Slaan oor na inhoud
ISMS.aanlyn

ISO 27002:2022 – Beheer 8.26 – Toepassingsekuriteitsvereistes

ISO 27002:2022 Beheer 8.26 beskryf sekuriteitsvereistes vir toepassingsontwikkeling, verkryging en gebruik, wat databeskerming, toegangsbeheer, veerkragtigheid teen aanvalle en regulatoriese nakoming verseker om inligtingbates te beskerm.

skrywer
Sam Peters
Opgedateer Julie 25, 2025
4/5 sterre

Verstaan ​​ISO 27002 Beheer 8.26: Toepassingsekuriteitsvereistes

Toepassingsagtewareprogramme soos webtoepassings, grafiese sagteware, databasissagteware en betalingsverwerkingsagteware is noodsaaklik vir baie kritieke sakebedrywighede.

Hierdie toepassings word egter dikwels blootgestel aan sekuriteitskwesbaarhede wat kan lei tot die kompromie van sensitiewe inligting.

Equifax, 'n Amerikaanse kredietburo, het byvoorbeeld versuim om 'n sekuriteitspleister toe te pas op 'n webwerftoepassingsraamwerk wat gebruik word om klanteklagtes te hanteer. Die kuberaanvallers gebruik sekuriteit kwesbaarhede in die webtoepassing om Equifax se korporatiewe netwerke te infiltreer en sensitiewe data van ongeveer 145 miljoen mense gesteel.

Beheer 8.26 spreek hoe organisasies kan inligtingsekuriteitsvereistes daarstel en toepas vir die ontwikkeling, gebruik en verkryging van toepassings.

Doel van beheer 8.26

Beheer 8.26 stel organisasies in staat om inligtingsbates wat op of verwerk word deur toepassings te beskerm deur toepaslike inligtingsekuriteitvereistes te identifiseer en toe te pas.

Eienskappe Tabel van beheer 8.26

Beheer 8.26 is 'n voorkomende tipe beheer wat risiko's vir die integriteit, beskikbaarheid en vertroulikheid van inligtingsbates wat op toepassing gestoor word, voorkom deur die gebruik van geskikte inligtingsekuriteitsmaatreëls.

beheer Tipe Eienskappe vir inligtingsekuriteit Kuberveiligheidskonsepte Operasionele vermoëns Sekuriteitsdomeine
#Voorkomende #Vertroulikheid #Beskerm #Toepassingsekuriteit #Beskerming
#Integriteit #Stelsel- en netwerksekuriteit #Verdediging
#Beskikbaarheid


ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

'n Voorsprong van 81% van dag een af

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin


Eienaarskap van beheer 8.26

Hoofinligtingsekuriteitsbeampte, met die ondersteuning van inligtingsekuriteitspesialiste, behoort verantwoordelik te wees vir die identifikasie, goedkeuring en implementering van inligtingsvereistes vir die verkryging, gebruik en ontwikkeling van toepassings.

Algemene riglyne oor nakoming

Algemene riglyne wys daarop dat organisasies a risikobepaling om die tipe inligtingsekuriteitvereistes te bepaal geskik is vir 'n spesifieke toepassing.

Terwyl die inhoud en tipes van inligting sekuriteit vereistes kan wissel na gelang van die aard van die aansoek, moet die vereistes die volgende aanspreek:

  • Die mate van vertroue wat in ooreenstemming met Beheer 5.17, 8.2 en 8.5 aan die identiteit van spesifieke entiteite toegeken word.
  • Identifikasie van die vlak van klassifikasie aan inligtingsbates toegewys gestoor of verwerk word deur die aansoek.
  • Of daar 'n behoefte is om die toegang tot funksies en inligting wat op die toepassing gestoor is, te skei.
  • Of die toepassing veerkragtig is teen kuberaanvalle soos SQL-inspuitings of onbedoelde onderskeppings soos buffer-oorloop.
  • Wetlike, regulatoriese en statutêre vereistes en standaarde van toepassing op die transaksie wat deur die aansoek verwerk, gegenereer, gestoor of voltooi is.
  • Privaatheidsoorwegings vir alle betrokke partye.
  • Vereistes vir die beskerming van vertroulike data.
  • Beskerming van inligting wanneer dit in gebruik, in vervoer of in rus is.
  • Of veilige enkripsie van kommunikasie tussen alle relevante partye is nodig.
  • Implementering van insetkontroles soos insetvalidering of die uitvoer van integriteitskontroles.
  • Voer outomatiese kontroles uit.
  • Uitvoerkontroles, met inagneming van wie uitsette kan sien en die magtiging vir toegang.
  • Moet beperkings op die inhoud van "vryteks" velde oplê om die verspreiding van vertroulike data op 'n onbeheerbare wyse te beskerm.
  • Vereistes wat voortspruit uit besigheidsbehoeftes soos aanteken van transaksies en nie-repudiasievereistes.
  • Vereistes gestel deur ander sekuriteitskontroles soos datalek-opsporingstelsels.
  • Hoe om foutboodskappe te hanteer.


klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Aanvullende leiding oor transaksiedienste

Beheer 8.26 vereis van organisasies om die volgende sewe aanbevelings in ag te neem wanneer 'n toepassing transaksionele dienste tussen die organisasie en 'n vennoot bied:

  • Die mate van vertroue wat elke party in die transaksie in die ander party se identiteit vereis.
  • Die mate van vertroue wat vereis word in die integriteit van data wat gekommunikeer of verwerk word en die identifisering van 'n behoorlike meganisme om enige gebrek aan integriteit op te spoor, insluitend gereedskap soos hashing en digitale handtekeninge.
  • Vestiging van 'n magtigingsproses vir wie toegelaat word om die inhoud van noodsaaklike transaksionele dokumente goed te keur, af te teken of af te teken.
  • Die handhawing van die vertroulikheid en integriteit van die kritieke dokumente en bewys van die stuur en ontvangs van sulke dokumente.
  • Beskerming en handhawing van die integriteit en vertroulikheid van alle transaksies soos bestellings en kwitansies.
  • Vereistes vir watter tydperk transaksies vertroulik gehou moet word.
  • Kontraktuele vereistes en vereistes wat verband hou met versekering.

Aanvullende leiding oor elektroniese bestel- en betalingsaansoeke

Wanneer aansoeke betaling en elektroniese bestelfunksies insluit, moet organisasies die volgende in ag neem:

  • Vereistes verseker dat vertroulikheid en integriteit van bestellingsinligting nie in die gedrang kom nie.
  • Die bepaling van 'n toepaslike mate van verifikasie om die betalingsbesonderhede wat deur 'n kliënt verskaf is, te verifieer.
  • Voorkoming van die verlies of duplisering van transaksie-inligting.
  • Verseker dat inligting wat verband hou met inligting gestoor word buite 'n publiek toeganklike omgewing soos op 'n bergingsmedia wat op die organisasie se eie intranet gehuisves word.
  • Waar organisasies staatmaak op 'n betroubare eksterne owerheid soos vir die uitreiking van digitale handtekeninge, moet hulle verseker dat sekuriteit deur die hele proses geïntegreer is.

Aanvullende leiding oor netwerke

Wanneer toepassings deur netwerke verkry word, is hulle kwesbaar vir bedreigings soos kontrakgeskille, bedrieglike aktiwiteite, verkeerde roetes, ongemagtigde veranderinge aan die inhoud van kommunikasie, of verlies aan vertroulikheid van sensitiewe inligting.

Beheer 8.26 beveel aan dat organisasies omvattend presteer risikobepalings om toepaslike beheermaatreëls te identifiseer soos die gebruik van kriptografie om die sekuriteit van inligtingoordragte te verseker.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/8.26 vervang 27002:2013/(14.1.2 en 14.1.3)

Daar is drie groot verskille tussen die twee weergawes.

Alle toepassings vs toepassings wat deur openbare netwerke gaan

Die ISO 27002:2013-weergawe het nie vereistes gelys wat op alle toepassings van toepassing is nie: Dit het 'n lys van inligtingsekuriteitsvereistes verskaf wat oorweeg moet word vir toepassings wat deur openbare netwerke gaan.

Beheer 8.26 in die 2022-weergawe, inteendeel, 'n lys van inligtingsekuriteitsvereistes verskaf wat op alle toepassings van toepassing is.

Verdere leiding oor elektroniese bestel- en betalingsaansoeke

Beheer 8.26 in die 2022-weergawe bevat spesifieke leiding oor Elektroniese bestel- en betalingsaansoeke. Daarteenoor het die 2013 Weergawe nie hieraan aandag gegee nie.

Bykomende vereiste vir transaksiedienste

Terwyl die 2022-weergawe en die 2013-weergawe byna identies is in terme van die vereistes vir transaksionele dienste, stel die 2022-weergawe 'n bykomende vereiste in wat nie in die 2013-weergawe aangespreek is nie:

  • Organisasies moet kontraktuele vereistes en vereistes wat met versekering verband hou, oorweeg.

Nuwe ISO 27002-kontroles

Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.7 NUWE Bedreigingsintelligensie
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.30 NUWE IKT-gereedheid vir besigheidskontinuïteit
7.4 NUWE Fisiese sekuriteitsmonitering
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.16 NUWE Moniteringsaktiwiteite
8.23 NUWE Webfiltrering
8.28 NUWE Veilige kodering
Organisatoriese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.1 05.1.1, 05.1.2 Beleide vir inligtingsekuriteit
5.2 06.1.1 Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3 06.1.2 Skeiding van pligte
5.4 07.2.1 Bestuursverantwoordelikhede
5.5 06.1.3 Kontak met owerhede
5.6 06.1.4 Kontak met spesiale belangegroepe
5.7 NUWE Bedreigingsintelligensie
5.8 06.1.5, 14.1.1 Inligtingsekuriteit in projekbestuur
5.9 08.1.1, 08.1.2 Inventaris van inligting en ander verwante bates
5.10 08.1.3, 08.2.3 Aanvaarbare gebruik van inligting en ander verwante bates
5.11 08.1.4 Teruggawe van bates
5.12 08.2.1 Klassifikasie van inligting
5.13 08.2.2 Etikettering van inligting
5.14 13.2.1, 13.2.2, 13.2.3 Inligting oordrag
5.15 09.1.1, 09.1.2 Toegangsbeheer
5.16 09.2.1 Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3 Stawing inligting
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsregte
5.19 15.1.1 Inligtingsekuriteit in verskafferverhoudings
5.20 15.1.2 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21 15.1.3 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22 15.2.1, 15.2.2 Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.24 16.1.1 Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25 16.1.4 Assessering en besluit oor inligtingsekuriteitsgebeure
5.26 16.1.5 Reaksie op inligtingsekuriteitsvoorvalle
5.27 16.1.6 Leer uit inligtingsekuriteitvoorvalle
5.28 16.1.7 Insameling van bewyse
5.29 17.1.1, 17.1.2, 17.1.3 Inligtingsekuriteit tydens ontwrigting
5.30 5.30 IKT-gereedheid vir besigheidskontinuïteit
5.31 18.1.1, 18.1.5 Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32 18.1.2 Intellektuele eiendomsregte
5.33 18.1.3 Beskerming van rekords
5.34 18.1.4 Privaatheid en beskerming van PII
5.35 18.2.1 Onafhanklike hersiening van inligtingsekuriteit
5.36 18.2.2, 18.2.3 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37 12.1.1 Gedokumenteerde bedryfsprosedures
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
6.1 07.1.1 Screening
6.2 07.1.2 Terme en diensvoorwaardes
6.3 07.2.2 Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4 07.2.3 Dissiplinêre proses
6.5 07.3.1 Verantwoordelikhede na beëindiging of verandering van diens
6.6 13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7 06.2.2 Afstand werk
6.8 16.1.2, 16.1.3 Rapportering van inligtingsekuriteitsgebeurtenisse
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
7.1 11.1.1 Fisiese sekuriteit omtrek
7.2 11.1.2, 11.1.6 Fisiese toegang
7.3 11.1.3 Beveiliging van kantore, kamers en fasiliteite
7.4 NUWE Fisiese sekuriteitsmonitering
7.5 11.1.4 Beskerming teen fisiese en omgewingsbedreigings
7.6 11.1.5 Werk in veilige areas
7.7 11.2.9 Duidelike lessenaar en duidelike skerm
7.8 11.2.1 Toerusting plaas en beskerming
7.9 11.2.6 Sekuriteit van bates buite die perseel
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Berging media
7.11 11.2.2 Ondersteunende nutsprogramme
7.12 11.2.3 Bekabeling sekuriteit
7.13 11.2.4 Onderhoud van toerusting
7.14 11.2.7 Veilige wegdoening of hergebruik van toerusting
Tegnologiese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
8.1 06.2.1, 11.2.8 Gebruikerseindpunttoestelle
8.2 09.2.3 Bevoorregte toegangsregte
8.3 09.4.1 Beperking van toegang tot inligting
8.4 09.4.5 Toegang tot bronkode
8.5 09.4.2 Veilige verifikasie
8.6 12.1.3 Kapasiteitsbestuur
8.7 12.2.1 Beskerming teen wanware
8.8 12.6.1, 18.2.3 Bestuur van tegniese kwesbaarhede
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.13 12.3.1 Rugsteun van inligting
8.14 17.2.1 Oortolligheid van inligtingverwerkingsfasiliteite
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NUWE Moniteringsaktiwiteite
8.17 12.4.4 Klok sinchronisasie
8.18 09.4.4 Gebruik van bevoorregte nutsprogramme
8.19 12.5.1, 12.6.2 Installering van sagteware op bedryfstelsels
8.20 13.1.1 Netwerk sekuriteit
8.21 13.1.2 Sekuriteit van netwerkdienste
8.22 13.1.3 Segregasie van netwerke
8.23 NUWE Webfiltrering
8.24 10.1.1, 10.1.2 Gebruik van kriptografie
8.25 14.2.1 Veilige ontwikkeling lewensiklus
8.26 14.1.2, 14.1.3 Aansoek sekuriteit vereistes
8.27 14.2.5 Veilige stelselargitektuur en ingenieursbeginsels
8.28 NUWE Veilige kodering
8.29 14.2.8, 14.2.9 Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30 14.2.7 Uitgekontrakteerde ontwikkeling
8.31 12.1.4, 14.2.6 Skeiding van ontwikkeling, toets en produksie omgewings
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Veranderings bestuur
8.33 14.3.1 Toets inligting
8.34 12.7.1 Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISMS.online is 'n wolk-gebaseerde oplossing wat maatskappye help om voldoening aan ISO 27002 te toon. Die ISMS.online oplossing kan gebruik word om die vereistes van ISO 27002 en verseker dat jou organisasie aan die nuwe standaard voldoen.

Ons platform is gebruikersvriendelik en reguit. Dit is nie net vir hoogs tegniese individue nie; dit is vir almal in jou geselskap.

Kontak vandag nog om bespreek 'n demo.

Sam Peters

Sam is hoofprodukbeampte by ISMS.online en lei die ontwikkeling van alle produkkenmerke en -funksionaliteit. Sam is 'n kenner op baie gebiede van voldoening en werk saam met kliënte aan enige maat- of grootskaalse projekte.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platformdashboard vol op kristal

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Herfs 2025
Hoëpresteerder, Klein Besigheid - Herfs 2025 VK
Streekleier - Herfs 2025 Europa
Streekleier - Herfs 2025 EMEA
Streekleier - Herfs 2025 VK
Hoë Presteerder - Herfs 2025 Europa Middelmark

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.