ISO 27001:2022 Bylae A Beheer 8.8

Bestuur van Tegniese Kwesbaarhede

Bespreek 'n demo

groep,gelukkige,medewerkers,gesprek,in,konferensie,kamer

Doel van ISO 27001:2022 Bylae A 8.8

Geen rekenaarnetwerk, -stelsel, stuk sagteware of toestel is heeltemal veilig nie. Die bestuur van 'n moderne LAN of WAN behels kwesbaarhede as deel van die proses, so dit is noodsaaklik vir organisasies om hul teenwoordigheid te aanvaar en daarna te streef om die potensiële risiko's te verminder.

ISO 27001:2022 Bylae A 8.8 verskaf 'n magdom advies om organisasies te help om hul netwerke te beskerm teen interne en eksterne uitbuiting van kwesbaarhede. Dit maak gebruik van prosedures en riglyne van verskeie ander Die ISO 27001: 2022 Bylae A Kontroles, veral dié vir Veranderings bestuur (sien Bylae A 8.32) en Toegangsbeheer .

Eienaarskap van Bylae A 8.8

ISO 27001:2022 Bylae A 8.8 spreek tegniese en administratiewe bestuur van sagteware, stelsels en IKT-bates aan. Dit skryf 'n omvattende benadering vir sagtewarebestuur voor, Batebestuur, en netwerk sekuriteit ouditering.

Die individu wat uiteindelike verantwoordelikheid dra vir die instandhouding van die organisasie se IKT-infrastruktuur, soos die Hoof van IT of ekwivalent, moet die eienaar van ISO 27001:2022 Bylae A 8.8 wees.

Spring na Onderwerp

Riglyne oor die identifisering van kwesbaarhede

Voordat kwesbaarheidskontroles uitgevoer word, is dit noodsaaklik om 'n omvattende en huidige lys van fisiese en digitale bates (verwys na Bylae A 5.9 en 5.14) wat deur die organisasie besit en bedryf word, te bekom.

Sagtewarebatedata moet bestaan ​​uit:

  • Weergawenommers tans in werking.

  • Waar die sagteware oor die landgoed ontplooi word.

  • Naam van die verkoper.

  • Aansoeknaam.

Organisasies moet daarna streef om tegniese kwesbaarhede te identifiseer deur:

  • Dit is noodsaaklik om duidelik te definieer vir wie in die organisasie aanspreeklik is kwesbaarheid bestuur van 'n tegniese oogpunt, wat sy verskillende funksies vervul, wat insluit (maar nie beperk is nie tot):

  • Binne die organisasie, wie is verantwoordelik vir die sagteware.

  • Hou rekord van toepassings en gereedskap om tegniese swakhede te identifiseer.

  • Versoek verskaffers en verkopers om enige vatbaarheid met nuwe stelsels en hardeware bekend te maak wanneer hulle dit verskaf (soos bylaag A 5.20 van ISO 27001:2022), en spesifiseer dit duidelik in alle toepaslike kontrakte en diensooreenkomste.

  • Gebruik kwesbaarheidskanderingsinstrumente en pleisterfasiliteite.

  • Voer periodieke, gedokumenteerde penetrasietoetse uit, hetsy deur interne personeel of deur 'n geverifieerde derdeparty.

  • Wees bewus van die potensiaal vir onderliggende programmatiese kwesbaarhede wanneer derdeparty-kodebiblioteke of bronkode gebruik word (verwys na ISO 27001:2022 Bylae A 8.28).

Leiding oor openbare aktiwiteite

Organisasies moet beleide en prosedures skep wat kwesbaarhede in al hul produkte en dienste opspoor en assesserings kry van hierdie kwesbaarhede wat verband hou met hul verskaffing.

ISO raai organisasies aan om aksie te neem om enige kwesbaarhede te identifiseer, en om derde partye te motiveer om deel te neem aan kwesbaarheidsbestuuraktiwiteite deur beloningsprogramme aan te bied (waar potensiële uitbuitings gesoek word en aan die organisasie gerapporteer word in ruil vir 'n beloning).

Organisasies moet hulself toeganklik maak vir die publiek deur middel van forums, openbare e-posadresse en navorsing sodat hulle die kollektiewe kennis van die publiek kan benut om hul produkte en dienste te beskerm.

Organisasies moet enige regstellende stappe wat geneem is, hersien en dit oorweeg om relevante inligting aan geaffekteerde individue of organisasies vry te stel. Boonop moet hulle met spesialis-sekuriteitsorganisasies skakel om kennis van kwesbaarhede en aanvalsvektore te versprei.

Organisasies moet daaraan dink om 'n opsionele outomatiese opdateringstelsel te verskaf wat kliënte kan kies om te gebruik of nie, volgens hul besigheidsvereistes.

Riglyne oor die evaluering van kwesbaarhede

Akkurate verslagdoening is noodsaaklik om vinnige en doeltreffende regstellende aksie te verseker wanneer sekuriteitsrisiko's opgespoor word.

Organisasies moet kwesbaarhede assesseer deur:

  • Ondersoek die verslae deeglik en bepaal watter aksie nodig is, soos verandering, opdatering of uitskakeling van geaffekteerde stelsels en/of toerusting.

  • Bereik 'n resolusie wat ander ISO-kontroles (veral dié wat met ISO 27001:2022 verband hou) in ag neem en die vlak van risiko's erken.

Riglyne oor die bekamping van sagteware-kwesbaarhede

Sagteware-kwesbaarhede kan doeltreffend aangepak word deur 'n proaktiewe benadering tot sagteware-opdaterings en pleisterbestuur te gebruik. Om gereelde opdaterings en regstellings te verseker, kan help om jou stelsel teen potensiële bedreigings te beskerm.

Organisasies moet sorg dat bestaande sagteware-weergawes behou word voordat enige wysigings aangebring word, deeglike toetse op alle wysigings uitvoer en dit op 'n aangewese kopie van die sagteware toepas.

Sodra kwesbaarhede geïdentifiseer is, moet organisasies stappe doen om dit aan te spreek:

  • Doel om alle sekuriteitsprobleme vinnig en doeltreffend op te los.

  • Waar moontlik, neem die organisatoriese protokolle oor Veranderingsbestuur (sien ISO 27001:2022 Bylae A 8.32) en Voorvalhantering (sien ISO 27001:2022 Bylae A 5.26) waar.

  • Pas slegs pleisters en opdaterings van betroubare, gesertifiseerde bronne toe, veral vir sagteware en toerusting van derdeparty-verskaffers:

    • Organisasies moet die data byderhand evalueer om te besluit of dit noodsaaklik is om outomatiese opdaterings (of komponente daarvan) op aangekoopte sagteware en hardeware toe te pas.

  • Voordat jy installeer, toets enige opdaterings om enige onverwagte probleme in 'n lewendige omgewing te voorkom.

  • Gee topprioriteit aan die aanpak van hoërisiko- en lewensbelangrike besigheidstelsels.

  • Maak seker dat regstellende aksies suksesvol en eg is.

In die geval waar geen opdatering beskikbaar is nie, of enige hindernisse om een ​​te installeer (bv. kosteverwant), behoort organisasies ander metodes te oorweeg, soos:

  • Versoek om leiding van die verkoper oor 'n tydelike oplossing terwyl regstellende pogings verskerp word.

  • Skakel enige netwerkdienste af wat deur die kwesbaarheid geraak word.

  • Implementering van sekuriteitskontroles by sleutelpoorte, soos verkeersregulasies en filters, om die netwerk te beskerm.

  • Verhoog toesig in verhouding tot die gepaardgaande risiko.

  • Maak seker dat alle betrokke partye bewus is van die fout, insluitend verkopers en kopers.

  • Vertraag die opdatering en evalueer die risiko's, veral let op enige potensiële bedryfskoste.

Bygaande Bylae A Kontroles

  • ISO 27001:2022 Bylae A 5.14

  • ISO 27001:2022 Bylae A 5.20

  • ISO 27001:2022 Bylae A 5.9

  • ISO 27001:2022 Bylae A 8.20

  • ISO 27001:2022 Bylae A 8.22

  • ISO 27001:2022 Bylae A 8.28

Aanvullende leiding oor aanhangsel A 8.8

Organisasies moet 'n ouditspoor van alle tersaaklike kwesbaarheidsbestuuraktiwiteite om te help met regstellende aksie en protokolle te bevorder in die geval van 'n sekuriteitskending.

Om die hele kwesbaarheidsbestuursproses gereeld te assesseer en te hersien, is 'n uitstekende manier om prestasie te verbeter en enige kwesbaarhede proaktief te identifiseer.

As die organisasie 'n wolkdiensverskaffer in diens neem, moet hulle verseker dat die verskaffer se benadering tot kwesbaarheidsbestuur versoenbaar is met hul eie en ingesluit moet word in die bindende diensooreenkoms tussen beide partye, insluitend enige verslagdoeningsprosedures (sien ISO 27001:2022 Bylae A 5.32) .

Veranderinge en verskille vanaf ISO 27001:2013

ISO 27001:2022 Bylae A 8.8 vervang twee Bylae A-kontroles van ISO 27001:2013, hierdie is:

  • 12.6.1 – Bestuur van tegniese kwesbaarhede

  • 18.2.3 – Tegniese nakomingsoorsig

ISO 27001:2022 Bylae A 8.8 stel 'n nuwe, duidelike benadering tot kwesbaarheidsbestuur bekend as dié wat in ISO 27001:2013 gevind word. Dit is 'n noemenswaardige afwyking van die vorige standaard.

ISO 27001:2013 Bylae A 12.6.1 het hoofsaaklik daarop gefokus om regstellende maatreëls in plek te stel sodra 'n kwesbaarheid opgespoor is, terwyl Aanhangsel A 18.2.3 slegs van toepassing is op tegniese middele (grootliks penetrasietoetsing).

ISO 27001:2022 Bylae A 8.8 stel nuwe afdelings bekend wat handel oor 'n organisasie se openbare verantwoordelikhede, metodes om kwesbaarhede te herken, en die rol wat wolkverskaffers speel om kwesbaarhede tot 'n minimum te beperk.

ISO 27001:2022 plaas sterk klem op die rol van kwesbaarheidsbestuur in ander areas (soos veranderingsbestuur) en moedig die neem van 'n holistiese benadering aan, wat verskeie ander kontroles en inligtingsekuriteitsprosesse insluit.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.

ISO 27001:2022 Organisatoriese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Organisatoriese kontrolesBylae A 5.1Bylae A 5.1.1
Bylae A 5.1.2		Beleide vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.2Bylae A 6.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.3Bylae A 6.1.2Skeiding van pligte
Organisatoriese kontrolesBylae A 5.4Bylae A 7.2.1Bestuursverantwoordelikhede
Organisatoriese kontrolesBylae A 5.5Bylae A 6.1.3Kontak met owerhede
Organisatoriese kontrolesBylae A 5.6Bylae A 6.1.4Kontak met spesiale belangegroepe
Organisatoriese kontrolesBylae A 5.7NUWEBedreiging Intelligensie
Organisatoriese kontrolesBylae A 5.8Bylae A 6.1.5
Bylae A 14.1.1		Inligtingsekuriteit in projekbestuur
Organisatoriese kontrolesBylae A 5.9Bylae A 8.1.1
Bylae A 8.1.2		Inventaris van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.10Bylae A 8.1.3
Bylae A 8.2.3		Aanvaarbare gebruik van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.11Bylae A 8.1.4Teruggawe van bates
Organisatoriese kontrolesBylae A 5.12Bylae A 8.2.1Klassifikasie van inligting
Organisatoriese kontrolesBylae A 5.13Bylae A 8.2.2Etikettering van inligting
Organisatoriese kontrolesBylae A 5.14Bylae A 13.2.1
Bylae A 13.2.2
Bylae A 13.2.3		Inligtingsoordrag
Organisatoriese kontrolesBylae A 5.15Bylae A 9.1.1
Bylae A 9.1.2		Toegangsbeheer
Organisatoriese kontrolesBylae A 5.16Bylae A 9.2.1Identiteitsbestuur
Organisatoriese kontrolesBylae A 5.17Bylae A 9.2.4
Bylae A 9.3.1
Bylae A 9.4.3		Verifikasie inligting
Organisatoriese kontrolesBylae A 5.18Bylae A 9.2.2
Bylae A 9.2.5
Bylae A 9.2.6		Toegangsregte
Organisatoriese kontrolesBylae A 5.19Bylae A 15.1.1Inligtingsekuriteit in Verskaffersverhoudings
Organisatoriese kontrolesBylae A 5.20Bylae A 15.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
Organisatoriese kontrolesBylae A 5.21Bylae A 15.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
Organisatoriese kontrolesBylae A 5.22Bylae A 15.2.1
Bylae A 15.2.2		Monitering, hersiening en veranderingsbestuur van verskafferdienste
Organisatoriese kontrolesBylae A 5.23NUWEInligtingsekuriteit vir gebruik van wolkdienste
Organisatoriese kontrolesBylae A 5.24Bylae A 16.1.1Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur
Organisatoriese kontrolesBylae A 5.25Bylae A 16.1.4Assessering en besluit oor inligtingsekuriteitsgebeurtenisse
Organisatoriese kontrolesBylae A 5.26Bylae A 16.1.5Reaksie op inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.27Bylae A 16.1.6Leer uit inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.28Bylae A 16.1.7Versameling van bewyse
Organisatoriese kontrolesBylae A 5.29Bylae A 17.1.1
Bylae A 17.1.2
Bylae A 17.1.3		Inligtingsekuriteit tydens ontwrigting
Organisatoriese kontrolesBylae A 5.30NUWEIKT-gereedheid vir besigheidskontinuïteit
Organisatoriese kontrolesBylae A 5.31Bylae A 18.1.1
Bylae A 18.1.5		Wetlike, statutêre, regulatoriese en kontraktuele vereistes
Organisatoriese kontrolesBylae A 5.32Bylae A 18.1.2Intellektuele eiendomsregte
Organisatoriese kontrolesBylae A 5.33Bylae A 18.1.3Beskerming van rekords
Organisatoriese kontrolesBylae A 5.34 Bylae A 18.1.4Privaatheid en beskerming van PII
Organisatoriese kontrolesBylae A 5.35Bylae A 18.2.1Onafhanklike oorsig van inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.36Bylae A 18.2.2
Bylae A 18.2.3		Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.37Bylae A 12.1.1Gedokumenteerde bedryfsprosedures

ISO 27001:2022 Mensekontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Mense beheerBylae A 6.1Bylae A 7.1.1Screening
Mense beheerBylae A 6.2Bylae A 7.1.2Terme en diensvoorwaardes
Mense beheerBylae A 6.3Bylae A 7.2.2Bewusmaking, onderwys en opleiding van inligtingsekuriteit
Mense beheerBylae A 6.4Bylae A 7.2.3Dissiplinêre Proses
Mense beheerBylae A 6.5Bylae A 7.3.1Verantwoordelikhede na beëindiging of verandering van diens
Mense beheerBylae A 6.6Bylae A 13.2.4Vertroulikheid of nie-openbaarmakingsooreenkomste
Mense beheerBylae A 6.7Bylae A 6.2.2Afstand werk
Mense beheerBylae A 6.8Bylae A 16.1.2
Bylae A 16.1.3		Rapportering van inligtingsekuriteitsgebeurtenisse

ISO 27001:2022 Fisiese kontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Fisiese beheerBylae A 7.1Bylae A 11.1.1Fisiese sekuriteitsgrense
Fisiese beheerBylae A 7.2Bylae A 11.1.2
Bylae A 11.1.6		Fisiese toegang
Fisiese beheerBylae A 7.3Bylae A 11.1.3Beveiliging van kantore, kamers en fasiliteite
Fisiese beheerBylae A 7.4NUWEFisiese sekuriteitsmonitering
Fisiese beheerBylae A 7.5Bylae A 11.1.4Beskerming teen fisiese en omgewingsbedreigings
Fisiese beheerBylae A 7.6Bylae A 11.1.5Werk in veilige gebiede
Fisiese beheerBylae A 7.7Bylae A 11.2.9Duidelike lessenaar en duidelike skerm
Fisiese beheerBylae A 7.8Bylae A 11.2.1Toerustingopstelling en beskerming
Fisiese beheerBylae A 7.9Bylae A 11.2.6Sekuriteit van bates buite die perseel
Fisiese beheerBylae A 7.10Bylae A 8.3.1
Bylae A 8.3.2
Bylae A 8.3.3
 Bylae A 11.2.5		Berging media
Fisiese beheerBylae A 7.11Bylae A 11.2.2Ondersteunende nutsprogramme
Fisiese beheerBylae A 7.12Bylae A 11.2.3Bekabeling sekuriteit
Fisiese beheerBylae A 7.13Bylae A 11.2.4Onderhoud van toerusting
Fisiese beheerBylae A 7.14Bylae A 11.2.7Veilige wegdoening of hergebruik van toerusting

ISO 27001:2022 Tegnologiese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Tegnologiese kontrolesBylae A 8.1Bylae A 6.2.1
Bylae A 11.2.8		Gebruikerseindpunttoestelle
Tegnologiese kontrolesBylae A 8.2Bylae A 9.2.3Bevoorregte toegangsregte
Tegnologiese kontrolesBylae A 8.3Bylae A 9.4.1Inligtingtoegangbeperking
Tegnologiese kontrolesBylae A 8.4Bylae A 9.4.5Toegang tot bronkode
Tegnologiese kontrolesBylae A 8.5Bylae A 9.4.2Veilige verifikasie
Tegnologiese kontrolesBylae A 8.6Bylae A 12.1.3Kapasiteitsbestuur
Tegnologiese kontrolesBylae A 8.7Bylae A 12.2.1Beskerming teen wanware
Tegnologiese kontrolesBylae A 8.8Bylae A 12.6.1
Bylae A 18.2.3		Bestuur van Tegniese Kwesbaarhede
Tegnologiese kontrolesBylae A 8.9NUWEKonfigurasiebestuur
Tegnologiese kontrolesBylae A 8.10NUWEInligting skrap
Tegnologiese kontrolesBylae A 8.11NUWEDatamaskering
Tegnologiese kontrolesBylae A 8.12NUWEVoorkoming van datalekkasies
Tegnologiese kontrolesBylae A 8.13Bylae A 12.3.1Inligting rugsteun
Tegnologiese kontrolesBylae A 8.14Bylae A 17.2.1Oortolligheid van inligtingsverwerkingsfasiliteite
Tegnologiese kontrolesBylae A 8.15Bylae A 12.4.1
Bylae A 12.4.2
Bylae A 12.4.3		Logging
Tegnologiese kontrolesBylae A 8.16NUWEMoniteringsaktiwiteite
Tegnologiese kontrolesBylae A 8.17Bylae A 12.4.4Kloksynchronisasie
Tegnologiese kontrolesBylae A 8.18Bylae A 9.4.4Gebruik van bevoorregte nutsprogramme
Tegnologiese kontrolesBylae A 8.19Bylae A 12.5.1
Bylae A 12.6.2		Installering van sagteware op bedryfstelsels
Tegnologiese kontrolesBylae A 8.20Bylae A 13.1.1Netwerksekuriteit
Tegnologiese kontrolesBylae A 8.21Bylae A 13.1.2Sekuriteit van netwerkdienste
Tegnologiese kontrolesBylae A 8.22Bylae A 13.1.3Skeiding van netwerke
Tegnologiese kontrolesBylae A 8.23NUWEWebfiltrering
Tegnologiese kontrolesBylae A 8.24Bylae A 10.1.1
Bylae A 10.1.2		Gebruik van kriptografie
Tegnologiese kontrolesBylae A 8.25Bylae A 14.2.1Veilige ontwikkelingslewensiklus
Tegnologiese kontrolesBylae A 8.26Bylae A 14.1.2
Bylae A 14.1.3		Toepassingsekuriteitsvereistes
Tegnologiese kontrolesBylae A 8.27Bylae A 14.2.5Veilige stelselargitektuur en ingenieursbeginsels
Tegnologiese kontrolesBylae A 8.28NUWEVeilige kodering
Tegnologiese kontrolesBylae A 8.29Bylae A 14.2.8
Bylae A 14.2.9		Sekuriteitstoetsing in ontwikkeling en aanvaarding
Tegnologiese kontrolesBylae A 8.30Bylae A 14.2.7Uitgekontrakteerde Ontwikkeling
Tegnologiese kontrolesBylae A 8.31Bylae A 12.1.4
Bylae A 14.2.6		Skeiding van ontwikkeling-, toets- en produksie-omgewings
Tegnologiese kontrolesBylae A 8.32Bylae A 12.1.2
Bylae A 14.2.2
Bylae A 14.2.3
Bylae A 14.2.4		Veranderings bestuur
Tegnologiese kontrolesBylae A 8.33Bylae A 14.3.1Toets inligting
Tegnologiese kontrolesBylae A 8.34Bylae A 12.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online Help

ons platform is gebruikersvriendelik en reguit. Dit is bedoel vir almal in die organisasie, nie net tegnologie-vaardige mense nie. Ons beveel aan dat personeel van alle vlakke van die besigheid by betrek word die bou van jou ISMS aangesien dit help om 'n stelsel te skep wat sal hou.

Kontak nou om reël 'n demonstrasie.

Sien ISMS.online
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Sê hallo vir ISO 27001 sukses

Kry 81% van die werk vir jou gedoen en word vinniger gesertifiseer met ISMS.online

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind