Slaan oor na inhoud
Werk slimmer met ons nuwe verbeterde navigasie!
Kyk hoe IO nakoming makliker maak. Lees die blog
ISMS.aanlyn

ISO 27002:2022 – Beheer 8.29 – Sekuriteitstoetsing in ontwikkeling en aanvaarding

ISO 27002 Beheer 8.29 beklemtoon die belangrikheid van sekuriteitstoetsing tydens ontwikkeling en aanvaarding om kwesbaarhede voor ontplooiing te identifiseer en te versag, om robuuste beskerming van inligtingsbates te verseker.

skrywer
Sam Peters
Opgedateer Julie 25, 2025
4/5 sterre

Verseker sekuriteit van ontwikkeling tot ontplooiing: ISO 27002 beheer 8.29 verduidelik

Kubermisdadigers vind voortdurend nuwe maniere uit en verbeter hul strategieë om korporatiewe netwerke te infiltreer en toegang tot sensitiewe inligtingbates te verkry.

Kuberaanvallers kan byvoorbeeld 'n kwesbaarheid wat verband hou met die verifikasiemeganisme in die bronkode uitbuit om in netwerke in te dring. Verder kan hulle ook probeer om eindgebruikers aan die kliëntkant te manipuleer om aksies uit te voer om netwerke te infiltreer, toegang tot data te verkry of losprysware-aanvalle uit te voer.

As 'n toepassing, sagteware of IT-stelsel in die werklike wêreld met kwesbaarhede ontplooi word, sal dit sensitiewe inligtingsbates aan die risiko van kompromie blootstel.

Daarom moet organisasies 'n toepaslike sekuriteitstoetsprosedure daarstel en implementeer om alle kwesbaarhede in IT-stelsels te identifiseer en reg te stel voordat dit na die werklike wêreld ontplooi word.

Doel van beheer 8.29

Beheer 8.29 stel organisasies in staat om te verifieer dat alle inligtingsekuriteitsvereistes nagekom word wanneer nuwe toepassings, databasisse, sagteware of kode in werking gestel word deur 'n robuuste sekuriteitstoetsprosedure daar te stel en toe te pas.

Dit help organisasies om kwesbaarhede in die kode, netwerke, bedieners, toepassings of ander IT-stelsels op te spoor en uit te skakel voordat dit in die regte wêreld gebruik word.

Eienskappe van beheer 8.29

Beheer 8.29 is voorkomend van aard. Dit vereis dat organisasies nuwe inligtingstelsels en hul nuwe/bygewerkte weergawes aan 'n sekuriteitstoetsproses onderwerp voordat dit in die produksie-omgewing vrygestel word.

beheer Tipe Eienskappe vir inligtingsekuriteit Kuberveiligheidskonsepte Operasionele vermoëns Sekuriteitsdomeine
#Voorkomende #Vertroulikheid #Identifiseer #Toepassingsekuriteit #Beskerming
#Integriteit #Inligtingsekerheidversekering
#Beskikbaarheid #Stelsel- en netwerksekuriteit


ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

'n Voorsprong van 81% van dag een af

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin


Eienaarskap van beheer 8.29

Aangesien Beheer 8.29 die vestiging, instandhouding en implementering van 'n sekuriteitstoetsprosedure behels wat van toepassing sal wees op alle nuwe inligtingstelsels, hetsy intern of deur eksterne partye ontwikkel, behoort die Inligtingsekuriteitsbeampte verantwoordelik te wees vir voldoening.

Algemene riglyne oor nakoming

Organisasies moet sekuriteitstoetsing in die toetsproses vir alle stelsels inkorporeer en hulle moet verseker dat alle nuwe inligtingstelsels en hul nuwe/bygewerkte weergawes aan die inligtingsekuriteitsvereistes voldoen wanneer hulle in die produksie-omgewing is.

Beheer 8.29 lys drie elemente wat by die sekuriteitstoetsproses ingesluit moet word:

  1. Sekuriteitsfunksies soos gebruikerstawing soos gedefinieer in Beheer 8..5, toegangsbeperking soos voorgeskryf in Beheer 8.3, en kriptografie soos aangespreek in Beheer 8.24.
  2. Veilige kodering soos beskryf in Beheer 8.28.
  3. Beveilig konfigurasies soos voorgeskryf in Kontroles 8.9, 8.20, 8.22. Dit kan brandmure en bedryfstelsels dek.

Wat moet 'n toetsplan insluit?

By die ontwerp van sekuriteitstoetsplanne, moet organisasies die vlak van kritiek en aard van die inligtingstelsel voorhande in ag neem.

Sekuriteitstoetsplan moet die volgende dek:

  • Opstel van 'n gedetailleerde skedule vir die aktiwiteite en die toetsing wat uitgevoer moet word.
  • Insette en uitsette sal na verwagting plaasvind onder 'n gegewe stel toestande.
  • Kriteria om die resultate te assesseer.
  • Indien toepaslik, besluite om aksies te neem gebaseer op die resultate.


klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


In-Huis Ontwikkeling

Wanneer IT-stelsels deur die interne ontwikkelingspan ontwikkel word, moet hierdie span die aanvanklike sekuriteitstoetsing uitvoer om te verseker dat die IT-stelsel aan sekuriteitsvereistes voldoen.

Hierdie aanvanklike toetsing moet dan gevolg word deur 'n onafhanklikheidsaanvaardingstoets in ooreenstemming met Beheer 5.8.

Met betrekking tot die interne ontwikkeling, moet die volgende oorweeg word:

  • Voer kode-hersieningsaktiwiteite uit om sekuriteitsfoute op te spoor en uit te skakel, insluitend verwagte insette en toestande.
  • Voer kwesbaarheidskandering uit om onveilige konfigurasies en ander kwesbaarhede op te spoor.
  • Uitvoering van penetrasietoetse om onveilige kode en ontwerp op te spoor.

Uitkontraktering

Organisasies moet 'n streng verkrygingsproses volg wanneer hulle ontwikkeling uitkontrakteer of wanneer hulle IT-komponente van eksterne partye aankoop.

Organisasies moet 'n ooreenkoms met hul verskaffers aangaan en hierdie ooreenkoms moet die inligtingsekuriteitsvereistes aanspreek soos voorgeskryf in Beheer 5.20.

Verder moet organisasies verseker dat die produkte en dienste wat hulle koop aan die inligtingsekuriteitstandaarde voldoen.

Aanvullende leiding oor beheer 8.29

Organisasies kan verskeie toetsomgewings skep om verskeie toetse uit te voer soos funksionele, nie-funksionele en prestasietoetsing.

Verder kan hulle virtuele toetsomgewings skep en dan hierdie omgewings konfigureer om die IT-stelsels in verskeie operasionele instellings te toets.

Beheer 8.29 merk ook op dat effektiewe sekuriteitstoetsing van organisasies vereis om die toetsomgewings, gereedskap en tegnologie te toets en te monitor.

Laastens moet organisasies die vlak van sensitiwiteit en kritiekheid van data in ag neem wanneer hulle die aantal lae van metatoetsing bepaal.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/8.29 vervang 27002:2013/(14.2.8 en 14.2.9)

Strukturele veranderinge

Terwyl die 2022-weergawe veilige toetsing onder een enkele kontrole aanspreek, het die 2013-weergawe verwys na veilige toetsing in twee afsonderlike kontroles; Stelselveiligheidstoetsing in beheer 14.2.8 en stelselaanvaardingstoetsing in beheer 14.2.9

Beheer 8.29 bring meer omvattende vereistes

In teenstelling met die 2013-weergawe, bevat die 2022-weergawe meer gedetailleerde vereistes en aanbevelings oor die volgende:

  • Sekuriteitstoetsplan en wat dit moet insluit.
  • Kriteria vir sekuriteitstoetsing vir interne ontwikkeling van IT-stelsels.
  • Sekuriteitstoetsproses en wat dit moet behels.
  • Gebruik van verskeie toetsomgewings.

Die 2013-weergawe was meer gedetailleerd in verband met aanvaardingstoetsing

In teenstelling met die 2022-weergawe, was die 2013-weergawe meer voorskriftelik vir stelselaanvaardingstoetsing. Dit het vereistes ingesluit soos sekuriteitstoetsing op ontvangde komponente en die gebruik van outomatiese gereedskap.

Nuwe ISO 27002-kontroles

Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.7 NUWE Bedreigingsintelligensie
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.30 NUWE IKT-gereedheid vir besigheidskontinuïteit
7.4 NUWE Fisiese sekuriteitsmonitering
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.16 NUWE Moniteringsaktiwiteite
8.23 NUWE Webfiltrering
8.28 NUWE Veilige kodering
Organisatoriese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.1 05.1.1, 05.1.2 Beleide vir inligtingsekuriteit
5.2 06.1.1 Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3 06.1.2 Skeiding van pligte
5.4 07.2.1 Bestuursverantwoordelikhede
5.5 06.1.3 Kontak met owerhede
5.6 06.1.4 Kontak met spesiale belangegroepe
5.7 NUWE Bedreigingsintelligensie
5.8 06.1.5, 14.1.1 Inligtingsekuriteit in projekbestuur
5.9 08.1.1, 08.1.2 Inventaris van inligting en ander verwante bates
5.10 08.1.3, 08.2.3 Aanvaarbare gebruik van inligting en ander verwante bates
5.11 08.1.4 Teruggawe van bates
5.12 08.2.1 Klassifikasie van inligting
5.13 08.2.2 Etikettering van inligting
5.14 13.2.1, 13.2.2, 13.2.3 Inligting oordrag
5.15 09.1.1, 09.1.2 Toegangsbeheer
5.16 09.2.1 Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3 Stawing inligting
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsregte
5.19 15.1.1 Inligtingsekuriteit in verskafferverhoudings
5.20 15.1.2 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21 15.1.3 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22 15.2.1, 15.2.2 Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.24 16.1.1 Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25 16.1.4 Assessering en besluit oor inligtingsekuriteitsgebeure
5.26 16.1.5 Reaksie op inligtingsekuriteitsvoorvalle
5.27 16.1.6 Leer uit inligtingsekuriteitvoorvalle
5.28 16.1.7 Insameling van bewyse
5.29 17.1.1, 17.1.2, 17.1.3 Inligtingsekuriteit tydens ontwrigting
5.30 5.30 IKT-gereedheid vir besigheidskontinuïteit
5.31 18.1.1, 18.1.5 Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32 18.1.2 Intellektuele eiendomsregte
5.33 18.1.3 Beskerming van rekords
5.34 18.1.4 Privaatheid en beskerming van PII
5.35 18.2.1 Onafhanklike hersiening van inligtingsekuriteit
5.36 18.2.2, 18.2.3 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37 12.1.1 Gedokumenteerde bedryfsprosedures
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
6.1 07.1.1 Screening
6.2 07.1.2 Terme en diensvoorwaardes
6.3 07.2.2 Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4 07.2.3 Dissiplinêre proses
6.5 07.3.1 Verantwoordelikhede na beëindiging of verandering van diens
6.6 13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7 06.2.2 Afstand werk
6.8 16.1.2, 16.1.3 Rapportering van inligtingsekuriteitsgebeurtenisse
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
7.1 11.1.1 Fisiese sekuriteit omtrek
7.2 11.1.2, 11.1.6 Fisiese toegang
7.3 11.1.3 Beveiliging van kantore, kamers en fasiliteite
7.4 NUWE Fisiese sekuriteitsmonitering
7.5 11.1.4 Beskerming teen fisiese en omgewingsbedreigings
7.6 11.1.5 Werk in veilige areas
7.7 11.2.9 Duidelike lessenaar en duidelike skerm
7.8 11.2.1 Toerusting plaas en beskerming
7.9 11.2.6 Sekuriteit van bates buite die perseel
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Berging media
7.11 11.2.2 Ondersteunende nutsprogramme
7.12 11.2.3 Bekabeling sekuriteit
7.13 11.2.4 Onderhoud van toerusting
7.14 11.2.7 Veilige wegdoening of hergebruik van toerusting
Tegnologiese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
8.1 06.2.1, 11.2.8 Gebruikerseindpunttoestelle
8.2 09.2.3 Bevoorregte toegangsregte
8.3 09.4.1 Beperking van toegang tot inligting
8.4 09.4.5 Toegang tot bronkode
8.5 09.4.2 Veilige verifikasie
8.6 12.1.3 Kapasiteitsbestuur
8.7 12.2.1 Beskerming teen wanware
8.8 12.6.1, 18.2.3 Bestuur van tegniese kwesbaarhede
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.13 12.3.1 Rugsteun van inligting
8.14 17.2.1 Oortolligheid van inligtingverwerkingsfasiliteite
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NUWE Moniteringsaktiwiteite
8.17 12.4.4 Klok sinchronisasie
8.18 09.4.4 Gebruik van bevoorregte nutsprogramme
8.19 12.5.1, 12.6.2 Installering van sagteware op bedryfstelsels
8.20 13.1.1 Netwerk sekuriteit
8.21 13.1.2 Sekuriteit van netwerkdienste
8.22 13.1.3 Segregasie van netwerke
8.23 NUWE Webfiltrering
8.24 10.1.1, 10.1.2 Gebruik van kriptografie
8.25 14.2.1 Veilige ontwikkeling lewensiklus
8.26 14.1.2, 14.1.3 Aansoek sekuriteit vereistes
8.27 14.2.5 Veilige stelselargitektuur en ingenieursbeginsels
8.28 NUWE Veilige kodering
8.29 14.2.8, 14.2.9 Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30 14.2.7 Uitgekontrakteerde ontwikkeling
8.31 12.1.4, 14.2.6 Skeiding van ontwikkeling, toets en produksie omgewings
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Veranderings bestuur
8.33 14.3.1 Toets inligting
8.34 12.7.1 Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISMS.online stroomlyn die ISO 27002-implementeringsproses deur 'n gesofistikeerde wolkgebaseerde raamwerk te verskaf vir die dokumentasie van inligtingsekuriteitbestuurstelselprosedures en kontrolelyste om voldoening aan erkende standaarde te verseker.

Kontak en bespreek 'n demo.

Sam Peters

Sam is hoofprodukbeampte by ISMS.online en lei die ontwikkeling van alle produkkenmerke en -funksionaliteit. Sam is 'n kenner op baie gebiede van voldoening en werk saam met kliënte aan enige maat- of grootskaalse projekte.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Winter 2026
Streekleier - Winter 2026 VK
Streeksleier - Winter 2026 EU
Streekleier - Winter 2026 Middelmark EU
Streekleier - Winter 2026 EMEA
Streekleier - Winter 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.