Vaikka ei-tuotannon testiympäristöt, kuten lavastusympäristöt, ovat välttämättömiä korkealaatuisten ohjelmistotuotteiden ja -sovellusten rakentamiselle, joissa ei ole vikoja tai virheitä, todellisen tiedon käyttö ja turvatoimien puute näissä ympäristöissä altistavat tietovarat lisääntyneille riskeille.
Kehittäjät voivat esimerkiksi käyttää helposti muistettavia tunnistetietoja (esim. "admin" sekä käyttäjänimelle että salasanalle) testattaessa ympäristöjä, joissa arkaluontoisia tietoresursseja on tallennettu.
Kyberhyökkääjät voivat käyttää tätä hyväkseen päästäkseen helposti testiympäristöihin ja varastaakseen arkaluontoisia tietoja.
Siksi organisaatioiden tulisi ottaa käyttöön asianmukaisia valvontatoimia ja menettelyjä testaamiseen käytettyjen todellisten tietojen suojaamiseksi.
Control 8.33 antaa organisaatioille kaksi tarkoitusta:
Control 8.33 on ennaltaehkäisevä valvonta, joka vaatii organisaatioita valitsemaan ja suojaamaan sopivimmat tiedot testausvaihetta varten tietojen luottamuksellisuuden ja eheyden säilyttämiseksi.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Integrity | #Suojella | #Tiedon suojaus | #Suojaus |
Ottaen huomioon, että Control 8.33 sisältää sopivimpien testaukseen käytettävien testitietojen valinnan, suojaamisen ja hallinnan, tietoturvavastaavien tulisi yhteistyössä kehitysryhmän kanssa olla viime kädessä vastuussa asianmukaisten valvontatoimien ja menettelyjen luomisesta.
Organisaatiot eivät saa käyttää arkaluonteisia tietoja, mukaan lukien henkilötietoja, kehitys- ja testausympäristöissä.
Testitietojen suojaamiseksi luottamuksellisuuden ja eheyden menettämiseltä organisaatioiden tulee noudattaa seuraavia:
Lisäksi organisaatioiden tulee toteuttaa asianmukaisia toimenpiteitä tietovarojen turvallisen säilyttämisen varmistamiseksi.
On huomattava, että järjestelmän ja hyväksyntätestaukset voivat vaatia valtavan määrän testitietoa, joka vastaa käyttötietoja.
27002:2022/8.33 replace 27002:2013/(14.3.1)
Vaikka vuoden 2022 versio on suurelta osin samanlainen kuin vuoden 2013 versio, vuoden 2022 versio sisältää seuraavan vaatimuksen:
Versio 27002:2013 sitä vastoin ei sisältänyt tätä vaatimusta.
ISMS.online on pilvipohjainen ratkaisu, joka auttaa yrityksiä osoittamaan noudattavansa ISO 27002 -standardia. ISMS.online-ratkaisulla voidaan hallita ISO 27002 -standardin vaatimuksia ja varmistaa, että organisaatiosi on uuden standardin mukainen.
ISO 27002 -standardi on päivitetty vastaamaan kasvavia kyberuhkia, joita kohtaamme yhteiskunnassa. Nykyinen standardi julkaistiin ensimmäisen kerran vuonna 2005, ja sitä tarkistettiin vuonna 2013 tekniikan, säädösten ja alan standardien muutosten huomioon ottamiseksi. ISO 27002:n uusi versio yhdistää nämä päivitykset yhdeksi asiakirjaksi ja lisää organisaatioille uusia vaatimuksia, jotka auttavat niitä suojaamaan tietoresurssejaan paremmin kyberhyökkäyksiltä.
ISMS.online-ratkaisu auttaa organisaatioita ottamaan käyttöön ISO 27002: 2022 -standardin tarjoamalla helppokäyttöisen kehyksen tietoturvakäytäntöjen ja -menettelyjen dokumentoimiseen. Se tarjoaa myös keskitetyn paikan, johon voit tallentaa kaikki vaatimustenmukaisuusdokumentaatiosi, jotta ne ovat helposti yrityksen eri sidosryhmien (esim. HR, IT) saatavilla.
Alustamme on käyttäjäystävällinen ja suoraviivainen. Se ei ole vain erittäin teknisille henkilöille; se on kaikille yrityksessäsi.
Ota yhteyttä jo tänään varaa esittely.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
