Operationele software kan grofweg worden omschreven als elk stukje software dat het bedrijf actief gebruikt om zijn activiteiten uit te voeren, in tegenstelling tot testsoftware of ontwikkelingsprojecten.
Het is van cruciaal belang om ervoor te zorgen dat software op een bepaald netwerk wordt geïnstalleerd en beheerd in overeenstemming met een strikte reeks regels en vereisten die de risico's minimaliseren, de efficiëntie verbeteren en de veiligheid binnen interne en externe netwerken en diensten handhaven.
Controle 8.19 is een preventieve controle dat houdt het risico in stand door een reeks regels vast te stellen die de installatie van software op operationele systemen regelen.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Veilige configuratie #Applicatiebeveiliging | #Bescherming |
Controle 8.19 behandelt technische concepten met betrekking tot het onderhoud en beheer van operationele computersystemen. Als zodanig moet het eigendom berusten bij het hoofd IT, of het equivalent van de organisatie.
Om wijzigingen en installaties op hun netwerk veilig te kunnen beheren, moeten organisaties:
Als het om door de leverancier geleverde software gaat (bijvoorbeeld software die wordt gebruikt bij de bediening van machines of voor een op maat gemaakte bedrijfsfunctie), moet dergelijke software altijd in goede staat worden gehouden door de richtlijnen van de leverancier voor veilig gebruik te raadplegen.
Het is belangrijk op te merken dat zelfs als software of softwaremodules extern worden geleverd en beheerd (dat wil zeggen dat de organisatie niet verantwoordelijk is voor eventuele updates), er stappen moeten worden genomen om ervoor te zorgen dat updates van derden de integriteit van het netwerk van de organisatie niet in gevaar brengen.
Organisaties moeten het gebruik van niet-ondersteunde software van leveranciers vermijden, tenzij dit absoluut noodzakelijk is, en rekening houden met de bijbehorende beveiligingsrisico's van het gebruik van redundante applicaties in plaats van een upgrade naar nieuwere en veiligere systemen.
Als een leverancier toegang nodig heeft tot het netwerk van een organisatie om een installatie of update uit te voeren, moeten de activiteiten worden gemonitord en gevalideerd in overeenstemming met alle relevante autorisatieprocedures (zie Controle 5.22).
Software moet worden geüpgraded, geïnstalleerd en/of gepatcht in overeenstemming met de gepubliceerde change management-procedures van de organisatie, om uniformiteit met andere bedrijfsonderdelen te garanderen.
Telkens wanneer er een patch wordt geïdentificeerd die een kwetsbaarheid (of een reeks kwetsbaarheden volledig elimineert), of op welke manier dan ook helpt om de informatiebeveiligingsoperatie van de organisatie te verbeteren, moeten dergelijke wijzigingen bijna altijd worden toegepast (hoewel het nog steeds nodig is om dergelijke wijzigingen op elk moment te beoordelen). van geval tot geval).
Wanneer de noodzaak zich voordoet om open source software te gebruiken, moet dit altijd de nieuwste publiekelijk beschikbare versie zijn die actief wordt onderhouden. Dienovereenkomstig moeten organisaties rekening houden met de inherente risico's van het gebruik van niet-onderhouden software binnen alle bedrijfsfuncties.
ISO 27002:2022-8.19 vervangt ISO 27002:2003-12.5.1 (Installatie van software op besturingssystemen) en 12.6.2 (Beperkingen op software-installatie).
27002:2022-8.19 is een samensmelting van de meeste adviezen uit 27002:2003-12.5.1 en 12.6.2, waarbij een aantal kernconcepten kort wordt toegelicht en enkele nieuwe bestuursprincipes worden toegevoegd:
ISMS.Online is een complete oplossing voor ISO 27002-implementatie. Het is een webgebaseerd systeem waarmee u met behulp van doordachte processen, procedures en checklists kunt aantonen dat uw Information Security Management System (ISMS) voldoet aan de goedgekeurde normen.
Het is niet alleen een eenvoudig te gebruiken platform voor het beheren van uw ISO 27002-implementatie, maar ook een uitstekend hulpmiddel om uw personeel te trainen in best practices en processen op het gebied van informatiebeveiliging, en om al uw inspanningen te documenteren.
De voordelen van het gebruik van ISMS.Online:
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |