Tarkastustesteillä on ratkaiseva rooli tietojärjestelmien tietoturvariskien ja haavoittuvuuksien havaitsemisessa ja eliminoinnissa.
Kuitenkin, tarkastusprosessi, suoritettiinpa ne käyttö-, testaus- tai kehitysympäristöissä, voivat altistaa arkaluontoiset tiedot luvattoman paljastamisen tai eheyden ja saatavuuden menettämisen riskeille.
Ohjaus 8.34 käsittelee sitä, kuinka organisaatiot voivat ylläpitää tietovarojen turvallisuutta tarkastustestien aikana.
Control 8.34 antaa organisaatioille mahdollisuuden eliminoida ja lieventää riskejä tietojärjestelmien turvallisuus sekä liiketoiminnan jatkuvuutta ottamalla käyttöön ja soveltamalla sopivia toimenpiteitä ja valvontaa, kuten pääsyrajoituksia ja vain luku -käyttörajoituksia.
Valvonta 8.34 on luonteeltaan ennaltaehkäisevää, koska se edellyttää ylempi johto ja tilintarkastaja suunnittelemaan ja sopia tarkastustestauksesta menettelyt, rajoitukset ja tarkastukset ennen auditointeja.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Järjestelmä- ja verkkoturvallisuus #Tiedon suojaus | #Hallinto ja ekosysteemi #Suojaus |
IT johtoryhmän tulee olla vastuussa tarkastusmenettelyjen suunnittelusta ja sopia niistä sekä luoda ja soveltaa tarvittavia toimenpiteitä.
Ohjauskohdassa 8.34 luetellaan kahdeksan erityistä vaatimusta, jotka organisaatioiden tulee ottaa huomioon:
Kun auditointeja suoritetaan testaus- tai kehitysympäristöissä, organisaatioiden tulee olla varovaisia seuraavien riskien varalta:
27002:2022/8.34 replace 27002:2013/(12.7.1)
Vaikka vuoden 2022 versio on suurelta osin samanlainen kuin vuoden 2013 versio, siinä on kaksi keskeistä eroa.
Vuoden 2022 versio sisältää seuraavan vaatimuksen, johon ei viitattu vuoden 2013 versiossa:
Jos pääsypyyntö hyväksytään, organisaatioiden tulee ensin varmistaa, että järjestelmiin pääsyyn käytetyt laitteet täyttävät turvallisuusvaatimukset, ennen kuin ne tarjoavat pääsyn.
Täydentävässä ohjeessa vuoden 2022 versio varoittaa organisaatioita varomasta turvallisuusriskit testaus- ja kehitysympäristöissä tehtyjen auditointien vuoksi. Vuoden 2013 versio ei päinvastoin viitannut testaus- ja kehitysympäristöihin.
ISO 27002 käyttöönotto on yksinkertaisempaa vaiheittaisella tarkistuslistallamme, joka opastaa sinut koko prosessin läpi ISMS:si laajuuden määrittämisestä riskien tunnistamiseen ja valvonnan toteutukseen.
Meidän alustamme on intuitiivinen ja helppokäyttöinen. Se ei ole vain erittäin teknisille ihmisille; se on kaikille organisaatiossasi. Suosittelemme ottamaan henkilöstöä yrityksesi kaikilla tasoilla mukaan rakentamisprosessiin ISMS, koska se auttaa sinua rakentamaan todella kestävän järjestelmän.
Ota yhteyttä jo tänään varaa esittely.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |