In die 90's het besighede slegs sekuriteitstoetse vir sagtewareprodukte en -stelsels uitgevoer tydens die toetsfase, in die finale fase van die sagteware-ontwikkelingslewensiklus.
As gevolg hiervan het hulle dikwels nie daarin geslaag om kritieke kwesbaarhede, foute en foute op te spoor en uit te skakel nie.
Om sekuriteitskwesbaarhede vroegtydig te identifiseer en aan te spreek, moet organisasies sekuriteitsoorwegings insluit in alle stadiums van die ontwikkelingslewensiklus, van die beplanning tot die ontplooiingstadium.
Beheer 8.25 handel oor hoe organisasies reëls kan uiteensit en implementeer om veilige sagtewareprodukte en -stelsels te bou.
Beheer 8.25 stel organisasies in staat om inligtingsekuriteitstandaarde te ontwerp en hierdie standaarde toe te pas oor die hele veilige ontwikkelingslewensiklus vir sagtewareprodukte en -stelsels.
Beheer 8.25 is voorkomend van aard aangesien dit van organisasies vereis om proaktief reëls en kontroles te ontwerp en te implementeer wat die hele ontwikkelingslewensiklus vir elke nuwe sagtewareproduk en -stelsel beheer.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Toepassingsekuriteit #Stelsel- en netwerksekuriteit | #Beskerming |
Die Hoofinligtingsekuriteitsbeampte moet verantwoordelik wees vir die skepping, implementering en instandhouding van reëls en maatreëls om die veiligheid van die ontwikkelingslewensiklus te verseker.
Beheer 8.25 bevat 10 vereistes waaraan organisasies moet voldoen om veilige sagtewareprodukte, stelsels en argitektuur te bou:
Verder, indien 'n organisasie sekere ontwikkelingstake aan eksterne partye uitkontrakteer, moet dit verseker dat die eksterne party by die organisasie se reëls en prosedures vir die veilige ontwikkeling van sagteware en stelsel hou.
Control 8.25 merk op dat sagtewareprodukte, argitekture en stelsels ook binne toepassings, databasisse of blaaiers ontwikkel kan word.
27002:2022/8.25 replace 27002:2013/(14.2.1)
Oor die algemeen is daar twee sleutelverskille.
Terwyl die 2022-weergawe in 'n groot mate soortgelyk is aan die 2013-weergawe, stel die Beheer 8.25 twee nuwe vereistes aan organisasies:
Die 2013-weergawe het uitdruklik gestel dat die Beheer 14.2.1 van toepassing is op beide nuwe ontwikkelings en op kodehergebruik. Daarteenoor het Beheer 8.25 nie na kodehergebruikscenario's verwys nie.
ISO 27002-implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei. Jou volledige voldoeningsoplossing vir ISO/IEC 27002:2022.
Kontak vandag nog om bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |