ISO 27002:2022, Beheer 8.8 – Bestuur van tegniese kwesbaarhede

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

data, sentrum, programmeerder, gebruik, digitaal, skootrekenaar, rekenaar,, onderhoud, dit, spesialis.

Doel van beheer 8.8

Geen rekenaarnetwerk, stelsel, stuk sagteware of toestel is 100% veilig nie. Kwesbaarhede is deel van die bestuur van 'n moderne LAN of WAN, en dit is belangrik vir organisasies om te erken dat dit eerstens wel bestaan, en tweedens die behoefte om risiko te verminder waar dit die potensiaal het om te voorkom.

Beheer 8.8 bevat 'n aansienlike hoeveelheid advies wat organisasies help om die interne en eksterne uitbuiting van kwesbaarhede oor hul hele netwerk te voorkom. Beheer 8.8 maak staat op ondersteunende prosedures en riglyne van talle ander ISO 27002:2022-kontroles, veral dié wat verband hou met veranderingsbestuur (sien Beheer 8.32) en toegangsbeheerprotokolle.

Eienskappe tabel

Beheer 8.8 is a voorkomende beheer dit risiko handhaaf deur prosedures te implementeer wat inligting oor tegniese kwesbaarhede insamel en die organisasie toelaat om toepaslike maatreëls te tref om bates, stelsels, data en hardeware te beskerm.

beheer TipeEienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende#Vertroulikheid
#Integriteit
#Beskikbaarheid		#Identifiseer
#Beskerm		#Bedreigings- en kwesbaarheidsbestuur#Beheer en ekosisteem
#Beskerming
#Verdediging
Spring na Onderwerp
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

Eienaarskap van beheer 8.8

Beheer 8.8 handel oor die tegniese en administratiewe bestuur van sagteware, stelsels en IKT-bates. Sommige van die riglyne behels die implementering van 'n hoogs gedetailleerde benadering tot sagtewarebestuur, batebestuur en netwerksekuriteitoudit.

As sodanig behoort eienaarskap van Beheer 8.8 by die individu te wees wat die algehele verantwoordelikheid dra vir die instandhouding van die organisasie se IKT-infrastruktuur, soos die Hoof van IT, of organisatoriese ekwivalent.

Leiding – Identifisering van kwesbaarhede

Voor implementering en kwesbaarheidskontroles is dit noodsaaklik om 'n volledige en bygewerkte lys van fisiese en digitale bates (sien Kontroles 5.9 en 5.14) wat deur die organisasie besit en bedryf word, te verkry.

Sagtewarebate-inligting moet die volgende insluit:

  • Naam van die verkoper

  • Aansoeknaam

  • Weergawenommers tans in werking

  • Waar die sagteware oor die landgoed ontplooi word

Wanneer hulle probeer om tegniese kwesbaarhede vas te stel, moet organisasies:

  1. Skets duidelik wie (binne die organisasie) verantwoordelik is vir kwesbaarheidsbestuur vanuit 'n tegniese perspektief, in ooreenstemming met die verskillende funksies daarvan, insluitend (maar nie beperk nie tot):

    • Bate bestuur

    • Risikobepaling

    • Monitering

    • Bywerking

  2. Wie is verantwoordelik vir die sagteware binne die organisasie

  3. Hou 'n inventaris van toepassings en hulpbronne wat gebruik sal word om tegniese kwesbaarhede te identifiseer.

  4. Vra verskaffers en verskaffers om kwesbaarhede met die verskaffing van nuwe stelsels en hardeware te openbaar (sien Beheer 5.20), en spesifiseer as sodanig in alle relevante kontrakte en diensooreenkomste.

  5. Maak gebruik van kwesbaarheidskanderingnutsgoed, insluitend pleisterfasiliteite.

  6. Voer gereelde, gedokumenteerde penetrasietoetse uit – hetsy intern of via 'n gesertifiseerde derdeparty.

  7. Wees bedag op die gebruik van derdeparty-kodebiblioteke en/of bronkode vir onderliggende programmatiese kwesbaarhede (sien Beheer 8.28).

Leiding – Openbare Aktiwiteite

Benewens interne stelsels, moet organisasies beleide en prosedures ontwikkel wat kwesbaarhede oor al sy produkte en dienste opspoor, en kwesbaarheidsbeoordelings ontvang wat verband hou met die verskaffing van genoemde produkte en dienste.

ISO raai organisasies aan om 'n openbare poging aan te wend om enige kwesbaarhede op te spoor, en derdepartye aan te moedig om aan kwesbaarheidbestuurspogings deel te neem deur die gebruik van oorvloedprogramme (waar na uitbuitings gesoek word en aan die organisasie gerapporteer word vir 'n beloning).

Organisasies moet hulself aan die algemene publiek beskikbaar stel deur middel van forums, openbare e-posadresse en navorsingsaktiwiteite sodat die kollektiewe kennis van die breër publiek gebruik kan word om produkte en dienste by die bron te beskerm.

Waar regstellende stappe geneem is wat gebruikers of kliënte raak, moet organisasies dit oorweeg om relevante inligting aan die geaffekteerde individue of organisasies vry te stel, en met spesialis sekuriteitsorganisasies in gesprek te tree om inligting oor kwesbaarhede en aanvalvektore te versprei.

Daarbenewens moet organisasies dit oorweeg om 'n outomatiese opdateringsprosedure aan te bied wat kliënte kan in- of uitskakel, gebaseer op hul besigheidsbehoeftes.

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Leiding – Evaluering van kwesbaarhede

Voldoende verslagdoening is die sleutel om vinnige en effektiewe regstellende stappe te verseker wanneer kwesbaarhede ontdek word.

By die evaluering van kwesbaarhede, moet organisasies:

  1. Ontleed enige verslae noukeurig en besluit watter stappe gedoen moet word, insluitend (maar nie beperk nie tot) die wysiging, opdatering of verwydering van geaffekteerde stelsels en/of hardeware.

  2. Stem saam oor 'n resolusie wat ander ISO-kontroles in ag neem (veral dié wat met ISO 27002:2022 verband hou) en die vlak van risiko's wat betrokke is, erken.

Leiding – Bekamping van sagteware-kwesbaarhede

Sagteware-kwesbaarhede word die beste bekamp met 'n proaktiewe benadering tot sagteware-opdaterings en pleisterbestuur.

Voordat enige wysigings geïmplementeer word, moet organisasies verseker dat bestaande sagteware-weergawes behoue ​​bly, alle veranderinge volledig getoets en toegepas word op 'n aangewese kopie van die sagteware.

Wanneer kwesbaarhede direk aangespreek word nadat dit geïdentifiseer is, moet organisasies:

  1. Probeer om alle kwesbaarhede op 'n tydige en doeltreffende wyse op te los.

  2. Waar moontlik, volg die organisatoriese prosedures oor veranderingsbestuur (sien Beheer 8.32) en insidentreaksie (sien Beheer 5.26).

  3. Pas slegs opdaterings en pleisters toe wat van betroubare en/of gesertifiseerde bronne afkomstig is, veral in die vaas van sagteware en toerusting van derdeparty-verskaffers.

    • Wat verskaffersagteware betref, moet organisasies 'n oordeel maak op grond van die inligting wat beskikbaar is of dit nodig is om outomatiese opdaterings (of dele daarvan) toe te pas op verkrygde sagteware en hardeware.

  4. Toets enige opdaterings wat nodig is voor installasie om enige onvoorsiene voorvalle in 'n bedryfsomgewing te vermy.

  5. Probeer om hoërisiko- en besigheidskritiese stelsels as 'n prioriteit aan te spreek.

  6. Maak seker dat enige regstellende aksies effektief en outentiek is.

In die geval van 'n opdatering wat nie beskikbaar is nie, of enige kwessies wat verhoed dat 'n opdatering geïnstalleer word (soos kostekwessies), moet organisasies ander maatreëls oorweeg, soos:

  1. Vra die verkoper vir raad oor 'n oplossing of "plakpleister"-oplossing terwyl herstelpogings verskerp word.

  2. Deaktiveer of stop enige netwerkdienste wat deur die kwesbaarheid geraak word.

  3. Implementering van netwerksekuriteitskontroles by kritieke poortpunte, insluitend verkeersreëls en filters.

  4. Die verhoging van die algehele vlak van monitering in ooreenstemming met die gepaardgaande risiko.

  5. Maak seker dat alle geaffekteerde partye bewus is van die kwesbaarheid, insluitend verskaffers en kliënte.

  6. Vertraag die opdatering om die gepaardgaande risiko's beter te evalueer, veral waar bedryfskoste 'n probleem kan wees.

Ondersteunende kontroles

  • 5.14
  • 5.20
  • 5.9
  • 8.20
  • 8.22
  • 8.28

Is jy gereed vir
die nuwe ISO 27002

Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo

Vertrou deur maatskappye oral
  • Eenvoudig en maklik om te gebruik
  • Ontwerp vir ISO 27001 sukses
  • Bespaar u tyd en geld
Bespreek jou demo
img

Aanvullende leiding oor beheer 8.8

  • Organisasies moet 'n ouditlogboek hou van alle relevante kwesbaarheidsbestuuraktiwiteite, ten einde regstellende pogings aan te help en prosedures te verbeter in die geval van 'n sekuriteitsvoorval.

  • Die hele kwesbaarheidsbestuursproses moet periodiek hersien en geëvalueer word, ten einde prestasie te verbeter en meer kwesbaarhede by die bron te identifiseer.

  • Indien die organisasie sagteware gebruik wat deur 'n wolkdiensverskaffer gehuisves word, moet die organisasie verseker dat die diensverskaffer se standpunt teenoor kwesbaarheidsbestuur in lyn is met sy eie, en moet 'n sleuteldeel vorm van enige bindende diensooreenkoms tussen die twee partye, insluitend enige verslagdoeningsprosedures. (sien Beheer 5.32).

Veranderinge en verskille vanaf ISO 27002:2013

ISO 27002:2022-8.8 vervang twee kontroles van ISO 27002:2013:

  • 12.6.1 – Bestuur van tegniese kwesbaarhede

  • 18.2.3 – Tegniese nakomingsoorsig

27002:2022-8.8 verteenwoordig 'n fundamenteel ander benadering tot kwesbaarheidsbestuur as wat binne 27002:2013 vervat is.

27002:2013-12.6.1 is grootliks gemoeid met die implementering van regstellende aksie sodra 'n kwesbaarheid geïdentifiseer is, terwyl 18.2.3 beperk is tot tegniese gereedskap (meestal penetrasietoetsing).

27002:2022-8.8 bevat heeltemal nuwe afdelings oor onderwerpe soos 'n organisasie se openbare aktiwiteite, hoe kwesbaarhede in die eerste plek geïdentifiseer word en die rol wat wolkverskaffers speel om te verseker dat kwesbaarhede tot 'n minimum beperk word.

Oor die algemeen plaas ISO 'n groter klem op die rol wat kwesbaarheidsbestuur in ander areas van 27002:2022 speel (veral veranderingsbestuur), en bepleit 'n holistiese benadering wat talle ander kontroles en inligtingsekuriteitsprosedures insluit.

Hoe ISMS.online help

Ons platform is intuïtief en maklik om te gebruik. Dit is nie net vir hoogs tegniese mense nie; dis vir almal in jou organisasie. Ons moedig jou aan om personeel op alle vlakke van jou besigheid te betrek by die proses om jou ISMS te bou, want dit help jou om 'n werklik volhoubare stelsel te bou.

Kontak vandag nog om bespreek 'n demo.

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Eenvoudig. Veilig. Volhoubaar.

Sien ons platform in aksie met 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.

Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind