ISO 27002:2022, Beheer 8.31 – Skeiding van ontwikkeling-, toets- en produksie-omgewings

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

kantoor, gebou., wolkekrabber., buitekant, van, gebou

Versuim om ontwikkeling-, toets- en produksieomgewings behoorlik te skei, kan lei tot die verlies aan beskikbaarheid, vertroulikheid en integriteit van inligtingsbates.

Byvoorbeeld, Uber het per ongeluk gepubliseer 'n kodebewaarplek op Github wat wagwoorde van gebruikers uit die produksie-omgewing bevat het, wat gelei het tot die verlies van vertroulikheid van sensitiewe inligting.

Daarom moet organisasies toepaslike prosedures en beheermaatreëls implementeer om ontwikkeling-, toets- en produksieomgewings veilig te skei om sekuriteitsrisiko's uit te skakel.

Doel van beheer 8.31

Beheer 8.31 stel organisasies in staat om die vertroulikheid, integriteit en beskikbaarheid van sensitiewe inligtingbates te handhaaf deur ontwikkelings-, toets- en produksieomgewings te skei deur toepaslike prosedures, kontroles en beleide.

Eienskappe tabel

Beheer 8.31 is voorkomend van aard en dit vereis dat organisasies voorkomend prosesse en tegniese beheermaatreëls daarstel en toepas om die ontwikkeling-, toets- en produksieomgewings veilig te skei.

beheer Tipe Eienskappe vir inligtingsekuriteitKuberveiligheidskonsepte Operasionele vermoënsSekuriteitsdomeine
#Voorkomende #Vertroulikheid
#Integriteit
#Beskikbaarheid		#Beskerm #Toepassingsekuriteit
#Stelsel- en netwerksekuriteit		#Beskerming
Spring na Onderwerp
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

Eienaarskap van beheer 8.31

Aangesien Beheer 8.31 die vestiging en implementering van organisasiewye prosesse en kontroles behels om verskillende sagteware-omgewings te skei, sal hoofinligtingsekuriteitsbeampte, met die hulp van die ontwikkelingspan, uiteindelik verantwoordelik wees vir voldoening.

Algemene riglyne oor nakoming

Organisasies moet die potensiële produksieprobleme wat voorkom moet word in ag neem wanneer die vereiste vlak van skeiding tussen die drie omgewings bepaal word.

Beheer 8.31 beveel veral aan dat organisasies die volgende sewe kriteria oorweeg:

  1. Segregasie en bedryf van ontwikkeling- en produksiestelsels tot 'n voldoende mate. Byvoorbeeld, die gebruik van aparte virtuele en fisiese omgewings vir produksie kan 'n effektiewe metode wees.

  2. Toepaslike reëls en magtigingsprosedures moet vasgestel, gedokumenteer en toegepas word vir die gebruik van sagteware in die produksie-omgewing nadat deur die ontwikkelingsomgewing gegaan is.

  3. Organisasies moet veranderinge wat aan toepassings en produksiestelsels aangebring is in 'n toetsomgewing apart van die produksie-omgewing hersien en toets voordat hierdie veranderinge in die produksie-omgewing gebruik word.

  4. Toetsing in produksie-omgewings moet nie toegelaat word nie, tensy sodanige toetsing gedefinieer en goedgekeur is voor toetsing.

  5. Ontwikkelingsinstrumente soos samestellers en redigeerders behoort nie vanaf die produksie-omgewings toeganklik te wees nie, tensy hierdie toegang absoluut noodsaaklik is.

  6. Om foute te minimaliseer, moet behoorlike omgewing-identifikasie-etikette prominent in spyskaarte vertoon word.

  7. Sensitiewe inligtingbates moet nie na ontwikkeling- en toetsomgewings oorgedra word nie, tensy ekwivalente sekuriteitsmaatreëls in die ontwikkeling- en toetsstelsels toegepas word.

Aanvullende leiding oor die beskerming van ontwikkeling en toetsomgewings

Organisasies moet ontwikkelings- en toetsomgewings teen sekuriteitsrisiko's beskerm met inagneming van die volgende:

  • Alle ontwikkelings-, integrasie- en toetsinstrumente soos bouers, integreerders en biblioteke moet gereeld gelap en bygewerk word.

  • Alle stelsels en sagteware moet veilig gekonfigureer word.

  • Toegang tot omgewings moet onderhewig wees aan toepaslike beheermaatreëls.

  • Veranderinge aan omgewings en kode wat daarin gestoor is, moet gemonitor en hersien word.

  • Omgewings moet veilig gemonitor en hersien word.

  • Omgewings moet gerugsteun word.

Verder moet geen enkele individu die voorreg gegee word om veranderinge in beide ontwikkeling- en produksie-omgewings aan te bring sonder om eers goedkeuring te verkry nie. Om dit te voorkom, kan organisasies toegangsregte skei of toegangskontroles daarstel en implementeer.

Boonop kan organisasies ook ekstra tegniese kontroles oorweeg, soos aanteken van alle toegangsaktiwiteite en intydse monitering van alle toegang tot hierdie omgewings.

Is jy gereed vir
die nuwe ISO 27002

Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Aanvullende leiding oor beheer 8.31

As organisasies nie die nodige maatreëls implementeer nie, kan hul inligtingstelsels aansienlike sekuriteitsrisiko's in die gesig staar.

Ontwikkelaars en toetsers met toegang tot die produksie-omgewing kan byvoorbeeld ongewenste veranderinge aan lêers of stelselomgewings maak, ongemagtigde kode uitvoer, of per ongeluk sensitiewe inligting bekend maak.

Daarom het organisasies 'n stabiele omgewing nodig om robuuste toetse op die kode uit te voer en om te verhoed dat ontwikkelaars toegang kry tot die produksie-omgewings waar sensitiewe werklike data gehuisves en verwerk word.

Organisasies moet ook maatreëls toepas soos aangewese rolle tesame met skeidingsvereistes.

Nog 'n bedreiging vir die vertroulikheid van produksiedata is die ontwikkeling- en toetspersoneel. Wanneer die ontwikkeling- en toetsspanne hul aktiwiteite met dieselfde rekenaartoestelle uitvoer, kan hulle per ongeluk veranderinge aan sensitiewe inligting of sagtewareprogramme aanbring.

Organisasies word aangeraai om ondersteunende prosesse te vestig vir die gebruik van die produksiedata in toets- en ontwikkelingstelsels in ooreenstemming met Beheer 8.33.

Boonop moet organisasies die maatreëls wat in hierdie Beheer aangespreek word, in ag neem wanneer hulle eindgebruikeropleiding in opleidingsomgewings uitvoer.

Laaste maar nie die minste nie, organisasies kan doelbewus die lyne tussen ontwikkeling, toetsing en produksieomgewings vervaag. Toetsing kan byvoorbeeld in 'n ontwikkelingsomgewing uitgevoer word of produktoetsing kan uitgevoer word deur die werklike gebruik van die produk deur personeel in die organisasie.

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/8.31 vervang 27002:2013/(12.1.4 en 14.2.6)

Alhoewel die twee weergawes in 'n groot mate ooreenstem, is daar twee verskille wat uitgelig moet word.

Beheer 14.2.6 in die 2013-weergawe verskaf meer gedetailleerde leiding oor veilige ontwikkelingsomgewings

Beheer 14.2.6 in die 2013-weergawe spreek veilige ontwikkelingsomgewings aan en lys 10 aanbevelings wat organisasies in ag moet neem wanneer hulle 'n ontwikkelingsomgewing bou.

Die 2022-weergawe, daarenteen, bevat nie sommige van hierdie aanbevelings nie, soos rugsteun op 'n plek buite die perseel en beperkings op die oordrag van data.

Kontrole 8.31 spreek produktoetsing en die gebruik van produksiedata aan

In teenstelling met die 2013-weergawe, verskaf Beheer 8.31 in die 2022-weergawe leiding oor hoe produktoetsing uitgevoer moet word en oor die gebruik van produksiedata in ooreenstemming met Beheer 8.33.

Hoe ISMS.online help

Die ISMS.Online-platform help met alle aspekte van die implementering van ISO 27002, van die bestuur van risiko-assesseringsaktiwiteite tot die ontwikkeling van beleide, prosedures en riglyne om aan die standaard se vereistes te voldoen.

Dit bied 'n manier om jou bevindinge te dokumenteer en dit aanlyn met jou spanlede te kommunikeer. ISMS.Online laat jou ook toe om kontrolelyste te skep en te stoor vir al die take betrokke by die implementering van ISO 27002, sodat jy maklik die vordering van jou organisasie se sekuriteitsprogram kan dophou.

Met sy outomatiese gereedskapstel maak ISMS.Online dit maklik vir organisasies om voldoening aan die ISO 27002-standaard te demonstreer.

Kontak ons ​​vandag nog om beplan 'n demo.

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind