In de jaren negentig voerden bedrijven beveiligingstests voor softwareproducten en -systemen alleen uit tijdens de testfase, in de laatste fase van de levenscyclus van softwareontwikkeling.
Als gevolg hiervan slaagden ze er vaak niet in kritieke kwetsbaarheden, bugs en gebreken te detecteren en te elimineren.
Om beveiligingskwetsbaarheden in een vroeg stadium te identificeren en aan te pakken, moeten organisaties beveiligingsoverwegingen integreren in alle fasen van de ontwikkelingslevenscyclus, van de planning tot de implementatiefase.
Controle 8.25 gaat over hoe organisaties regels kunnen opstellen en implementeren om veilige softwareproducten en -systemen te bouwen.
Control 8.25 stelt organisaties in staat informatiebeveiligingsstandaarden te ontwerpen en deze standaarden toe te passen gedurende de gehele veilige ontwikkelingslevenscyclus van softwareproducten en -systemen.
Control 8.25 is preventief van aard, omdat het van organisaties vereist dat zij proactief regels en controles ontwerpen en implementeren die de gehele ontwikkelingslevenscyclus van elk nieuw softwareproduct en -systeem bepalen.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Applicatiebeveiliging #Systeem- en netwerkbeveiliging | #Bescherming |
De Chief Information Security Officer moet verantwoordelijk zijn voor het opstellen, implementeren en onderhouden van regels en maatregelen om de veiligheid van de ontwikkelingslevenscyclus te waarborgen.
Controle 8.25 bevat 10 vereisten waaraan organisaties moeten voldoen om veilige softwareproducten, systemen en architectuur te bouwen:
Als een organisatie bepaalde ontwikkeltaken uitbesteedt aan externe partijen, moet zij er bovendien voor zorgen dat de externe partij zich houdt aan de regels en procedures van de organisatie voor het veilig ontwikkelen van software en systemen.
Control 8.25 merkt op dat softwareproducten, architecturen en systemen ook binnen applicaties, databases of browsers kunnen worden ontwikkeld.
27002:2022/8.25 replace 27002:2013/(14.2.1)
Over het geheel genomen zijn er twee belangrijke verschillen.
Hoewel de 2022-versie in grote mate vergelijkbaar is met de 2013-versie, legt Control 8.25 twee nieuwe eisen op aan organisaties:
In de versie uit 2013 werd expliciet vermeld dat de Controle 14.2.1 van toepassing is op zowel nieuwe ontwikkelingen als op hergebruik van code. Daarentegen verwees Control 8.25 niet naar scenario's voor hergebruik van code.
De implementatie van ISO 27002 is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt. Uw complete compliance-oplossing voor ISO/IEC 27002:2022.
Neem vandaag nog contact op met boek een demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |