- Bekijk ISO 27002:2022 Controle 8.26 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 14.1.2 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 14.1.3 voor meer informatie.
Begrijpen van ISO 27001:2022 Bijlage A 8.26 – Essentiële aspecten van applicatiebeveiliging
Applicatiesoftware zoals webapps, grafische programma's, databases en betalingsverwerking zijn essentieel voor veel bedrijfsactiviteiten.
Applicaties zijn vaak kwetsbaar voor beveiligingsproblemen die kunnen leiden tot het blootleggen van vertrouwelijke gegevens.
Het Amerikaanse kredietbureau Equifax verzuimde bijvoorbeeld een beveiligingspatch toe te passen op het webapplicatieframework dat zij gebruikten om klachten van klanten te beheren. Deze verwaarlozing stelde cyberaanvallers in staat de zwakke punten in de beveiliging van de webapplicatie te misbruiken, de bedrijfsnetwerken van Equifax te infiltreren en gevoelige informatie van ongeveer 145 miljoen mensen te stelen.
ISO 27001:2022 Annex A 8.26 schetst hoe organisaties deze kunnen implementeren en implementeren informatiebeveiliging vereisten voor applicaties tijdens de ontwikkeling, het gebruik en de aanschaf ervan. Het zorgt ervoor dat beveiligingsmaatregelen worden geïntegreerd in de levenscyclus van applicaties.
Doel van ISO 27001:2022 Bijlage A 8.26
ISO 27001:2022 Bijlage A 8.26 staat organisaties toe hun data-assets die zijn opgeslagen op of verwerkt door applicaties te verdedigen door middel van de herkenning en toepassing van passende informatiebeveiligingsspecificaties.
Eigendom van bijlage A 8.26
De Chief Information Security Officer, ondersteund door informatiebeveiligingsexperts, moet de identificatie, goedkeuring en implementatie van informatie-eisen met betrekking tot de verwerving, het gebruik en de ontwikkeling van applicaties op zich nemen.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Algemene richtlijn voor ISO 27001:2022 bijlage A 8.26 Naleving
Organisaties moeten een risicobeoordeling uitvoeren om de noodzakelijke informatiebeveiligingseisen voor een bepaalde toepassing vast te stellen.
De inhoud en typen informatiebeveiligingsvereisten kunnen verschillen afhankelijk van de toepassing, maar deze moeten betrekking hebben op:
- Gebaseerd op ISO 27001:2022 bijlage A 5.17, 8.2 en 8.5, het niveau van vertrouwen dat wordt toegewezen aan de identiteit van een specifieke entiteit.
- De classificatie van de informatiemiddelen die door de software moeten worden opgeslagen of verwerkt, moet worden geïdentificeerd.
- Is het nodig om de toegang tot functies en gegevens die in de app zijn opgeslagen te scheiden?
- Beoordeel of de applicatie robuust is tegen cyberpenetraties zoals SQL-injecties of onbedoelde onderscheppingen zoals bufferoverflow.
- Juridisch gezien moet aan regelgevende en wettelijke vereisten en normen worden voldaan bij het omgaan met transacties die door de app worden verwerkt, gegenereerd, opgeslagen of voltooid.
- Privacy is van het grootste belang voor alle betrokkenen.
- Het is essentieel dat vertrouwelijke gegevens worden beschermd.
- Het garanderen van de veiligheid van informatie wanneer deze wordt gebruikt, overgedragen of opgeslagen, is van het allergrootste belang.
- Het is essentieel dat alle relevante partijen dit hebben gedaan veilige encryptie van hun communicatie indien nodig.
- Het implementeren van inputcontroles, zoals het valideren van input en het uitvoeren van integriteitscontroles, garandeert nauwkeurigheid.
- Het uitvoeren van geautomatiseerde controles.
- Ervoor zorgen dat bij de uitvoercontrole rekening wordt gehouden met toegangsrechten en wie de uitvoer kan bekijken.
- Het is essentieel om beperkingen op te leggen aan wat kan worden opgenomen in “vrije tekst”-velden om te waken tegen de onbedoelde verspreiding van vertrouwelijke informatie.
- Regelgevingsvereisten, zoals die voor het vastleggen van transacties en onweerlegbaarheid.
- Voor andere beveiligingscontroles kan het nodig zijn dat aan specifieke vereisten wordt voldaan; bijvoorbeeld detectiesystemen voor datalekken.
- Hoe uw organisatie omgaat met foutmeldingen.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Richtlijnen voor transactionele diensten
ISO 27001:2022 Annex A 8.26 vereist dat organisaties de volgende zeven aanbevelingen in overweging nemen bij het aanbieden van transactionele diensten tussen henzelf en een partner:
- De mate van vertrouwen die elke partij moet hebben in de identiteit van de ander is essentieel bij elke transactie.
- De betrouwbaarheid van de verzonden of verwerkte gegevens moet worden gewaarborgd, en er moet een geschikt systeem worden geïdentificeerd om eventuele integriteitstekorten, inclusief hashing en digitale handtekeningen, te herkennen.
- Het bedrijf moet een systeem opzetten om te bepalen wie bevoegd is om cruciale transactiedocumenten goed te keuren, te ondertekenen en af te tekenen.
- Het waarborgen van de geheimhouding en nauwkeurigheid van essentiële documenten, en het verifiëren van de verzending en ontvangst van genoemde documenten.
- Met behoud van de vertrouwelijkheid en nauwkeurigheid van transacties, kunnen dit bestellingen en facturen zijn.
- Vereisten over hoe transacties gedurende een bepaalde periode vertrouwelijk moeten blijven.
- Er moet aan contractuele verplichtingen en verzekeringsvereisten worden voldaan.
Richtlijnen voor elektronische bestel- en betalingsapplicaties
Organisaties moeten rekening houden met het volgende bij het integreren van betalings- en elektronische bestelmogelijkheden in applicaties:
- Het waarborgen van de vertrouwelijkheid en integriteit van bestelinformatie is essentieel.
- Het vaststellen van een passend bevestigingsniveau voor het bevestigen van de door een klant verstrekte betalingsinformatie.
- Voorkom het verkeerd plaatsen of repliceren van transactiegegevens.
- Zorg ervoor dat informatie met betrekking tot informatie buiten een openbaar beschikbaar gebied wordt gehouden, bijvoorbeeld een opslagmedium op het intranet van de organisatie.
- Wanneer een organisatie afhankelijk is van een externe autoriteit om digitale handtekeningen uit te geven, moet zij ervoor zorgen dat de beveiliging in het hele proces wordt geïntegreerd.
Richtlijnen voor netwerken
Wanneer applicaties via netwerken worden benaderd, kunnen ze worden blootgesteld aan contractuele meningsverschillen, frauduleus gedrag, misleiding, niet-goedgekeurde wijzigingen in de inhoud van de communicatie of kan de vertrouwelijkheid van gevoelige gegevens worden geschonden.
ISO 27001:2022 Annex A 8.26 adviseert organisaties om grondige risicobeoordelingen uit te voeren om geschikte controles, zoals cryptografie, te identificeren om de veiligheid van informatieoverdracht te beschermen.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 Bijlage A 8.26 vervangt ISO 27001:2013 bijlage A 14.1.2 en 14.1.3 in de herziene norm uit 2022.
Er zijn drie belangrijke verschillen tussen de twee versies.
Alle applicaties versus applicaties die via openbare netwerken gaan
ISO 27001:2013 schetst een lijst met informatiebeveiligingsvereisten waarmee rekening moet worden gehouden voor toepassingen die via openbare netwerken moeten worden verzonden.
ISO 27001:2022 Annex A 8.26 geeft daarentegen een lijst met informatiebeveiligingseisen die op alle toepassingen van toepassing zijn.
Verdere richtlijnen voor elektronische bestel- en betalingsapplicaties
ISO 27001:2022 bijlage A 8.26 biedt specifieke richtlijnen voor elektronische bestel- en betalingstoepassingen, iets dat in de versie van 2013 niet aan bod kwam.
Vereisten voor transactionele services
Terwijl de editie van 2022 en de editie van 2013 vrijwel hetzelfde zijn wat betreft de vereisten voor transactionele diensten, introduceert de editie van 2022 een extra eis waarmee in de editie van 2013 geen rekening is gehouden:
- Organisaties moeten rekening houden met contractuele verplichtingen en verzekeringsbepalingen.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.online helpt
ISMS.online is een cloudgebaseerd systeem die organisaties helpt bij het aantonen van afstemming op ISO 27001:2022. Met dit systeem kunt u toezicht houden op de ISO 27001-eisen, zodat uw organisatie aan de norm blijft voldoen.
Onze platform is gebruiksvriendelijk en voor iedereen toegankelijk. Het vereist geen complexe technische kennis; iedereen binnen uw bedrijf kan er gebruik van maken.
Neem nu contact met ons op een demonstratie plannen.