- Bekijk ISO 27002:2022 Controle 8.31 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 12.1.4 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 14.2.6 voor meer informatie.
ISO 27001 Bijlage A 8.31: Waarom het scheiden van ontwikkelings-, test- en productieomgevingen cruciaal is
Als de ontwikkelings-, test- en productieomgevingen niet nauwkeurig worden gescheiden, kan dit leiden tot een verlies aan beschikbaarheid, vertrouwelijkheid en integriteit van informatiemiddelen.
Uber heeft bijvoorbeeld per ongeluk een coderepository op Github geplaatst die wachtwoorden uit hun productieomgeving bevatte, waardoor de vertrouwelijkheid van gevoelige gegevens in gevaar kwam.
Organisaties moeten geschikte protocollen en voorschriften opstellen om ontwikkelings-, test- en productie-instellingen stevig van elkaar te scheiden om veiligheidsrisico's uit te bannen.
Doel van ISO 27001:2022 Bijlage A 8.31
ISO 27001:2022 Bijlage A 8.31 faciliteert organisaties bij het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige informatiemiddelen via geschikte processen, controles en regelgeving. Het doet dit door ontwikkelings-, test- en productieomgevingen te isoleren.
Eigendom van bijlage A 8.31
De Chief Information Security Officerzal, met de hulp van het ontwikkelingsteam, uiteindelijk verantwoordelijk zijn voor het naleven van ISO 27001:2022 bijlage A 8.31, die de oprichting en implementatie vereist van organisatiebrede processen en controles om verschillende softwareomgevingen te scheiden.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Algemene richtlijn voor ISO 27001:2022 bijlage A 8.31 Naleving
Organisaties moeten rekening houden met de productieproblemen die moeten worden vermeden bij het beslissen over de noodzakelijke mate van scheiding tussen de drie omgevingen.
Bijlage A 8.31 suggereert dat organisaties zeven criteria in gedachten moeten houden:
- Het wordt aanbevolen de ontwikkelings- en productiesystemen tot een bevredigend niveau te scheiden. Het gebruik van afzonderlijke virtuele en fysieke omgevingen voor productie zou bijvoorbeeld een oplossing kunnen zijn haalbare oplossing.
- Regels en autorisatieprocedures moeten worden opgesteld, gedocumenteerd en geïmplementeerd met betrekking tot het gebruik van software in de productieomgeving nadat deze de ontwikkelomgeving heeft doorlopen.
- Organisaties moeten wijzigingen aan applicaties en productiesystemen evalueren en uitproberen in een geïsoleerde testomgeving, buiten de productieomgeving, voordat ze in de productieomgeving worden geïmplementeerd.
- Er mogen geen tests in productieomgevingen plaatsvinden tenzij dit vooraf nauwkeurig is gedefinieerd en geautoriseerd.
- Ontwikkelingsmiddelen, zoals compilers en editors, mogen niet beschikbaar zijn in productieomgevingen, tenzij dit absoluut noodzakelijk is.
- Om fouten te verminderen moeten correcte milieulabels prominent aanwezig zijn in menu's.
- Er mogen geen gevoelige informatiemiddelen worden overgedragen naar ontwikkel- of testsystemen, tenzij er gelijkwaardige beveiligingsmaatregelen zijn getroffen.
Richtsnoeren voor de bescherming van ontwikkelings- en testomgevingen
Organisaties moeten ontwikkel- en testomgevingen beschermen tegen potentiële veiligheidsrisico's, waarbij ze het volgende in acht moeten nemen:
- Zorg ervoor dat alle ontwikkelings-, integratie- en testtools, zoals bouwers, integrators en bibliotheken, regelmatig worden gepatcht en up-to-date worden gehouden.
- Zorg ervoor dat alle systemen en software veilig zijn ingesteld.
- Er moeten passende controles aanwezig zijn voor de toegang tot de omgevingen.
- Veranderingen in omgevingen en hun codes moeten worden gemonitord en beoordeeld.
- Er moet veilige monitoring en evaluatie van de omgevingen plaatsvinden.
- Omgevingen moeten worden beveiligd met back-ups.
Geen enkel individu mag het voorrecht krijgen om wijzigingen aan te brengen in zowel de ontwikkelings- als de productieomgeving zonder voorafgaande goedkeuring. Om dit te voorkomen kunnen organisaties toegangsrechten scheiden of toegangscontroles instellen en uitvoeren.
Organisaties kunnen verdere technische controles overwegen, zoals het registreren van alle toegangsactiviteiten en het in realtime monitoren van de toegang tot deze omgevingen.
Aanvullend richtsnoer bij bijlage A 8.31
Als organisaties niet de noodzakelijke stappen ondernemen, kunnen hun informatiesystemen worden blootgesteld aan aanzienlijke veiligheidsrisico's.
Ontwikkelaars en testers met toegang tot de productieomgeving kunnen onbedoelde wijzigingen aanbrengen in bestanden of systeeminstellingen, ongeautoriseerde code uitvoeren of onbedoeld gevoelige gegevens vrijgeven.
Organisaties hebben een stabiele omgeving nodig om grondige tests op hun code uit te voeren, waardoor ontwikkelaars geen toegang krijgen tot productieomgevingen waarin gevoelige gegevens uit de echte wereld worden opgeslagen en verwerkt.
Organisaties moeten specifieke rollen toewijzen en scheiding van taken afdwingen.
De ontwikkelings- en testteams kunnen het risico lopen de vertrouwelijke productiegegevens in gevaar te brengen als ze dezelfde computerapparatuur gebruiken. Er kunnen onbedoelde wijzigingen in gevoelige informatie of softwareprogramma's worden aangebracht.
Organisaties worden dringend verzocht ondersteunende processen op te zetten om productiegegevens te gebruiken in test- en ontwikkelingssystemen in overeenstemming met ISO 27001:2022 bijlage A 8.33.
Organisaties moeten rekening houden met de maatregelen die in deze Bijlage A Controle worden besproken bij het uitvoeren van eindgebruikerstrainingen in trainingsomgevingen.
Ten slotte kunnen organisaties de grenzen tussen ontwikkelings-, test- en productieomgevingen vervagen. Het testen kan bijvoorbeeld worden uitgevoerd in een ontwikkelomgeving, of het personeel kan het product testen door het daadwerkelijk te gebruiken.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 bijlage A 8.31 vervangt ISO 27001:2013 Bijlage A 12.1.4 en ISO 27001:2013 Bijlage A 14.2.6. Deze herziening brengt de nodige aanpassingen met zich mee om de standaard in lijn te brengen met de meest actuele praktijken.
De twee versies hebben veel gemeen, maar twee verschillen zijn opmerkelijk.
ISO 27001:2013 bijlage A 14.2.6 Biedt meer gedetailleerde richtlijnen voor veilige ontwikkelomgevingen
ISO 27001:2013 Bijlage A 14.2.6 gaat over veilige ontwikkelomgevingen en schetst tien aanbevelingen waarmee organisaties rekening moeten houden bij het bouwen van een ontwikkelomgeving.
Ter vergelijking: ISO 27001:2022 Annex A 8.33 bevat bepaalde voorstellen niet, zoals het hebben van een back-up op een verre locatie en beperkingen op de gegevensoverdracht.
ISO 27001:2022 bijlage A 8.31 behandelt producttests en het gebruik van productiegegevens
In vergelijking met ISO 27001:2013 biedt ISO 27001:2022 bijlage A 8.31 richtlijnen voor het testen van producten en het gebruik van productiegegevens in overeenstemming met ISO 27001:2022 bijlage A 8.33.
Tabel met alle ISO 27001:2022 bijlage A-controles
In onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Hoe ISMS.online helpt
ISMS.Online biedt ondersteuning voor het geheel van ISO 27001 implementatie, van risicobeoordeling tot het opstellen van beleid, procedures en richtlijnen om aan de norm te voldoen.
ISMS.Online biedt een handige manier om ontdekkingen vast te leggen en deze online met collega's te delen. Bovendien kunt u met het programma checklists maken en opslaan voor elke ISO 27001-taak, zodat u het beveiligingsprogramma van uw organisatie moeiteloos kunt controleren.
We bieden organisaties ook een geautomatiseerde toolset die de naleving van de ISO 27001-norm vergemakkelijkt. Het gebruiksvriendelijke ontwerp maakt het eenvoudig om conformiteit te bewijzen.
Neem nu contact met ons op een demonstratie organiseren.