilla, he voivat vahingossa tehdä muutoksia arkaluonteisiin tietoihin tai ohjelmistoihin.

Organisaatioita kehotetaan luomaan tukiprosesseja tuotantotietojen käytölle testaus- ja kehitysjärjestelmissä Valvonta 8.33:n mukaisesti.

Lisäksi organisaatioiden tulee ottaa huomioon tässä valvonnassa käsitellyt toimenpiteet suorittaessaan loppukäyttäjien koulutusta koulutusympäristöissä.

Viimeisenä mutta ei vähäisimpänä, organisaatiot voivat tarkoituksella hämärtää rajoja kehitys-, testaus- ja tuotantoympäristöjen välillä. Testaus voidaan tehdä esimerkiksi kehitysympäristössä tai tuotetestaus voidaan tehdä organisaation henkilöstön todellisella käytöllä.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Muutokset ja erot standardista ISO 27002:2013

27002:2022/8.31 korvaa 27002:2013/(12.1.4 ja 14.2.6)

Vaikka nämä kaksi versiota ovat suurelta osin samankaltaisia, niissä on kaksi eroa, joita tulisi korostaa.

Control 14.2.6 versiossa 2013 tarjosi tarkempia ohjeita suojatuista kehitysympäristöistä

Control 14.2.6 vuoden 2013 versiossa käsittelee turvallisia kehitysympäristöjä ja listaa 10 suositusta, jotka organisaatioiden tulee ottaa huomioon kehitysympäristöä rakentaessaan.

Vuoden 2022 versio ei sitä vastoin sisältänyt joitain näistä suosituksista, kuten varmuuskopiointia muuhun sijaintiin ja tiedonsiirron rajoituksia.

Ohjaus 8.31 käsittelee tuotetestausta ja tuotantotietojen käyttöä

Toisin kuin vuoden 2013 versiossa, vuoden 8.31 versiossa oleva Control 2022 antaa ohjeita tuotteiden testaamiseen ja tuotantotietojen käyttöön Control 8.33:n mukaisesti.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.7 UUSI Uhan älykkyys
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.30 UUSI ICT-valmius liiketoiminnan jatkuvuuteen
7.4 UUSI Fyysisen turvallisuuden valvonta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.16 UUSI Toimien seuranta
8.23 UUSI Web-suodatus
8.28 UUSI Turvallinen koodaus
Organisaation valvonta
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.1 05.1.1, 05.1.2 Tietoturvakäytännöt
5.2 06.1.1 Tietoturvaroolit ja -vastuut
5.3 06.1.2 Tehtävien eriyttäminen
5.4 07.2.1 Johdon vastuut
5.5 06.1.3 Yhteys viranomaisiin
5.6 06.1.4 Ota yhteyttä erityisiin eturyhmiin
5.7 UUSI Uhan älykkyys
5.8 06.1.5, 14.1.1 Tietoturva projektinhallinnassa
5.9 08.1.1, 08.1.2 Tietojen ja muiden niihin liittyvien varojen luettelo
5.10 08.1.3, 08.2.3 Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11 08.1.4 Omaisuuden palautus
5.12 08.2.1 Tietojen luokitus
5.13 08.2.2 Tietojen merkitseminen
5.14 13.2.1, 13.2.2, 13.2.3 Tietojen siirto
5.15 09.1.1, 09.1.2 Kulunvalvonta
5.16 09.2.1 Identiteettihallinta
5.17 09.2.4, 09.3.1, 09.4.3 Todennustiedot
5.18 09.2.2, 09.2.5, 09.2.6 Käyttöoikeudet
5.19 15.1.1 Tietoturva toimittajasuhteissa
5.20 15.1.2 Tietoturvan huomioiminen toimittajasopimuksissa
5.21 15.1.3 Tietoturvan hallinta ICT-toimitusketjussa
5.22 15.2.1, 15.2.2 Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.24 16.1.1 Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25 16.1.4 Tietoturvatapahtumien arviointi ja päätös
5.26 16.1.5 Tietoturvahäiriöihin reagointi
5.27 16.1.6 Tietoturvahäiriöistä oppiminen
5.28 16.1.7 Todisteiden kerääminen
5.29 17.1.1, 17.1.2, 17.1.3 Tietoturva häiriön aikana
5.30 5.30 ICT-valmius liiketoiminnan jatkuvuuteen
5.31 18.1.1, 18.1.5 Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32 18.1.2 Immateriaalioikeudet
5.33 18.1.3 Tietueiden suojaus
5.34 18.1.4 Yksityisyys ja henkilötietojen suoja
5.35 18.2.1 Riippumaton tietoturvatarkastus
5.36 18.2.2, 18.2.3 Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37 12.1.1 Dokumentoidut toimintaohjeet
Ihmisten ohjaukset
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
6.1 07.1.1 Seulonta
6.2 07.1.2 Työsuhteen ehdot
6.3 07.2.2 Tietoturvatietoisuus, koulutus ja koulutus
6.4 07.2.3 Kurinpitoprosessi
6.5 07.3.1 Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6 13.2.4 Luottamuksellisuus- tai salassapitosopimukset
6.7 06.2.2 Etätyö
6.8 16.1.2, 16.1.3 Tietoturvatapahtumaraportointi
Fyysiset säätimet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
7.1 11.1.1 Fyysisen turvallisuuden rajat
7.2 11.1.2, 11.1.6 Fyysinen sisääntulo
7.3 11.1.3 Toimistojen, huoneiden ja tilojen turvaaminen
7.4 UUSI Fyysisen turvallisuuden valvonta
7.5 11.1.4 Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6 11.1.5 Työskentely turvallisilla alueilla
7.7 11.2.9 Selkeä pöytä ja selkeä näyttö
7.8 11.2.1 Laitteiden sijoitus ja suojaus
7.9 11.2.6 Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Tallennusvälineet
7.11 11.2.2 Apuohjelmia tukevat
7.12 11.2.3 Kaapeloinnin turvallisuus
7.13 11.2.4 Laitehuolto
7.14 11.2.7 Laitteiden turvallinen hävittäminen tai uudelleenkäyttö
Tekniset säädöt
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
8.1 06.2.1, 11.2.8 Käyttäjän päätelaitteet
8.2 09.2.3 Etuoikeutetut käyttöoikeudet
8.3 09.4.1 Tiedon pääsyn rajoitus
8.4 09.4.5 Pääsy lähdekoodiin
8.5 09.4.2 Turvallinen todennus
8.6 12.1.3 Kapasiteetin hallinta
8.7 12.2.1 Suojaus haittaohjelmia vastaan
8.8 12.6.1, 18.2.3 Teknisten haavoittuvuuksien hallinta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.13 12.3.1 Tietojen varmuuskopiointi
8.14 17.2.1 Tietojenkäsittelylaitteiden redundanssi
8.15 12.4.1, 12.4.2, 12.4.3 Hakkuu
8.16 UUSI Toimien seuranta
8.17 12.4.4 Kellon synkronointi
8.18 09.4.4 Etuoikeutettujen apuohjelmien käyttö
8.19 12.5.1, 12.6.2 Ohjelmistojen asennus käyttöjärjestelmiin
8.20 13.1.1 Verkkojen turvallisuus
8.21 13.1.2 Verkkopalvelujen turvallisuus
8.22 13.1.3 Verkkojen erottelu
8.23 UUSI Web-suodatus
8.24 10.1.1, 10.1.2 Salaustekniikan käyttö
8.25 14.2.1 Turvallinen kehityksen elinkaari
8.26 14.1.2, 14.1.3 Sovelluksen suojausvaatimukset
8.27 14.2.5 Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28 UUSI Turvallinen koodaus
8.29 14.2.8, 14.2.9 Tietoturvatestausta kehitetään ja hyväksytään
8.30 14.2.7 Ulkoistettu kehitys
8.31 12.1.4, 14.2.6 Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Muutoksen hallinta
8.33 14.3.1 Testitiedot
8.34 12.7.1 Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

ISMS.Online-alusta auttaa kaikissa ISO 27002:n käyttöönoton asioissa riskinarviointitoimintojen hallinnasta standardin vaatimusten noudattamista koskevien käytäntöjen, menettelyjen ja ohjeiden kehittämiseen.

Se tarjoaa tavan dokumentoida löydösi ja viestiä niistä tiimisi jäsenten kanssa verkossa. ISMS.Onlinen avulla voit myös luoda ja tallentaa tarkistuslistoja kaikille ISO 27002:n käyttöönottoon liittyville tehtäville, jotta voit helposti seurata organisaatiosi suojausohjelman edistymistä.

Automaattisen työkalusarjansa ansiosta ISMS.Online helpottaa ISO 27002 -standardin noudattamisen osoittamista organisaatioille.

Ota yhteyttä jo tänään aikataulun esittely.

Sam Peters

Sam on Chief Product Officer ISMS.onlinessa ja johtaa kaikkien tuoteominaisuuksien ja toimintojen kehitystä. Sam on asiantuntija monilla vaatimustenmukaisuuden aloilla ja työskentelee asiakkaiden kanssa kaikissa mittatilaustyönä tehdyissä tai suurissa projekteissa.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Talvi 2026
Aluejohtaja - Talvi 2026, Iso-Britannia
Aluejohtaja - talvi 2026 EU
Aluejohtaja - talvi 2026 Keskisuuret EU-markkinat
Aluejohtaja - Talvi 2026 EMEA
Aluejohtaja - Talvi 2026 Keskisuuret markkinat EMEA

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.