- Bekijk ISO 27002:2022 Controle 8.29 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 14.2.8 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 14.2.9 voor meer informatie.
Zorgen voor veilige ontwikkeling: ISO 27001 Bijlage A 8.29 Beveiligingstesten uitgelegd
Cybercriminelen bedenken voortdurend nieuwe methoden en verbeteren hun tactieken om bedrijfsnetwerken te doorbreken en toegang te krijgen tot vertrouwelijke gegevens.
Cybercriminelen zouden een fout in het authenticatieproces in de broncode kunnen misbruiken om netwerken binnen te dringen. Bovendien kunnen ze eindgebruikers aan de clientzijde proberen te overtuigen om dingen te doen waarmee ze toegang kunnen krijgen tot gegevens, netwerken kunnen infiltreren of ransomware-aanvallen kunnen uitvoeren.
Als een applicatie, software of IT-systeem met kwetsbaarheden wordt ingezet, bestaat het risico dat gevoelige informatie in gevaar komt.
Organisaties moeten een passend beveiligingstestproces opzetten en uitvoeren om eventuele kwetsbaarheden in IT-systemen te identificeren en aan te pakken voordat deze in de echte wereld worden ingezet.
Doel van ISO 27001:2022 Bijlage A 8.29
ISO 27001:2022 bijlage A Met Control 8.29 kunnen organisaties ervoor zorgen dat aan alle beveiligingsvereisten wordt voldaan wanneer nieuwe applicaties, databases, software of code worden geïmplementeerd. Dit wordt gedaan door het opzetten en volgen van een grondig beveiligingstestproces.
Organisaties kunnen potentiële zwakke punten in hun code, netwerken, servers, applicaties en andere IT-systemen identificeren en verwijderen voordat ze in de echte wereld worden geïmplementeerd.
Eigendom van bijlage A 8.29
De Information Security Officer moet ervoor zorgen dat aan ISO 27001:2022 Bijlage A Controle 8.29 wordt voldaan, waarbij het opzetten, onderhouden en implementeren van een beveiligingstestprocedure vereist is die alle nieuwe informatiesystemen bestrijkt, ongeacht of deze intern of door derden zijn gecreëerd.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Algemene richtlijn voor ISO 27001:2022 bijlage A 8.29 Naleving
Organisaties moeten beveiligingstests opnemen in het testproces voor alle systemen, waarbij wordt gegarandeerd dat alle nieuwe informatiesystemen, evenals hun nieuwe/bijgewerkte versies, voldoen aan de informatiebeveiligingseisen wanneer ze zich in de productieomgeving bevinden.
ISO 27001:2022 Annex A Control 8.29 schetst drie elementen als essentiële componenten van beveiligingstests:
- Garandeer de veiligheid door middel van gebruikersauthenticatie in overeenstemming met ISO 27001:2022 bijlage A 8.5, toegangsbeperking in overeenstemming met ISO 27001:2022 bijlage A 8.3, en cryptografie volgens ISO 27001:2022 bijlage A 8.24.
- Zorg ervoor dat de code veilig wordt geschreven in overeenstemming met ISO 27001:2022 bijlage A 8.28.
- Zorg ervoor dat configuraties voldoen aan de vereisten die zijn beschreven in bijlage A 8.9, 8.20 en 8.22, waarbij mogelijk firewalls en besturingssystemen betrokken zijn.
Wat moet een testplan bevatten?
Bij het ontwerpen van beveiligingstestplannen moeten organisaties rekening houden met de urgentie en het karakter van het betrokken informatiesysteem.
Dit beveiligingstestplan moet de volgende elementen bevatten:
- Stel een integrale agenda op voor de ondernemingen en de uit te voeren tests.
- De verwachte uitkomsten wanneer aan bepaalde voorwaarden wordt voldaan, omvatten zowel inputs als outputs.
- Er moeten criteria worden vastgesteld voor het beoordelen van de uitkomsten.
- Zodra de resultaten bekend zijn, kunnen besluiten worden genomen over welke actie moet worden ondernomen.
Ontwikkeling in eigen beheer
Het interne ontwikkelingsteam moet de initiële beveiligingstests uitvoeren om te garanderen dat het IT-systeem aan de beveiligingsspecificaties voldoet.
Er moet een eerste testronde worden uitgevoerd, gevolgd door onafhankelijke acceptatietests in overeenstemming met ISO 27001:2022 bijlage A 5.8.
Bij interne ontwikkeling moet met het volgende rekening worden gehouden:
- Het uitvoeren van codebeoordelingen om beveiligingsproblemen te identificeren en aan te pakken, inclusief verwachte input en situaties.
- Het uitvoeren van kwetsbaarheidsscans om onveilige instellingen en andere potentiële zwakke punten te identificeren.
- Het uitvoeren van penetratietests om zwakke codering en ontwerp te identificeren.
outsourcing
Organisaties moeten zich aan strenge regels houden acquisitieprocedure wanneer zij ontwikkeling delegeren of koop IT-elementen van externe bronnen.
Organisaties moeten een contract afsluiten met hun leveranciers dat voldoet aan de informatiebeveiligingscriteria zoals uiteengezet in ISO 27001:2022 bijlage A 5.20.
Organisaties moeten garanderen dat de goederen en diensten die zij verwerven in overeenstemming zijn met de beveiligingsnormen voor informatiebeveiliging.
Aanvullend richtsnoer bij ISO 27001:2022 bijlage A 8.29
Organisaties kunnen verschillende testomgevingen genereren om een reeks tests uit te voeren, waaronder functionele, niet-functionele en prestatietests. Ze kunnen virtuele testomgevingen creëren, deze configureren om IT-systemen in verschillende operationele omgevingen te testen en deze dienovereenkomstig verfijnen.
Bijlage A 8.29 benadrukt de noodzaak van effectieve beveiligingstests, waardoor organisaties de testomgevingen, tools en technologieën moeten testen en er toezicht op moeten houden.
Organisaties moeten rekening houden met het niveau van gevoeligheid en belang bij het beslissen hoeveel lagen metatesten ze moeten gebruiken.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 bijlage A 8.29 vervangt ISO 27001:2013 Bijlage A 14.2.8 en 14.2.9 in de nieuwste revisie.
Structurele veranderingen
ISO 27001:2022 consolideert veilig testen in één controle, in tegenstelling tot ISO 27001:2013, waarin werd verwezen naar veilig testen in twee verschillende controles; Systeembeveiligingstests (bijlage A 14.2.8) en systeemacceptatietests (bijlage A 14.2.9).
ISO 27001:2022 bijlage A 8.29 brengt uitgebreidere eisen met zich mee
In tegenstelling tot ISO 27001:2013 bevat de herziening van ISO 27001:2022 uitgebreidere eisen en advies over:
- Een beveiligingstestplan dat een verscheidenheid aan elementen moet bevatten.
- Criteria voor het beoordelen van de beveiliging bij het intern ontwikkelen van IT-systemen.
- Wat moet worden opgenomen in het beveiligingstestproces.
- Het gebruik van meerdere testomgevingen is essentieel. Het zorgt voor grondigheid en nauwkeurigheid in het proces.
ISO 27001:2013 was gedetailleerder met betrekking tot acceptatietests
In tegenstelling tot ISO 27001:2022 was ISO 27001:2013 gedetailleerder met betrekking tot systeemacceptatietesten. Het omvatte beveiligingstests voor inkomende componenten en het gebruik van geautomatiseerde tools.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.online helpt
ISMS.online vereenvoudigt het ISO 27001:2022-implementatieproces via een geavanceerd cloudgebaseerd raamwerk, dat documentatie levert van informatiebeveiligingsbeheersysteemprocessen en checklists om compatibiliteit met geaccepteerde standaarden te garanderen.
Neem contact met ons op een demonstratie organiseren.