- sien ISO 27002:2022 Beheer 8.27 vir meer inligting.
- sien ISO 27001:2013 Bylae A 14.2.5 vir meer inligting.
ISO 27001:2022 Beheer 8.27 – Versterking van stelselsekuriteit van die grond af
Die ISO 27001: 2022 Bylae A 8.27 spesifiseer dat organisasies veilige stelselargitektuur en ingenieursbeginsels moet implementeer om te verseker dat die ontwerp, implementering en bestuur van die inligtingstelsel gepas is vir die organisasie se sekuriteitsvereistes. Dit sluit die vestiging van veilige stelselargitekture, ingenieursbeginsels en veilige ontwerppraktyke in.
Die ingewikkelde strukture van kontemporêre inligtingstelsels, gekombineer met die onophoudelike verskuiwende kuberveiligheidsrisiko-omgewing, maak inligtingstelsels meer geneig tot bestaande en potensiële sekuriteitsbedreigings.
Bylae A 8.27 skets hoe organisasies kan beskerm hul inligtingstelsels van sekuriteitsbedreigings deur die implementering van veilige stelselingenieursbeginsels gedurende alle stadiums van die inligtingstelsellewensiklus.
Doel van ISO 27001:2022 Bylae A 8.27
Bylae A 8.27 fasiliteer organisasies om inligtingstelsels tydens die fases van ontwerp, ontplooiing en bedryf te beveilig, deur die vestiging en implementering van veilige stelselingenieursbeginsels waaraan stelselingenieurs moet voldoen.
Eienaarskap van Bylae A 8.27
Die Hoofbeampte vir inligtingsekuriteit moet verantwoordelik gehou word vir die oprigting, handhawing en inwerkingstelling van die reëls wat veilige ingenieurswese van inligtingstelsels beheer.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Algemene riglyne oor ISO 27001:2022 Bylae A 8.27 Voldoening
ISO 27001:2022 Bylae A 8.27 onderstreep die noodsaaklikheid vir organisasies om sekuriteit in die geheel van hul inligtingstelsels in te sluit, insluitend besigheidsprosesse, toepassings en data-argitektuur.
Veilige ingenieurspraktyke moet geïmplementeer word vir alle take wat met inligtingstelsels verband hou, gereeld hersien en bygewerk word om rekening te hou met opkomende bedreigings en aanvalpatrone.
Bylae A 8.27 is ook van toepassing op stelsels wat deur eksterne verskaffers geskep is, benewens dié wat intern ontwikkel en bedryf word.
Organisasies moet waarborg dat die praktyke en standaarde van diensverskaffers in lyn is met hul veilige ingenieursprotokolle.
ISO 27001:2022 Bylae A 8.27 noodsaak veilige stelselingenieursbeginsels om die volgende agt onderwerpe aan te spreek:
- Metodes van gebruikersverifikasie.
- Veilige sessiebeheerleiding.
- Prosedures vir die ontsmetting en validering van data.
- Sekuriteitsmaatreëls om inligtingbates en -stelsels teen bekende bedreigings te beskerm, word omvattend ontleed.
- Sekuriteitsmaatreëls ontleed vir hul vermoë om sekuriteitsbedreigings te identifiseer, uit te skakel en daarop te reageer.
- Ontleed die sekuriteitsmaatreëls wat toegepas word op spesifieke besigheidsaktiwiteite, soos inligtingkodering.
- Waar en hoe veiligheidsmaatreëls geïmplementeer sal word. 'n Spesifieke Bylae A-sekuriteitsbeheer kan binne die tegniese infrastruktuur geïntegreer word as deel van hierdie proses.
- Die manier waarop verskillende sekuriteitsmaatreëls saamwerk en as 'n gekombineerde stelsel funksioneer.
Leiding oor Zero Trust-beginsel
Organisasies moet hierdie nul-trustbeginsels in gedagte hou:
- Gebaseer op die aanname dat die organisasie se stelsels reeds gekompromitteer is en dat die gedefinieerde omtreksekuriteit van sy netwerk nie voldoende beskerming kan bied nie.
- ’n Beleid van “verifikasie voor vertroue” moet aanvaar word wanneer dit kom by die verlening van toegang tot inligtingstelsels. Dit verseker dat toegang slegs verleen word na ondersoek, om seker te maak dat die regte mense dit het.
- Om te verseker dat versoeke aan inligtingstelsels beveilig word met end-tot-end-enkripsie, bied versekering.
- Verifikasiemeganismes word geïmplementeer met die veronderstelling van toegangsversoeke van eksterne, oop netwerke na inligtingstelsels.
- Implementeer minste voorreg en dinamiese toegangsbeheer in ooreenstemming met ISO 27001:2022 Bylae A 5.15, 5.18 en 8.2. Dit moet verifikasie en magtiging van sensitiewe inligting en inligtingstelsels insluit met inagneming van kontekstuele aspekte soos gebruikersidentiteite (ISO 27001:2022 Bylae A 5.16) en inligting klassifikasie (ISO 27001:2022 Bylae A 5.12).
- Verifieer die identiteit van die versoeker en verifieer magtigingsversoeke om toegang tot inligtingstelsels te verkry volgens verifikasieinligting in ISO 27001:2022 Bylae A 5.17, 5.16 en 8.5.
Wat moet veilige stelselingenieurswese-tegnieke dek?
Jou organisasie moet die volgende in gedagte hou:
- Die inkorporering van veilige argitektuurbeginsels soos "veiligheid deur ontwerp", "verdediging in diepte", "veilig misluk", "wantroue insette van eksterne toepassings", "aanvaar breuk", "minste voorreg", "bruikbaarheid en hanteerbaarheid" en "minste funksionaliteit". ” is uiters belangrik.
- Om 'n sekuriteitsgerigte ontwerphersiening uit te voer om enige inligtingsekuriteitskwessies op te spoor en seker te maak dat sekuriteitsmaatreëls ingestel is en aan die sekuriteitsbehoeftes voldoen.
- Dokumentasie en erkenning van sekuriteitsmaatreëls wat nie aan vereistes voldoen nie, is noodsaaklik.
- Stelselverharding is noodsaaklik vir die veiligheid van enige stelsel.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Watter kriteria om te oorweeg wanneer veilige ingenieursbeginsels ontwerp word?
Organisasies moet die volgende punte in ag neem wanneer hulle veilige stelselingenieursbeginsels opstel:
- Die vereiste om aanhangsel A-kontroles te koördineer met spesifieke sekuriteitsargitektuur is onontbeerlik.
- 'n Organisasie se bestaande tegniese sekuriteitsinfrastruktuur, insluitend publieke sleutelinfrastruktuur, identiteitsbestuur en voorkoming van datalek.
- Kan die organisasie die gekose tegnologie bou en onderhou.
- Die koste en die tyd wat nodig is om aan sekuriteitsvereistes te voldoen, met inagneming van hul kompleksiteit, moet in ag geneem word.
- Die nakoming van huidige beste praktyke is noodsaaklik.
Leiding oor toepassing van veilige stelselingenieurswese-beginsels
ISO 27001:2022 Bylae A 8.27 bepaal dat organisasies veilige ingenieursbeginsels kan gebruik wanneer hulle die volgende opstel:
- Foutverdraagsaamheid en ander veerkragtigheidstrategieë is noodsaaklik. Hulle help verseker dat stelsels operasioneel bly ten spyte van die voorkoms van onverwagte gebeure.
- Segregasie deur virtualisasie is een tegniek wat gebruik kan word.
- Peuterbestand, verseker dat stelsels veilig en ondeurdringbaar bly vir kwaadwillige inmenging.
Veilige virtualisasietegnologie kan die risiko van onderskepping tussen toepassings wat op dieselfde toestel loop, verminder.
Dit word beklemtoon dat peuterweerstandstelsels beide logiese en fisiese manipulasie van inligtingstelsels kan opspoor, wat ongemagtigde toegang tot data voorkom.
Veranderinge en verskille vanaf ISO 27001:2013
ISO 27001:2022 Bylae A 8.27 vervang ISO 27001:2013 Bylae A 14.2.5 in die hersiene 2022-standaard.
Die 2022-weergawe bevat meer uitgebreide eise as die 2013-weergawe, soos:
- In vergelyking met 2013, verskaf die 2022-weergawe leiding oor wat veilige ingenieursbeginsels behoort te behels.
- In teenstelling met die 2013-iterasie, oorweeg die 2022-weergawe die kriteria wat organisasies in ag moet neem wanneer hulle veilige stelselingenieursbeginsels saamstel.
- Die 2022-weergawe verskaf leiding oor die nultrustbeginsel, wat nie by die 2013-weergawe ingesluit is nie.
- Die 2022-uitgawe van die dokument bevat aanbevelings vir veilige ingenieurstegnieke, soos "sekuriteit deur ontwerp", wat nie in die 2013-weergawe teenwoordig was nie.
Tabel van alle ISO 27001:2022 Bylae A-kontroles
In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 |
Bylae A 5.1.1 Bylae A 5.1.2 |
Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 |
Bylae A 6.1.5 Bylae A 14.1.1 |
Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 |
Bylae A 8.1.1 Bylae A 8.1.2 |
Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 |
Bylae A 8.1.3 Bylae A 8.2.3 |
Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 |
Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 |
Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 |
Bylae A 9.1.1 Bylae A 9.1.2 |
Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 |
Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 |
Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 |
Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 |
Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 |
Bylae A 15.2.1 Bylae A 15.2.2 |
Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 |
Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 |
Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 |
Bylae A 18.1.1 Bylae A 18.1.5 |
Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 |
Bylae A 18.2.2 Bylae A 18.2.3 |
Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 |
Bylae A 16.1.2 Bylae A 16.1.3 |
Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 |
Bylae A 11.1.2 Bylae A 11.1.6 |
Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 |
Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 |
Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 |
Bylae A 6.2.1 Bylae A 11.2.8 |
Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 |
Bylae A 12.6.1 Bylae A 18.2.3 |
Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 |
Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 |
Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van Bevoorregte Nutsdiensteprogramme Toegangsregte |
| Tegnologiese kontroles | Bylae A 8.19 |
Bylae A 12.5.1 Bylae A 12.6.2 |
Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 |
Bylae A 10.1.1 Bylae A 10.1.2 |
Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 |
Bylae A 14.1.2 Bylae A 14.1.3 |
Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige Stelselargitektuur en IngenieursbeginselsLeer uit Inligtingsekuriteitsvoorvalle |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 |
Bylae A 14.2.8 Bylae A 14.2.9 |
Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 |
Bylae A 12.1.4 Bylae A 14.2.6 |
Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 |
Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 |
Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Hoe ISMS.online Help
Ons stap-vir-stap kontrolelys maak ISO 27001 implementering 'n briesie. Ons volledige voldoeningsoplossing vir ISO/IEC 27001:2022 sal jou van begin tot einde deur die proses lei.
As u aanmeld, kan u tot 81% vordering verwag.
Hierdie oplossing is heeltemal omvattend en eenvoudig.
Reik nou uit na bespreek 'n demonstrasie.