ISO 27001:2022 Bijlage A Controle 8.26

Beveiligingsvereisten voor applicaties

Boek een demo

culturele,mix,van,jonge,mensen,werkend,in,een,bedrijf

Applicatiesoftware zoals webapps, grafische programma's, databases en betalingsverwerking zijn essentieel voor veel bedrijfsactiviteiten.

Applicaties zijn vaak kwetsbaar voor beveiligingsproblemen die kunnen leiden tot het blootleggen van vertrouwelijke gegevens.

Het Amerikaanse kredietbureau Equifax verzuimde bijvoorbeeld een beveiligingspatch toe te passen op het webapplicatieframework dat zij gebruikten om klachten van klanten te beheren. Deze verwaarlozing stelde cyberaanvallers in staat de zwakke punten in de beveiliging van de webapplicatie te misbruiken, de bedrijfsnetwerken van Equifax te infiltreren en gevoelige informatie van ongeveer 145 miljoen mensen te stelen.

ISO 27001:2022 Annex A 8.26 schetst hoe organisaties deze kunnen implementeren en implementeren informatiebeveiliging vereisten voor applicaties tijdens de ontwikkeling, het gebruik en de aanschaf ervan. Het zorgt ervoor dat beveiligingsmaatregelen worden geïntegreerd in de levenscyclus van applicaties.

Doel van ISO 27001:2022 Bijlage A 8.26

ISO 27001:2022 Bijlage A 8.26 staat organisaties toe hun data-assets die zijn opgeslagen op of verwerkt door applicaties te verdedigen door middel van de herkenning en toepassing van passende informatiebeveiligingsspecificaties.

Eigendom van bijlage A 8.26

De Chief Information Security Officer, ondersteund door informatiebeveiligingsexperts, moet de identificatie, goedkeuring en implementatie van informatie-eisen met betrekking tot de verwerving, het gebruik en de ontwikkeling van applicaties op zich nemen.

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.26 Naleving

Organisaties moeten een risicobeoordeling uitvoeren om de noodzakelijke informatiebeveiligingseisen voor een bepaalde toepassing vast te stellen.

De inhoud en typen informatiebeveiligingsvereisten kunnen verschillen afhankelijk van de toepassing, maar deze moeten betrekking hebben op:

  • Gebaseerd op ISO 27001:2022 bijlage A 5.17, 8.2 en 8.5, het niveau van vertrouwen dat wordt toegewezen aan de identiteit van een specifieke entiteit.
  • De classificatie van de informatiemiddelen die door de software moeten worden opgeslagen of verwerkt, moet worden geïdentificeerd.
  • Is het nodig om de toegang tot functies en gegevens die in de app zijn opgeslagen te scheiden?
  • Beoordeel of de applicatie robuust is tegen cyberpenetraties zoals SQL-injecties of onbedoelde onderscheppingen zoals bufferoverflow.
  • Juridisch gezien moet aan regelgevende en wettelijke vereisten en normen worden voldaan bij het omgaan met transacties die door de app worden verwerkt, gegenereerd, opgeslagen of voltooid.
  • Privacy is van het grootste belang voor alle betrokkenen.
  • Het is essentieel dat vertrouwelijke gegevens worden beschermd.
  • Het garanderen van de veiligheid van informatie wanneer deze wordt gebruikt, overgedragen of opgeslagen, is van het allergrootste belang.
  • Het is essentieel dat alle relevante partijen dit hebben gedaan veilige encryptie van hun communicatie indien nodig.
  • Het implementeren van inputcontroles, zoals het valideren van input en het uitvoeren van integriteitscontroles, garandeert nauwkeurigheid.
  • Het uitvoeren van geautomatiseerde controles.
  • Ervoor zorgen dat bij de uitvoercontrole rekening wordt gehouden met toegangsrechten en wie de uitvoer kan bekijken.
  • Het is essentieel om beperkingen op te leggen aan wat kan worden opgenomen in “vrije tekst”-velden om te waken tegen de onbedoelde verspreiding van vertrouwelijke informatie.
  • Regelgevingsvereisten, zoals die voor het vastleggen van transacties en onweerlegbaarheid.
  • Voor andere beveiligingscontroles kan het nodig zijn dat aan specifieke vereisten wordt voldaan; bijvoorbeeld detectiesystemen voor datalekken.
  • Hoe uw organisatie omgaat met foutmeldingen.

Richtlijnen voor transactionele diensten

ISO 27001:2022 Annex A 8.26 vereist dat organisaties de volgende zeven aanbevelingen in overweging nemen bij het aanbieden van transactionele diensten tussen henzelf en een partner:

  • De mate van vertrouwen die elke partij moet hebben in de identiteit van de ander is essentieel bij elke transactie.
  • De betrouwbaarheid van de verzonden of verwerkte gegevens moet worden gewaarborgd, en er moet een geschikt systeem worden geïdentificeerd om eventuele integriteitstekorten, inclusief hashing en digitale handtekeningen, te herkennen.
  • Het bedrijf moet een systeem opzetten om te bepalen wie bevoegd is om cruciale transactiedocumenten goed te keuren, te ondertekenen en af ​​te tekenen.
  • Het waarborgen van de geheimhouding en nauwkeurigheid van essentiële documenten, en het verifiëren van de verzending en ontvangst van genoemde documenten.
  • Met behoud van de vertrouwelijkheid en nauwkeurigheid van transacties, kunnen dit bestellingen en facturen zijn.
  • Vereisten over hoe transacties gedurende een bepaalde periode vertrouwelijk moeten blijven.
  • Er moet aan contractuele verplichtingen en verzekeringsvereisten worden voldaan.

Richtlijnen voor elektronische bestel- en betalingsapplicaties

Organisaties moeten rekening houden met het volgende bij het integreren van betalings- en elektronische bestelmogelijkheden in applicaties:

  • Het waarborgen van de vertrouwelijkheid en integriteit van bestelinformatie is essentieel.
  • Het vaststellen van een passend bevestigingsniveau voor het bevestigen van de door een klant verstrekte betalingsinformatie.
  • Voorkom het verkeerd plaatsen of repliceren van transactiegegevens.
  • Zorg ervoor dat informatie met betrekking tot informatie buiten een openbaar beschikbaar gebied wordt gehouden, bijvoorbeeld een opslagmedium op het intranet van de organisatie.
  • Wanneer een organisatie afhankelijk is van een externe autoriteit om digitale handtekeningen uit te geven, moet zij ervoor zorgen dat de beveiliging in het hele proces wordt geïntegreerd.

Richtlijnen voor netwerken

Wanneer applicaties via netwerken worden benaderd, kunnen ze worden blootgesteld aan contractuele meningsverschillen, frauduleus gedrag, misleiding, niet-goedgekeurde wijzigingen in de inhoud van de communicatie of kan de vertrouwelijkheid van gevoelige gegevens worden geschonden.

ISO 27001:2022 Annex A 8.26 adviseert organisaties om grondige risicobeoordelingen uit te voeren om geschikte controles, zoals cryptografie, te identificeren om de veiligheid van informatieoverdracht te beschermen.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 Bijlage A 8.26 vervangt ISO 27001:2013 bijlage A 14.1.2 en 14.1.3 in de herziene norm uit 2022.

Er zijn drie belangrijke verschillen tussen de twee versies.

Alle applicaties versus applicaties die via openbare netwerken gaan

ISO 27001:2013 schetst een lijst met informatiebeveiligingsvereisten waarmee rekening moet worden gehouden voor toepassingen die via openbare netwerken moeten worden verzonden.

ISO 27001:2022 Annex A 8.26 geeft daarentegen een lijst met informatiebeveiligingseisen die op alle toepassingen van toepassing zijn.

Verdere richtlijnen voor elektronische bestel- en betalingsapplicaties

ISO 27001:2022 bijlage A 8.26 biedt specifieke richtlijnen voor elektronische bestel- en betalingstoepassingen, iets dat in de versie van 2013 niet aan bod kwam.

Vereisten voor transactionele services

Terwijl de editie van 2022 en de editie van 2013 vrijwel hetzelfde zijn wat betreft de vereisten voor transactionele diensten, introduceert de editie van 2022 een extra eis waarmee in de editie van 2013 geen rekening is gehouden:

  • Organisaties moeten rekening houden met contractuele verplichtingen en verzekeringsbepalingen.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.online is een cloudgebaseerd systeem die organisaties helpt bij het aantonen van afstemming op ISO 27001:2022. Met dit systeem kunt u toezicht houden op de ISO 27001-eisen, zodat uw organisatie aan de norm blijft voldoen.

Ons platform is gebruiksvriendelijk en voor iedereen toegankelijk. Het vereist geen complexe technische kennis; iedereen binnen uw bedrijf kan er gebruik van maken.

Neem nu contact met ons op een demonstratie plannen.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Zeg hallo tegen het succes van ISO 27001

Krijg 81% van het werk voor u gedaan en word sneller gecertificeerd met ISMS.online

Boek uw demo
img

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu