ISO 27001:2022 Bijlage A Controle 8.31

Scheiding van ontwikkel-, test- en productieomgevingen

Boek een demo

team,op,werk.,groep,jonge,bedrijfsmensen,in,slim

Als de ontwikkelings-, test- en productieomgevingen niet nauwkeurig worden gescheiden, kan dit leiden tot een verlies aan beschikbaarheid, vertrouwelijkheid en integriteit van informatiemiddelen.

Uber heeft bijvoorbeeld per ongeluk een coderepository op Github geplaatst die wachtwoorden uit hun productieomgeving bevatte, waardoor de vertrouwelijkheid van gevoelige gegevens in gevaar kwam.

Organisaties moeten geschikte protocollen en voorschriften opstellen om ontwikkelings-, test- en productie-instellingen stevig van elkaar te scheiden om veiligheidsrisico's uit te bannen.

Doel van ISO 27001:2022 Bijlage A 8.31

ISO 27001:2022 Bijlage A 8.31 faciliteert organisaties bij het behouden van de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige informatiemiddelen via geschikte processen, controles en regelgeving. Het doet dit door ontwikkelings-, test- en productieomgevingen te isoleren.

Eigendom van bijlage A 8.31

De Chief Information Security Officerzal, met de hulp van het ontwikkelingsteam, uiteindelijk verantwoordelijk zijn voor het naleven van ISO 27001:2022 bijlage A 8.31, die de oprichting en implementatie vereist van organisatiebrede processen en controles om verschillende softwareomgevingen te scheiden.

Ga naar onderwerp

Algemene richtlijn voor ISO 27001:2022 bijlage A 8.31 Naleving

Organisaties moeten rekening houden met de productieproblemen die moeten worden vermeden bij het beslissen over de noodzakelijke mate van scheiding tussen de drie omgevingen.

Bijlage A 8.31 suggereert dat organisaties zeven criteria in gedachten moeten houden:

  1. Het wordt aanbevolen de ontwikkelings- en productiesystemen tot een bevredigend niveau te scheiden. Het gebruik van afzonderlijke virtuele en fysieke omgevingen voor productie zou bijvoorbeeld een oplossing kunnen zijn haalbare oplossing.

  2. Regels en autorisatieprocedures moeten worden opgesteld, gedocumenteerd en geïmplementeerd met betrekking tot het gebruik van software in de productieomgeving nadat deze de ontwikkelomgeving heeft doorlopen.

  3. Organisaties moeten wijzigingen aan applicaties en productiesystemen evalueren en uitproberen in een geïsoleerde testomgeving, buiten de productieomgeving, voordat ze in de productieomgeving worden geïmplementeerd.

  4. Er mogen geen tests in productieomgevingen plaatsvinden tenzij dit vooraf nauwkeurig is gedefinieerd en geautoriseerd.

  5. Ontwikkelingsmiddelen, zoals compilers en editors, mogen niet beschikbaar zijn in productieomgevingen, tenzij dit absoluut noodzakelijk is.

  6. Om fouten te verminderen moeten correcte milieulabels prominent aanwezig zijn in menu's.

  7. Er mogen geen gevoelige informatiemiddelen worden overgedragen naar ontwikkel- of testsystemen, tenzij er gelijkwaardige beveiligingsmaatregelen zijn getroffen.

Richtsnoeren voor de bescherming van ontwikkelings- en testomgevingen

Organisaties moeten ontwikkel- en testomgevingen beschermen tegen potentiële veiligheidsrisico's, waarbij ze het volgende in acht moeten nemen:

  • Zorg ervoor dat alle ontwikkelings-, integratie- en testtools, zoals bouwers, integrators en bibliotheken, regelmatig worden gepatcht en up-to-date worden gehouden.

  • Zorg ervoor dat alle systemen en software veilig zijn ingesteld.

  • Er moeten passende controles aanwezig zijn voor de toegang tot de omgevingen.

  • Veranderingen in omgevingen en hun codes moeten worden gemonitord en beoordeeld.

  • Er moet veilige monitoring en evaluatie van de omgevingen plaatsvinden.

  • Omgevingen moeten worden beveiligd met back-ups.

Geen enkel individu mag het voorrecht krijgen om wijzigingen aan te brengen in zowel de ontwikkelings- als de productieomgeving zonder voorafgaande goedkeuring. Om dit te voorkomen kunnen organisaties toegangsrechten scheiden of toegangscontroles instellen en uitvoeren.

Organisaties kunnen verdere technische controles overwegen, zoals het registreren van alle toegangsactiviteiten en het in realtime monitoren van de toegang tot deze omgevingen.

Aanvullend richtsnoer bij bijlage A 8.31

Als organisaties niet de noodzakelijke stappen ondernemen, kunnen hun informatiesystemen worden blootgesteld aan aanzienlijke veiligheidsrisico's.

Ontwikkelaars en testers met toegang tot de productieomgeving kunnen onbedoelde wijzigingen aanbrengen in bestanden of systeeminstellingen, ongeautoriseerde code uitvoeren of onbedoeld gevoelige gegevens vrijgeven.

Organisaties hebben een stabiele omgeving nodig om grondige tests op hun code uit te voeren, waardoor ontwikkelaars geen toegang krijgen tot productieomgevingen waarin gevoelige gegevens uit de echte wereld worden opgeslagen en verwerkt.

Organisaties moeten specifieke rollen toewijzen en scheiding van taken afdwingen.

De ontwikkelings- en testteams kunnen het risico lopen de vertrouwelijke productiegegevens in gevaar te brengen als ze dezelfde computerapparatuur gebruiken. Er kunnen onbedoelde wijzigingen in gevoelige informatie of softwareprogramma's worden aangebracht.

Organisaties worden dringend verzocht ondersteunende processen op te zetten om productiegegevens te gebruiken in test- en ontwikkelingssystemen in overeenstemming met ISO 27001:2022 bijlage A 8.33.

Organisaties moeten rekening houden met de maatregelen die in deze Bijlage A Controle worden besproken bij het uitvoeren van eindgebruikerstrainingen in trainingsomgevingen.

Ten slotte kunnen organisaties de grenzen tussen ontwikkelings-, test- en productieomgevingen vervagen. Het testen kan bijvoorbeeld worden uitgevoerd in een ontwikkelomgeving, of het personeel kan het product testen door het daadwerkelijk te gebruiken.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 8.31 vervangt ISO 27001:2013 Bijlage A 12.1.4 en ISO 27001:2013 Bijlage A 14.2.6. Deze herziening brengt de nodige aanpassingen met zich mee om de standaard in lijn te brengen met de meest actuele praktijken.

De twee versies hebben veel gemeen, maar twee verschillen zijn opmerkelijk.

ISO 27001:2013 bijlage A 14.2.6 Biedt meer gedetailleerde richtlijnen voor veilige ontwikkelomgevingen

ISO 27001:2013 Bijlage A 14.2.6 gaat over veilige ontwikkelomgevingen en schetst tien aanbevelingen waarmee organisaties rekening moeten houden bij het bouwen van een ontwikkelomgeving.

Ter vergelijking: ISO 27001:2022 Annex A 8.33 bevat bepaalde voorstellen niet, zoals het hebben van een back-up op een verre locatie en beperkingen op de gegevensoverdracht.

ISO 27001:2022 bijlage A 8.31 behandelt producttests en het gebruik van productiegegevens

In vergelijking met ISO 27001:2013 biedt ISO 27001:2022 bijlage A 8.31 richtlijnen voor het testen van producten en het gebruik van productiegegevens in overeenstemming met ISO 27001:2022 bijlage A 8.33.

Tabel met alle ISO 27001:2022 bijlage A-controles

In onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISMS.Online biedt ondersteuning voor het geheel van ISO 27001 implementatie, van risicobeoordeling tot het opstellen van beleid, procedures en richtlijnen om aan de norm te voldoen.

ISMS.Online biedt een handige manier om ontdekkingen vast te leggen en deze online met collega's te delen. Bovendien kunt u met het programma checklists maken en opslaan voor elke ISO 27001-taak, zodat u het beveiligingsprogramma van uw organisatie moeiteloos kunt controleren.

We bieden organisaties ook een geautomatiseerde toolset die de naleving van de ISO 27001-norm vergemakkelijkt. Het gebruiksvriendelijke ontwerp maakt het eenvoudig om conformiteit te bewijzen.

Neem nu contact met ons op een demonstratie organiseren.

We hadden het gevoel dat we dat hadden gedaan
het beste van beide werelden. We waren
onze kunnen gebruiken
bestaande processen,
& de Adopteer, pas aan
inhoud gaf ons nieuw
diepgang van ons ISMS.

Andreas Bud
Oprichter, iproov

Boek uw demo

Zeg hallo tegen het succes van ISO 27001

Krijg 81% van het werk voor u gedaan en word sneller gecertificeerd met ISMS.online

Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie