ISO 27001:2022 Bijlage A Controle 8.19

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.19 Naleving

Om de veiligheid van wijzigingen en installaties op hun netwerk te garanderen, moeten organisaties:

• Zorg ervoor dat alleen personeel met de vereiste training en competentie software-updates uitvoert (volgens ISO 27001:2022 bijlage A 8.5).
• Zorg ervoor dat alleen uitvoerbare code van hoge kwaliteit wordt geïnstalleerd; deze code moet foutloos zijn en het ontwikkelingsproces met succes hebben doorlopen.
• Installeer en update software pas nadat de patch of update succesvol is getest en de organisatie er zeker van is dat er geen conflicten of problemen zullen optreden.
• Houd het bibliotheeksysteem up-to-date.
• Maak gebruik van een 'configuratie besturingssysteem' om toezicht te houden op alle operationele software inclusief programmadocumentatie.
• Spreek vóór eventuele updates of installaties een 'rollback-strategie' af om te garanderen bedrijfscontinuïteit in geval van een onverwachte fout of conflict.
• Houd een register bij van eventuele wijzigingen in de operationele software, met een kort overzicht van de update, de betrokken personen en een tijdstempel.
• Zorg ervoor dat alle ongebruikte software veilig wordt opgeslagen en bewaard met alle benodigde documentatie, configuratiebestanden, systeemlogboeken en ondersteunende procedures, voor het geval dit in de toekomst nodig is.
• Handhaaf strenge regels voor de softwarepakketten die gebruikers kunnen installeren, gebaseerd op de principes van 'least privilege' en in lijn met toepasselijke rollen en verantwoordelijkheden.

Richtlijnen voor software van leveranciers

Als het gaat om door de leverancier geleverde software (bijvoorbeeld software die wordt gebruikt om machines aan te sturen of voor een uniek zakelijk doel), is het essentieel om de richtlijnen van de leverancier te volgen om ervoor te zorgen dat deze goed blijft werken.

Het is essentieel om zich ervan bewust te zijn dat, zelfs in het geval van extern aangeleverde en beheerde software of softwaremodules (dat wil zeggen dat de organisatie niet verantwoordelijk is voor eventuele updates), maatregelen moeten worden genomen om te garanderen dat updates van derden de netwerkintegriteit van de organisatie niet ondermijnen.

Organisaties moeten zich onthouden van het gebruik van niet-geverifieerde software van leveranciers, tenzij dit absoluut noodzakelijk is, en rekening houden met de gevolgen voor de veiligheid van het gebruik van verouderde programma's, in plaats van te upgraden naar nieuwere, veiligere systemen.

Als een leverancier toegang nodig heeft tot het netwerk van een organisatie om iets te installeren of bij te werken, moeten de activiteiten worden gemonitord en geautoriseerd volgens ISO 27001:2022 bijlage A 5.22.

Aanvullend richtsnoer bij bijlage A 8.19

Software moet worden geüpgraded, geïnstalleerd en gepatcht in overeenstemming met de verandermanagementprocedures van de organisatie, om consistentie met de rest van het bedrijf te garanderen.

Telkens wanneer er een patch wordt geïdentificeerd die een kwetsbaarheid (of een groep kwetsbaarheden) volledig uitroeit of op welke manier dan ook bijdraagt ​​aan het verbeteren van de bedrijfszekerheid van de organisatie informatiebeveiliging processen moeten dergelijke wijzigingen doorgaans worden toegepast (hoewel het nog steeds noodzakelijk is om dergelijke wijzigingen op individuele basis te onderzoeken).

Organisaties moeten waar nodig de nieuwste, actief onderhouden versie van open source software gebruiken. Ze moeten ook rekening houden met eventuele risico's die gepaard gaan met het gebruik van niet-onderhouden software in hun activiteiten.

Bijbehorende bijlage A-controles

• ISO 27001:2022 Bijlage A 5.22
• ISO 27001:2022 Bijlage A 8.5

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 8.19 vervangt ISO 27001:2013 bijlage A 12.5.1 (Software-installatie op operationele systemen) en 12.6.2 (Beperkingen op software-installatie) in de herziene norm uit 2022.

ISO 27001:2022 bijlage A 8.19 combineert de meeste richtlijnen uit ISO 27001:2013 bijlage A 12.5.1 en 12.6.2, waarbij enkele sleutelconcepten zijn uitgewerkt en nieuwe bestuursprincipes zijn toegevoegd:

• Onderhouden en beheren van een bibliotheeksysteem.
• Regels die het gebruik van open source software regelen.
• Zorg voor een strikte logische monitoring van de installatie en het onderhoud van software van leveranciers.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

Hoe ISMS.online helpt

ISMS.online biedt een alomvattende oplossing voor de implementatie van ISO 27001:2022. Dit webgebaseerde systeem maakt het mogelijk om aan te tonen dat uw managementsysteem voor informatiebeveiliging voldoet aan de goedgekeurde normen, door het gebruik van gestroomlijnde processen, procedures en checklists.

Deze platform maakt de implementatie van ISO 27001 niet alleen eenvoudig maar het dient ook als een uitstekend hulpmiddel voor het opleiden van personeel over beste praktijken en processen met betrekking tot informatiebeveiliging, en voor het vastleggen van alle inspanningen.

De voordelen van het gebruik van ISMS.online zijn talrijk:

• Dit platform is gebruiksvriendelijk en toegankelijk vanaf elk apparaat.
• Het is eenvoudig aan te passen aan uw wensen.
• Pas workflows en processen aan uw zakelijke vereisten aan.
• Tools waarmee nieuwe medewerkers zich sneller kunnen bekwamen.
• Er is een bibliotheek met sjabloondocumenten beschikbaar, inclusief beleid, procedures, plannen en checklists.

Neem nu contact met ons op een demonstratie organiseren.