ISO 27001:2022 Bijlage A Controle 8.29

Beveiligingstesten bij ontwikkeling en acceptatie

Boek een demo

foto,jong,collega's,crew,werkend,met,nieuw,opstarten,project,in

Cybercriminelen bedenken voortdurend nieuwe methoden en verbeteren hun tactieken om bedrijfsnetwerken te doorbreken en toegang te krijgen tot vertrouwelijke gegevens.

Cybercriminelen zouden een fout in het authenticatieproces in de broncode kunnen misbruiken om netwerken binnen te dringen. Bovendien kunnen ze eindgebruikers aan de clientzijde proberen te overtuigen om dingen te doen waarmee ze toegang kunnen krijgen tot gegevens, netwerken kunnen infiltreren of ransomware-aanvallen kunnen uitvoeren.

Als een applicatie, software of IT-systeem met kwetsbaarheden wordt ingezet, bestaat het risico dat gevoelige informatie in gevaar komt.

Organisaties moeten een passend beveiligingstestproces opzetten en uitvoeren om eventuele kwetsbaarheden in IT-systemen te identificeren en aan te pakken voordat deze in de echte wereld worden ingezet.

Doel van ISO 27001:2022 Bijlage A 8.29

ISO 27001:2022 bijlage A Met Control 8.29 kunnen organisaties ervoor zorgen dat aan alle beveiligingsvereisten wordt voldaan wanneer nieuwe applicaties, databases, software of code worden geïmplementeerd. Dit wordt gedaan door het opzetten en volgen van een grondig beveiligingstestproces.

Organisaties kunnen potentiële zwakke punten in hun code, netwerken, servers, applicaties en andere IT-systemen identificeren en verwijderen voordat ze in de echte wereld worden geïmplementeerd.

Eigendom van bijlage A 8.29

De Information Security Officer moet ervoor zorgen dat aan ISO 27001:2022 Bijlage A Controle 8.29 wordt voldaan, waarbij het opzetten, onderhouden en implementeren van een beveiligingstestprocedure vereist is die alle nieuwe informatiesystemen bestrijkt, ongeacht of deze intern of door derden zijn gecreëerd.

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.29 Naleving

Organisaties moeten beveiligingstests opnemen in het testproces voor alle systemen, waarbij wordt gegarandeerd dat alle nieuwe informatiesystemen, evenals hun nieuwe/bijgewerkte versies, voldoen aan de informatiebeveiligingseisen wanneer ze zich in de productieomgeving bevinden.

ISO 27001:2022 Annex A Control 8.29 schetst drie elementen als essentiële componenten van beveiligingstests:

  1. Garandeer de veiligheid door middel van gebruikersauthenticatie in overeenstemming met ISO 27001:2022 bijlage A 8.5, toegangsbeperking in overeenstemming met ISO 27001:2022 bijlage A 8.3, en cryptografie volgens ISO 27001:2022 bijlage A 8.24.
  2. Zorg ervoor dat de code veilig wordt geschreven in overeenstemming met ISO 27001:2022 bijlage A 8.28.
  3. Zorg ervoor dat configuraties voldoen aan de vereisten die zijn beschreven in bijlage A 8.9, 8.20 en 8.22, waarbij mogelijk firewalls en besturingssystemen betrokken zijn.

Wat moet een testplan bevatten?

Bij het ontwerpen van beveiligingstestplannen moeten organisaties rekening houden met de urgentie en het karakter van het betrokken informatiesysteem.

Dit beveiligingstestplan moet de volgende elementen bevatten:

  • Stel een integrale agenda op voor de ondernemingen en de uit te voeren tests.
  • De verwachte uitkomsten wanneer aan bepaalde voorwaarden wordt voldaan, omvatten zowel inputs als outputs.
  • Er moeten criteria worden vastgesteld voor het beoordelen van de uitkomsten.
  • Zodra de resultaten bekend zijn, kunnen besluiten worden genomen over welke actie moet worden ondernomen.

Ontwikkeling in eigen beheer

Het interne ontwikkelingsteam moet de initiële beveiligingstests uitvoeren om te garanderen dat het IT-systeem aan de beveiligingsspecificaties voldoet.

Er moet een eerste testronde worden uitgevoerd, gevolgd door onafhankelijke acceptatietests in overeenstemming met ISO 27001:2022 bijlage A 5.8.

Bij interne ontwikkeling moet met het volgende rekening worden gehouden:

  • Het uitvoeren van codebeoordelingen om beveiligingsproblemen te identificeren en aan te pakken, inclusief verwachte input en situaties.
  • Het uitvoeren van kwetsbaarheidsscans om onveilige instellingen en andere potentiële zwakke punten te identificeren.
  • Het uitvoeren van penetratietests om zwakke codering en ontwerp te identificeren.

outsourcing

Organisaties moeten zich aan strenge regels houden acquisitieprocedure wanneer zij ontwikkeling delegeren of koop IT-elementen van externe bronnen.

Organisaties moeten een contract afsluiten met hun leveranciers dat voldoet aan de informatiebeveiligingscriteria zoals uiteengezet in ISO 27001:2022 bijlage A 5.20.

Organisaties moeten garanderen dat de goederen en diensten die zij verwerven in overeenstemming zijn met de beveiligingsnormen voor informatiebeveiliging.

Aanvullend richtsnoer bij ISO 27001:2022 bijlage A 8.29

Organisaties kunnen verschillende testomgevingen genereren om een ​​reeks tests uit te voeren, waaronder functionele, niet-functionele en prestatietests. Ze kunnen virtuele testomgevingen creëren, deze configureren om IT-systemen in verschillende operationele omgevingen te testen en deze dienovereenkomstig verfijnen.

Bijlage A 8.29 benadrukt de noodzaak van effectieve beveiligingstests, waardoor organisaties de testomgevingen, tools en technologieën moeten testen en er toezicht op moeten houden.

Organisaties moeten rekening houden met het niveau van gevoeligheid en belang bij het beslissen hoeveel lagen metatesten ze moeten gebruiken.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 8.29 vervangt ISO 27001:2013 Bijlage A 14.2.8 en 14.2.9 in de nieuwste revisie.

Structurele veranderingen

ISO 27001:2022 consolideert veilig testen in één controle, in tegenstelling tot ISO 27001:2013, waarin werd verwezen naar veilig testen in twee verschillende controles; Systeembeveiligingstests (bijlage A 14.2.8) en systeemacceptatietests (bijlage A 14.2.9).

ISO 27001:2022 bijlage A 8.29 brengt uitgebreidere eisen met zich mee

In tegenstelling tot ISO 27001:2013 bevat de herziening van ISO 27001:2022 uitgebreidere eisen en advies over:

  • Een beveiligingstestplan dat een verscheidenheid aan elementen moet bevatten.
  • Criteria voor het beoordelen van de beveiliging bij het intern ontwikkelen van IT-systemen.
  • Wat moet worden opgenomen in het beveiligingstestproces.
  • Het gebruik van meerdere testomgevingen is essentieel. Het zorgt voor grondigheid en nauwkeurigheid in het proces.

ISO 27001:2013 was gedetailleerder met betrekking tot acceptatietests

In tegenstelling tot ISO 27001:2022 was ISO 27001:2013 gedetailleerder met betrekking tot systeemacceptatietesten. Het omvatte beveiligingstests voor inkomende componenten en het gebruik van geautomatiseerde tools.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2
Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1
Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2
Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3
Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3
Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2
Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3
Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6
Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3
Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5
Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3
Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3
Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6
Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
Bijlage A 11.2.5
Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8
Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3
Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3
Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2
Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2
Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3
Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9
Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6
Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4
Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.online vereenvoudigt het ISO 27001:2022-implementatieproces via een geavanceerd cloudgebaseerd raamwerk, dat documentatie levert van informatiebeveiligingsbeheersysteemprocessen en checklists om compatibiliteit met geaccepteerde standaarden te garanderen.

Neem contact met ons op een demonstratie organiseren.

Bekijk ons ​​platform
in actie

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Methode voor gegarandeerde resultaten
100% ISO 27001-succes

Uw eenvoudige, praktische, tijdbesparende route naar de eerste keer dat u voldoet aan of certificering voor ISO 27001

Boek uw demo

Verken het platform van ISMS.online met een zelfgeleide tour - Begin nu