ISO 27001:2022 Bylae A Beheer 8.27

Veilige stelselargitektuur en ingenieursbeginsels

Bespreek 'n demo

naby, op, beeld, van, vrou, hande, tik, op, skootrekenaar, rekenaar

Die ISO 27001: 2022 Bylae A 8.27 spesifiseer dat organisasies veilige stelselargitektuur en ingenieursbeginsels moet implementeer om te verseker dat die ontwerp, implementering en bestuur van die inligtingstelsel gepas is vir die organisasie se sekuriteitsvereistes. Dit sluit die vestiging van veilige stelselargitekture, ingenieursbeginsels en veilige ontwerppraktyke in.

Die ingewikkelde strukture van kontemporêre inligtingstelsels, gekombineer met die onophoudelike verskuiwende kuberveiligheidsrisiko-omgewing, maak inligtingstelsels meer geneig tot bestaande en potensiële sekuriteitsbedreigings.

Bylae A 8.27 skets hoe organisasies kan beskerm hul inligtingstelsels van sekuriteitsbedreigings deur die implementering van veilige stelselingenieursbeginsels gedurende alle stadiums van die inligtingstelsellewensiklus.

Doel van ISO 27001:2022 Bylae A 8.27

Bylae A 8.27 fasiliteer organisasies om inligtingstelsels tydens die fases van ontwerp, ontplooiing en bedryf te beveilig, deur die vestiging en implementering van veilige stelselingenieursbeginsels waaraan stelselingenieurs moet voldoen.

Eienaarskap van Bylae A 8.27

Die Hoofbeampte vir inligtingsekuriteit moet verantwoordelik gehou word vir die oprigting, handhawing en inwerkingstelling van die reëls wat veilige ingenieurswese van inligtingstelsels beheer.

Spring na Onderwerp

Algemene riglyne oor ISO 27001:2022 Bylae A 8.27 Voldoening

ISO 27001:2022 Bylae A 8.27 onderstreep die noodsaaklikheid vir organisasies om sekuriteit in die geheel van hul inligtingstelsels in te sluit, insluitend besigheidsprosesse, toepassings en data-argitektuur.

Veilige ingenieurspraktyke moet geïmplementeer word vir alle take wat met inligtingstelsels verband hou, gereeld hersien en bygewerk word om rekening te hou met opkomende bedreigings en aanvalpatrone.

Bylae A 8.27 is ook van toepassing op stelsels wat deur eksterne verskaffers geskep is, benewens dié wat intern ontwikkel en bedryf word.

Organisasies moet waarborg dat die praktyke en standaarde van diensverskaffers in lyn is met hul veilige ingenieursprotokolle.

ISO 27001:2022 Bylae A 8.27 noodsaak veilige stelselingenieursbeginsels om die volgende agt onderwerpe aan te spreek:

  1. Metodes van gebruikersverifikasie.

  2. Veilige sessiebeheerleiding.

  3. Prosedures vir die ontsmetting en validering van data.

  4. Sekuriteitsmaatreëls om inligtingbates en -stelsels teen bekende bedreigings te beskerm, word omvattend ontleed.

  5. Sekuriteitsmaatreëls ontleed vir hul vermoë om sekuriteitsbedreigings te identifiseer, uit te skakel en daarop te reageer.

  6. Ontleed die sekuriteitsmaatreëls wat toegepas word op spesifieke besigheidsaktiwiteite, soos inligtingkodering.

  7. Waar en hoe veiligheidsmaatreëls geïmplementeer sal word. 'n Spesifieke Bylae A-sekuriteitsbeheer kan binne die tegniese infrastruktuur geïntegreer word as deel van hierdie proses.

  8. Die manier waarop verskillende sekuriteitsmaatreëls saamwerk en as 'n gekombineerde stelsel funksioneer.

Leiding oor Zero Trust-beginsel

Organisasies moet hierdie nul-trustbeginsels in gedagte hou:

  • Gebaseer op die aanname dat die organisasie se stelsels reeds gekompromitteer is en dat die gedefinieerde omtreksekuriteit van sy netwerk nie voldoende beskerming kan bied nie.

  • ’n Beleid van “verifikasie voor vertroue” moet aanvaar word wanneer dit kom by die verlening van toegang tot inligtingstelsels. Dit verseker dat toegang slegs verleen word na ondersoek, om seker te maak dat die regte mense dit het.

  • Om te verseker dat versoeke aan inligtingstelsels beveilig word met end-tot-end-enkripsie, bied versekering.

  • Verifikasiemeganismes word geïmplementeer met die veronderstelling van toegangsversoeke van eksterne, oop netwerke na inligtingstelsels.

  • Implementeer minste voorreg en dinamiese toegangsbeheer in ooreenstemming met ISO 27001:2022 Bylae A 5.15, 5.18 en 8.2. Dit moet verifikasie en magtiging van sensitiewe inligting en inligtingstelsels insluit met inagneming van kontekstuele aspekte soos gebruikersidentiteite (ISO 27001:2022 Bylae A 5.16) en inligting klassifikasie (ISO 27001:2022 Bylae A 5.12).

  • Verifieer die identiteit van die versoeker en verifieer magtigingsversoeke om toegang tot inligtingstelsels te verkry volgens verifikasieinligting in ISO 27001:2022 Bylae A 5.17, 5.16 en 8.5.

Wat moet veilige stelselingenieurswese-tegnieke dek?

Jou organisasie moet die volgende in gedagte hou:

  • Die inkorporering van veilige argitektuurbeginsels soos "veiligheid deur ontwerp", "verdediging in diepte", "veilig misluk", "wantroue insette van eksterne toepassings", "aanvaar breuk", "minste voorreg", "bruikbaarheid en hanteerbaarheid" en "minste funksionaliteit". ” is uiters belangrik.

  • Om 'n sekuriteitsgerigte ontwerphersiening uit te voer om enige inligtingsekuriteitskwessies op te spoor en seker te maak dat sekuriteitsmaatreëls ingestel is en aan die sekuriteitsbehoeftes voldoen.

  • Dokumentasie en erkenning van sekuriteitsmaatreëls wat nie aan vereistes voldoen nie, is noodsaaklik.

  • Stelselverharding is noodsaaklik vir die veiligheid van enige stelsel.

Watter kriteria om te oorweeg wanneer veilige ingenieursbeginsels ontwerp word?

Organisasies moet die volgende punte in ag neem wanneer hulle veilige stelselingenieursbeginsels opstel:

  • Die vereiste om aanhangsel A-kontroles te koördineer met spesifieke sekuriteitsargitektuur is onontbeerlik.

  • 'n Organisasie se bestaande tegniese sekuriteitsinfrastruktuur, insluitend publieke sleutelinfrastruktuur, identiteitsbestuur en voorkoming van datalek.

  • Kan die organisasie die gekose tegnologie bou en onderhou.

  • Die koste en die tyd wat nodig is om aan sekuriteitsvereistes te voldoen, met inagneming van hul kompleksiteit, moet in ag geneem word.

  • Die nakoming van huidige beste praktyke is noodsaaklik.

Leiding oor toepassing van veilige stelselingenieurswese-beginsels

ISO 27001:2022 Bylae A 8.27 bepaal dat organisasies veilige ingenieursbeginsels kan gebruik wanneer hulle die volgende opstel:

  • Foutverdraagsaamheid en ander veerkragtigheidstrategieë is noodsaaklik. Hulle help verseker dat stelsels operasioneel bly ten spyte van die voorkoms van onverwagte gebeure.

  • Segregasie deur virtualisasie is een tegniek wat gebruik kan word.

  • Peuterbestand, verseker dat stelsels veilig en ondeurdringbaar bly vir kwaadwillige inmenging.

Veilige virtualisasietegnologie kan die risiko van onderskepping tussen toepassings wat op dieselfde toestel loop, verminder.

Dit word beklemtoon dat peuterweerstandstelsels beide logiese en fisiese manipulasie van inligtingstelsels kan opspoor, wat ongemagtigde toegang tot data voorkom.

Veranderinge en verskille vanaf ISO 27001:2013

ISO 27001:2022 Bylae A 8.27 vervang ISO 27001:2013 Bylae A 14.2.5 in die hersiene 2022-standaard.

Die 2022-weergawe bevat meer uitgebreide eise as die 2013-weergawe, soos:

  • In vergelyking met 2013, verskaf die 2022-weergawe leiding oor wat veilige ingenieursbeginsels behoort te behels.

  • In teenstelling met die 2013-iterasie, oorweeg die 2022-weergawe die kriteria wat organisasies in ag moet neem wanneer hulle veilige stelselingenieursbeginsels saamstel.

  • Die 2022-weergawe verskaf leiding oor die nultrustbeginsel, wat nie by die 2013-weergawe ingesluit is nie.

  • Die 2022-uitgawe van die dokument bevat aanbevelings vir veilige ingenieurstegnieke, soos "sekuriteit deur ontwerp", wat nie in die 2013-weergawe teenwoordig was nie.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.

ISO 27001:2022 Organisatoriese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Organisatoriese kontrolesBylae A 5.1Bylae A 5.1.1
Bylae A 5.1.2		Beleide vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.2Bylae A 6.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.3Bylae A 6.1.2Skeiding van pligte
Organisatoriese kontrolesBylae A 5.4Bylae A 7.2.1Bestuursverantwoordelikhede
Organisatoriese kontrolesBylae A 5.5Bylae A 6.1.3Kontak met owerhede
Organisatoriese kontrolesBylae A 5.6Bylae A 6.1.4Kontak met spesiale belangegroepe
Organisatoriese kontrolesBylae A 5.7NUWEBedreiging Intelligensie
Organisatoriese kontrolesBylae A 5.8Bylae A 6.1.5
Bylae A 14.1.1		Inligtingsekuriteit in projekbestuur
Organisatoriese kontrolesBylae A 5.9Bylae A 8.1.1
Bylae A 8.1.2		Inventaris van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.10Bylae A 8.1.3
Bylae A 8.2.3		Aanvaarbare gebruik van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.11Bylae A 8.1.4Teruggawe van bates
Organisatoriese kontrolesBylae A 5.12Bylae A 8.2.1Klassifikasie van inligting
Organisatoriese kontrolesBylae A 5.13Bylae A 8.2.2Etikettering van inligting
Organisatoriese kontrolesBylae A 5.14Bylae A 13.2.1
Bylae A 13.2.2
Bylae A 13.2.3		Inligtingsoordrag
Organisatoriese kontrolesBylae A 5.15Bylae A 9.1.1
Bylae A 9.1.2		Toegangsbeheer
Organisatoriese kontrolesBylae A 5.16Bylae A 9.2.1Identiteitsbestuur
Organisatoriese kontrolesBylae A 5.17Bylae A 9.2.4
Bylae A 9.3.1
Bylae A 9.4.3		Verifikasie inligting
Organisatoriese kontrolesBylae A 5.18Bylae A 9.2.2
Bylae A 9.2.5
Bylae A 9.2.6		Toegangsregte
Organisatoriese kontrolesBylae A 5.19Bylae A 15.1.1Inligtingsekuriteit in Verskaffersverhoudings
Organisatoriese kontrolesBylae A 5.20Bylae A 15.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
Organisatoriese kontrolesBylae A 5.21Bylae A 15.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
Organisatoriese kontrolesBylae A 5.22Bylae A 15.2.1
Bylae A 15.2.2		Monitering, hersiening en veranderingsbestuur van verskafferdienste
Organisatoriese kontrolesBylae A 5.23NUWEInligtingsekuriteit vir gebruik van wolkdienste
Organisatoriese kontrolesBylae A 5.24Bylae A 16.1.1Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur
Organisatoriese kontrolesBylae A 5.25Bylae A 16.1.4Assessering en besluit oor inligtingsekuriteitsgebeurtenisse
Organisatoriese kontrolesBylae A 5.26Bylae A 16.1.5Reaksie op inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.27Bylae A 16.1.6Leer uit inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.28Bylae A 16.1.7Versameling van bewyse
Organisatoriese kontrolesBylae A 5.29Bylae A 17.1.1
Bylae A 17.1.2
Bylae A 17.1.3		Inligtingsekuriteit tydens ontwrigting
Organisatoriese kontrolesBylae A 5.30NUWEIKT-gereedheid vir besigheidskontinuïteit
Organisatoriese kontrolesBylae A 5.31Bylae A 18.1.1
Bylae A 18.1.5		Wetlike, statutêre, regulatoriese en kontraktuele vereistes
Organisatoriese kontrolesBylae A 5.32Bylae A 18.1.2Intellektuele eiendomsregte
Organisatoriese kontrolesBylae A 5.33Bylae A 18.1.3Beskerming van rekords
Organisatoriese kontrolesBylae A 5.34 Bylae A 18.1.4Privaatheid en beskerming van PII
Organisatoriese kontrolesBylae A 5.35Bylae A 18.2.1Onafhanklike oorsig van inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.36Bylae A 18.2.2
Bylae A 18.2.3		Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.37Bylae A 12.1.1Gedokumenteerde bedryfsprosedures

ISO 27001:2022 Mensekontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Mense beheerBylae A 6.1Bylae A 7.1.1Screening
Mense beheerBylae A 6.2Bylae A 7.1.2Terme en diensvoorwaardes
Mense beheerBylae A 6.3Bylae A 7.2.2Bewusmaking, onderwys en opleiding van inligtingsekuriteit
Mense beheerBylae A 6.4Bylae A 7.2.3Dissiplinêre Proses
Mense beheerBylae A 6.5Bylae A 7.3.1Verantwoordelikhede na beëindiging of verandering van diens
Mense beheerBylae A 6.6Bylae A 13.2.4Vertroulikheid of nie-openbaarmakingsooreenkomste
Mense beheerBylae A 6.7Bylae A 6.2.2Afstand werk
Mense beheerBylae A 6.8Bylae A 16.1.2
Bylae A 16.1.3		Rapportering van inligtingsekuriteitsgebeurtenisse

ISO 27001:2022 Fisiese kontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Fisiese beheerBylae A 7.1Bylae A 11.1.1Fisiese sekuriteitsgrense
Fisiese beheerBylae A 7.2Bylae A 11.1.2
Bylae A 11.1.6		Fisiese toegang
Fisiese beheerBylae A 7.3Bylae A 11.1.3Beveiliging van kantore, kamers en fasiliteite
Fisiese beheerBylae A 7.4NUWEFisiese sekuriteitsmonitering
Fisiese beheerBylae A 7.5Bylae A 11.1.4Beskerming teen fisiese en omgewingsbedreigings
Fisiese beheerBylae A 7.6Bylae A 11.1.5Werk in veilige gebiede
Fisiese beheerBylae A 7.7Bylae A 11.2.9Duidelike lessenaar en duidelike skerm
Fisiese beheerBylae A 7.8Bylae A 11.2.1Toerustingopstelling en beskerming
Fisiese beheerBylae A 7.9Bylae A 11.2.6Sekuriteit van bates buite die perseel
Fisiese beheerBylae A 7.10Bylae A 8.3.1
Bylae A 8.3.2
Bylae A 8.3.3
 Bylae A 11.2.5		Berging media
Fisiese beheerBylae A 7.11Bylae A 11.2.2Ondersteunende nutsprogramme
Fisiese beheerBylae A 7.12Bylae A 11.2.3Bekabeling sekuriteit
Fisiese beheerBylae A 7.13Bylae A 11.2.4Onderhoud van toerusting
Fisiese beheerBylae A 7.14Bylae A 11.2.7Veilige wegdoening of hergebruik van toerusting

ISO 27001:2022 Tegnologiese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Tegnologiese kontrolesBylae A 8.1Bylae A 6.2.1
Bylae A 11.2.8		Gebruikerseindpunttoestelle
Tegnologiese kontrolesBylae A 8.2Bylae A 9.2.3Bevoorregte toegangsregte
Tegnologiese kontrolesBylae A 8.3Bylae A 9.4.1Inligtingtoegangbeperking
Tegnologiese kontrolesBylae A 8.4Bylae A 9.4.5Toegang tot bronkode
Tegnologiese kontrolesBylae A 8.5Bylae A 9.4.2Veilige verifikasie
Tegnologiese kontrolesBylae A 8.6Bylae A 12.1.3Kapasiteitsbestuur
Tegnologiese kontrolesBylae A 8.7Bylae A 12.2.1Beskerming teen wanware
Tegnologiese kontrolesBylae A 8.8Bylae A 12.6.1
Bylae A 18.2.3		Bestuur van Tegniese Kwesbaarhede
Tegnologiese kontrolesBylae A 8.9NUWEKonfigurasiebestuur
Tegnologiese kontrolesBylae A 8.10NUWEInligting skrap
Tegnologiese kontrolesBylae A 8.11NUWEDatamaskering
Tegnologiese kontrolesBylae A 8.12NUWEVoorkoming van datalekkasies
Tegnologiese kontrolesBylae A 8.13Bylae A 12.3.1Inligting rugsteun
Tegnologiese kontrolesBylae A 8.14Bylae A 17.2.1Oortolligheid van inligtingsverwerkingsfasiliteite
Tegnologiese kontrolesBylae A 8.15Bylae A 12.4.1
Bylae A 12.4.2
Bylae A 12.4.3		Logging
Tegnologiese kontrolesBylae A 8.16NUWEMoniteringsaktiwiteite
Tegnologiese kontrolesBylae A 8.17Bylae A 12.4.4Kloksynchronisasie
Tegnologiese kontrolesBylae A 8.18Bylae A 9.4.4Gebruik van bevoorregte nutsprogramme
Tegnologiese kontrolesBylae A 8.19Bylae A 12.5.1
Bylae A 12.6.2		Installering van sagteware op bedryfstelsels
Tegnologiese kontrolesBylae A 8.20Bylae A 13.1.1Netwerksekuriteit
Tegnologiese kontrolesBylae A 8.21Bylae A 13.1.2Sekuriteit van netwerkdienste
Tegnologiese kontrolesBylae A 8.22Bylae A 13.1.3Skeiding van netwerke
Tegnologiese kontrolesBylae A 8.23NUWEWebfiltrering
Tegnologiese kontrolesBylae A 8.24Bylae A 10.1.1
Bylae A 10.1.2		Gebruik van kriptografie
Tegnologiese kontrolesBylae A 8.25Bylae A 14.2.1Veilige ontwikkelingslewensiklus
Tegnologiese kontrolesBylae A 8.26Bylae A 14.1.2
Bylae A 14.1.3		Toepassingsekuriteitsvereistes
Tegnologiese kontrolesBylae A 8.27Bylae A 14.2.5Veilige stelselargitektuur en ingenieursbeginsels
Tegnologiese kontrolesBylae A 8.28NUWEVeilige kodering
Tegnologiese kontrolesBylae A 8.29Bylae A 14.2.8
Bylae A 14.2.9		Sekuriteitstoetsing in ontwikkeling en aanvaarding
Tegnologiese kontrolesBylae A 8.30Bylae A 14.2.7Uitgekontrakteerde Ontwikkeling
Tegnologiese kontrolesBylae A 8.31Bylae A 12.1.4
Bylae A 14.2.6		Skeiding van ontwikkeling-, toets- en produksie-omgewings
Tegnologiese kontrolesBylae A 8.32Bylae A 12.1.2
Bylae A 14.2.2
Bylae A 14.2.3
Bylae A 14.2.4		Veranderings bestuur
Tegnologiese kontrolesBylae A 8.33Bylae A 14.3.1Toets inligting
Tegnologiese kontrolesBylae A 8.34Bylae A 12.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online Help

Ons stap-vir-stap kontrolelys maak ISO 27001 implementering 'n briesie. Ons volledige voldoeningsoplossing vir ISO/IEC 27001:2022 sal jou van begin tot einde deur die proses lei.

As u aanmeld, kan u tot 81% vordering verwag.

Hierdie oplossing is heeltemal omvattend en eenvoudig.

Reik nou uit na bespreek 'n demonstrasie.

Sien ISMS.online
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind