Applicatiesoftwareprogramma's zoals webapplicatiesGrafische software, databasesoftware en software voor betalingsverwerking zijn van cruciaal belang voor veel kritische bedrijfsactiviteiten.
Deze toepassingen worden echter vaak blootgesteld aan beveiligingskwetsbaarheden die kunnen resulteren in het compromitteren van gevoelige informatie.
Equifax, een in de VS gevestigd kredietbureau, slaagde er bijvoorbeeld niet in een beveiligingspatch toe te passen op een websiteapplicatieframework dat wordt gebruikt om klachten van klanten te behandelen. De cyberaanvallers gebruikten beveiligingskwetsbaarheden in de webapplicatie om de bedrijfsnetwerken van Equifax te infiltreren en gevoelige gegevens van ongeveer 145 miljoen mensen te stelen.
Controle 8.26 behandelt hoe organisaties kunnen informatiebeveiligingseisen vaststellen en toepassen voor de ontwikkeling, het gebruik en de aanschaf van applicaties.
Met Control 8.26 kunnen organisaties informatiemiddelen beschermen die zijn opgeslagen op of verwerkt via applicaties door passende informatiebeveiligingsvereisten te identificeren en toe te passen.
Controle 8.26 is een preventief type controle dat risico's voor de integriteit, beschikbaarheid en vertrouwelijkheid van informatiemiddelen die op applicaties zijn opgeslagen, voorkomt door het gebruik van geschikte informatiebeveiligingsmaatregelen.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Applicatiebeveiliging #Systeem- en netwerkbeveiliging | #Bescherming #Verdediging |
De Chief Information Security Officer zou, met steun van informatiebeveiligingsspecialisten, verantwoordelijk moeten zijn voor de identificatie, goedkeuring en implementatie van informatievereisten voor de aanschaf, het gebruik en de ontwikkeling van applicaties.
In de Algemene Richtlijnen wordt opgemerkt dat organisaties a risicobeoordeling om het type informatiebeveiligingsvereisten te bepalen geschikt voor een bepaalde toepassing.
Terwijl de inhoud en soorten eisen op het gebied van informatiebeveiliging kan variëren afhankelijk van de aard van de toepassing, de vereisten moeten betrekking hebben op het volgende:
Controle 8.26 vereist dat organisaties rekening houden met de volgende zeven aanbevelingen wanneer een applicatie transactionele diensten aanbiedt tussen de organisatie en een partner:
Wanneer toepassingen betalings- en elektronische bestelfunctionaliteit omvatten, moeten organisaties rekening houden met het volgende:
Wanneer applicaties via netwerken worden benaderd, zijn ze kwetsbaar voor bedreigingen zoals contractgeschillen, frauduleuze activiteiten, verkeerde routering, ongeoorloofde wijzigingen in de inhoud van communicatie of verlies van vertrouwelijkheid van gevoelige informatie.
Controle 8.26 beveelt organisaties aan om alomvattend te presteren risicobeoordelingen om passende controles te identificeren zoals het gebruik van cryptografie om de veiligheid van informatieoverdracht te garanderen.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
27002:2022/8.26 vervangt 27002:2013/(14.1.2 en 14.1.3)
Er zijn drie grote verschillen tussen de twee versies.
De ISO 27002:2013-versie vermeldde geen vereisten die van toepassing zijn op alle toepassingen: het bevatte een lijst met informatiebeveiligingsvereisten waarmee rekening moest worden gehouden voor toepassingen die via openbare netwerken gingen.
Controle 8.26 in de 2022-versie, integendeel, heeft een lijst met informatiebeveiligingsvereisten verstrekt die op alle toepassingen van toepassing zijn.
Controle 8.26 in de 2022-versie bevat specifieke richtlijnen hierover Elektronische bestel- en betalingsapplicaties. In de versie van 2013 werd dit daarentegen niet behandeld.
Terwijl de 2022-versie en de 2013-versie vrijwel identiek zijn wat betreft de vereisten voor transactionele diensten, introduceert de 2022-versie een aanvullende vereiste die niet aan bod komt in de 2013-versie:
ISMS.online is een cloudgebaseerde oplossing die bedrijven helpt bij het aantonen van naleving van ISO 27002. De ISMS.online-oplossing kan worden gebruikt om de vereisten van ISO 27002 en zorg ervoor dat uw organisatie compliant blijft aan de nieuwe standaard.
Ons platform is gebruiksvriendelijk en duidelijk. Het is niet alleen voor zeer technische individuen; het is voor iedereen in uw bedrijf.
Neem vandaag nog contact op met boek een demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |