Meteen naar de inhoud
ISMS.online

ISO 27002:2022 – Controle 8.28 – Veilige codering

Op de pagina ISO 27002:2022 Control 8.28 – Veilige codering wordt het belang benadrukt van het implementeren van veilige softwarecoderingsprincipes om beveiligingskwetsbaarheden te voorkomen en vertrouwelijkheid, integriteit en systeembeveiliging te waarborgen door middel van best practices en nalevingsmaatregelen.

Auteur
Sam Peters
Bijgewerkt juli 25, 2025
4 / 5 sterren

Wat is ISO 27002:2022 Control 8.28 voor veilig coderen?

Slechte coderingspraktijken, zoals onjuiste invoervalidatie en het genereren van zwakke sleutels, kunnen informatiesystemen blootstellen aan beveiligingsproblemen en resulteren in cyberaanvallen en het compromitteren van gevoelige informatie.

Bijvoorbeeld in de beruchte Heartbleed-bugincident, misbruikten hackers onjuiste invoervalidatie in de code om toegang te krijgen tot meer dan 4 miljoen patiëntengegevens.

Daarom moeten organisaties ervoor zorgen dat veilige codeerprincipes worden gevolgd, zodat slechte codeerpraktijken niet leiden tot beveiligingsproblemen.

Doel van de controle 8.28

Controle 8.28 stelt organisaties in staat beveiligingsrisico's en kwetsbaarheden te voorkomen die kunnen ontstaan ​​als gevolg van slechte softwarecoderingspraktijken, door passende veilige softwarecoderingsprincipes te ontwerpen, implementeren en beoordelen.

Attributen Controletabel 8.28

Controle 8.28 is een preventieve vorm van controle die organisaties helpt de veiligheid van netwerken, systemen en applicaties te handhaven door risico's te elimineren die kunnen voortkomen uit slecht ontworpen softwarecode.

controle Type Eigenschappen voor informatiebeveiliging Cyberbeveiligingsconcepten Operationele mogelijkheden Beveiligingsdomeinen
#Preventief #Vertrouwelijkheid #Beschermen #Applicatiebeveiliging #Bescherming
#Integriteit #Systeem- en netwerkbeveiliging
#Beschikbaarheid


ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Eigendom van zeggenschap 8.28

Gezien het feit dat 8.28 het ontwerp en de implementatie van veilige coderingsprincipes en -procedures voor de hele organisatie vereist, moet de Chief Information Security Officer verantwoordelijk zijn voor het nemen van passende stappen voor naleving.

Algemene richtlijnen voor naleving

Controle 8.28 vereist dat organisaties organisatiebrede processen voor veilige codering opzetten en implementeren die van toepassing zijn op zowel softwareproducten verkregen van externe partijen als op open source softwarecomponenten.

Bovendien moeten organisaties op de hoogte blijven van zich ontwikkelende beveiligingsbedreigingen in de echte wereld en van de meest recente informatie over bekende of potentiële kwetsbaarheden in de softwarebeveiliging. Dit zal organisaties in staat stellen robuuste, veilige softwarecoderingsprincipes te verbeteren en te implementeren die effectief zijn tegen zich ontwikkelende cyberdreigingen.

Aanvullend richtsnoer voor planning

De principes voor veilige softwarecodering moeten worden gevolgd, zowel voor nieuwe codeerprojecten als voor hergebruik van software.

Deze principes moeten worden nageleefd, zowel voor interne softwareontwikkelingsactiviteiten als voor de overdracht van de softwareproducten of -diensten van de organisatie aan derden.

Bij het opstellen van een plan voor veilige coderingsprincipes en het bepalen van de voorwaarden voor veilige codering moeten organisaties aan het volgende voldoen:

  • Organisaties moeten beveiligingsverwachtingen bepalen die zijn afgestemd op hun behoeften en goedgekeurde principes vaststellen voor veilige softwarecodering die van toepassing zijn op zowel interne softwareontwikkeling als uitbestede softwarecomponenten.
  • Organisaties moeten de meest voorkomende en historische slechte codeerontwerppraktijken en fouten die resulteren in een compromittering van de informatiebeveiliging, opsporen en documenteren.
  • Organisaties moeten softwareontwikkelingstools opzetten en configureren om de veiligheid van alle gecreëerde code te garanderen. Een voorbeeld van dergelijke tools zijn geïntegreerde ontwikkelomgevingen (IDE).
  • Organisaties moeten ervoor zorgen dat de richtlijnen en instructies van softwareontwikkeltools worden nageleefd.
  • Organisaties moeten ontwikkelingstools zoals compilers beoordelen, onderhouden en veilig gebruiken.

Aanvullende richtlijnen voor beveiliging tijdens het coderen

Bij veilige codeerpraktijken en -procedures moet bij het codeerproces rekening worden gehouden met het volgende:

  • De principes van veilige softwarecodering moeten worden afgestemd op elke gebruikte programmeertaal en -techniek.
  • Inzet van veilige programmeertechnieken en -methoden, zoals testgestuurde ontwikkeling en pair programming.
  • Gebruik van gestructureerde programmeermethoden.
  • Goede codedocumentatie en verwijdering van codedefecten.
  • Verbod op het gebruik van onveilige softwarecoderingsmethoden, zoals niet-goedgekeurde codevoorbeelden of hardgecodeerde wachtwoorden.

In de aanvullende richtlijnen wordt ook opgemerkt dat beveiligingstests zowel tijdens als na de ontwikkeling moeten worden uitgevoerd in overeenstemming met Controle 8.29.

Voordat organisaties de software daadwerkelijk gaan gebruiken in de live applicatieomgeving, moeten ze het volgende overwegen:

  • Wat is het aanvalsoppervlak?
  • Wordt het beginsel van de minste privileges gevolgd?
  • Het uitvoeren van een analyse van de meest voorkomende programmeerfouten en het documenteren dat deze risico's zijn geëlimineerd.


beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


Aanvullend richtsnoer voor het beoordelingsproces

Nadat de code in gebruik is genomen in de productieomgeving

  • Updates moeten op een veilige manier worden toegepast.
  • Kwetsbaarheden in de beveiliging die worden gemeld in overeenstemming met Controle 8.8 moeten worden aangepakt.
  • Vermoedelijke aanvallen op informatiesystemen en fouten moeten worden vastgelegd en deze gegevens moeten met regelmatige tussenpozen worden beoordeeld, zodat passende wijzigingen in de code kunnen worden aangebracht.
  • Ongeautoriseerde toegang tot, gebruik van of wijzigingen in de broncode moeten worden voorkomen via mechanismen zoals beheertools.

Wanneer organisaties externe tools gebruiken, moeten ze rekening houden met het volgende

  • Externe bibliotheken moeten regelmatig worden gecontroleerd en bijgewerkt op basis van hun releasecycli.
  • Softwarecomponenten moeten zorgvuldig worden doorgelicht, geselecteerd en geautoriseerd, met name cryptografie- en authenticatiecomponenten.
  • Licentieverlening voor externe componenten en waarborgen van de veiligheid ervan.
  • Software moet worden gevolgd en onderhouden. Bovendien moet ervoor worden gezorgd dat de gegevens afkomstig zijn van een betrouwbare bron.
  • Ontwikkelingsmiddelen moeten voor de lange termijn beschikbaar zijn.

Wanneer u wijzigingen aanbrengt in een softwarepakket, moet u rekening houden met het volgende

  • Risico's die kunnen voortvloeien uit ingebouwde controles of het in gevaar brengen van integriteitsprocessen.
  • Of de leverancier toestemming geeft voor wijzigingen.
  • Of het mogelijk is om toestemming te krijgen van de softwareleverancier voor regelmatige updates.
  • De waarschijnlijke impact van het voortzetten van het onderhoud van de software die voortvloeit uit veranderingen.
  • Of de wijzigingen compatibel zouden zijn met andere softwarecomponenten die door de organisatie worden gebruikt.

Aanvullend richtsnoer voor controle 8.28

Organisaties moeten ervoor zorgen dat veiligheidsrelevante code wordt gebruikt wanneer dit nodig is en bestand is tegen manipulatie.

Control 8.28 vermeldt ook de volgende aanbevelingen voor beveiligingsrelevante code:

  • Hoewel programma's die via binaire code zijn geïnstalleerd, beveiligingsrelevante code bevatten, is dit beperkt tot de gegevens die in de applicatie zelf zijn opgeslagen.
  • Het concept van beveiligingsrelevante code is alleen nuttig wanneer de code wordt uitgevoerd op een server die niet toegankelijk is voor de gebruiker, gescheiden is van de processen die er gebruik van maken en de gegevens ervan veilig in een andere database worden bewaard. U kunt bijvoorbeeld een geïnterpreteerde code uitvoeren op een cloudservice en de toegang tot code kan worden beperkt tot bevoorrechte beheerders. Het wordt aanbevolen dat u deze toegangsrechten beschermt via methoden zoals just-in-time beheerdersrechten en robuuste authenticatiemechanismen.
  • Er moeten geschikte configuraties op webservers worden geïmplementeerd om ongeoorloofde toegang tot en bladeren door de directory te voorkomen.
  • Bij het ontwerpen van applicatiecode moet u ervan uitgaan dat de code kwetsbaar is voor aanvallen als gevolg van codeerfouten en acties van kwaadwillende actoren. U moet kritische applicaties zo ontwerpen dat ze niet kwetsbaar zijn voor interne fouten. De output die door een algoritme wordt geproduceerd, kan bijvoorbeeld worden beoordeeld om er zeker van te zijn dat het voldoet aan de beveiligingsvereisten voordat het kan worden gebruikt in kritische toepassingen zoals financiële toepassingen.
  • Bepaalde webapplicaties zijn zeer kwetsbaar voor veiligheidsrisico's als gevolg van slechte codeerpraktijken zoals database-injectie en cross-site scripting-aanvallen.
  • Organisaties moeten de ISO/IEC 15408-serie raadplegen voor meer informatie over IT-beveiligingsevaluatie.


ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/8.28 is een nieuw type besturing.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.7 NIEUW Bedreigingsintelligentie
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.30 NIEUW ICT gereed voor bedrijfscontinuïteit
7.4 NIEUW Fysieke beveiligingsmonitoring
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.16 NIEUW Monitoring activiteiten
8.23 NIEUW Web filtering
8.28 NIEUW Veilige codering
Organisatorische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.1 05.1.1, 05.1.2 Beleid voor informatiebeveiliging
5.2 06.1.1 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3 06.1.2 Scheiding van taken
5.4 07.2.1 Directie verantwoordelijkheden
5.5 06.1.3 Contact met autoriteiten
5.6 06.1.4 Contact met speciale belangengroepen
5.7 NIEUW Bedreigingsintelligentie
5.8 06.1.5, 14.1.1 Informatiebeveiliging in projectmanagement
5.9 08.1.1, 08.1.2 Inventarisatie van informatie en andere bijbehorende activa
5.10 08.1.3, 08.2.3 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11 08.1.4 Teruggave van activa
5.12 08.2.1 Classificatie van informatie
5.13 08.2.2 Etikettering van informatie
5.14 13.2.1, 13.2.2, 13.2.3 Informatieoverdracht
5.15 09.1.1, 09.1.2 Toegangscontrole
5.16 09.2.1 Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3 Authenticatie-informatie
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsrechten
5.19 15.1.1 Informatiebeveiliging in leveranciersrelaties
5.20 15.1.2 Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21 15.1.3 Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22 15.2.1, 15.2.2 Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.24 16.1.1 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25 16.1.4 Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26 16.1.5 Reactie op informatiebeveiligingsincidenten
5.27 16.1.6 Leren van informatiebeveiligingsincidenten
5.28 16.1.7 Verzameling van bewijs
5.29 17.1.1, 17.1.2, 17.1.3 Informatiebeveiliging tijdens verstoring
5.30 5.30 ICT gereed voor bedrijfscontinuïteit
5.31 18.1.1, 18.1.5 Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32 18.1.2 Intellectuele eigendomsrechten
5.33 18.1.3 Bescherming van documenten
5.34 18.1.4 Privacy en bescherming van PII
5.35 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
5.36 18.2.2, 18.2.3 Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37 12.1.1 Gedocumenteerde operationele procedures
Mensencontroles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
6.1 07.1.1 Doorlichting
6.2 07.1.2 Arbeidsvoorwaarden
6.3 07.2.2 Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4 07.2.3 Disciplinair proces
6.5 07.3.1 Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7 06.2.2 Werken op afstand
6.8 16.1.2, 16.1.3 Rapportage van informatiebeveiligingsgebeurtenissen
Fysieke controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
7.1 11.1.1 Fysieke veiligheidsperimeters
7.2 11.1.2, 11.1.6 Fysieke toegang
7.3 11.1.3 Beveiligen van kantoren, kamers en faciliteiten
7.4 NIEUW Fysieke beveiligingsmonitoring
7.5 11.1.4 Bescherming tegen fysieke en ecologische bedreigingen
7.6 11.1.5 Werken in beveiligde ruimtes
7.7 11.2.9 Overzichtelijk bureau en helder scherm
7.8 11.2.1 Locatie en bescherming van apparatuur
7.9 11.2.6 Beveiliging van activa buiten het terrein
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Opslag media
7.11 11.2.2 Ondersteunende nutsvoorzieningen
7.12 11.2.3 Beveiliging van de bekabeling
7.13 11.2.4 Apparatuuronderhoud
7.14 11.2.7 Veilige verwijdering of hergebruik van apparatuur
Technologische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
8.1 06.2.1, 11.2.8 Eindpuntapparaten van gebruikers
8.2 09.2.3 Bevoorrechte toegangsrechten
8.3 09.4.1 Beperking van toegang tot informatie
8.4 09.4.5 Toegang tot broncode
8.5 09.4.2 Veilige authenticatie
8.6 12.1.3 Capaciteitsmanagement
8.7 12.2.1 Bescherming tegen malware
8.8 12.6.1, 18.2.3 Beheer van technische kwetsbaarheden
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.13 12.3.1 Informatie back-up
8.14 17.2.1 Redundantie van informatieverwerkingsfaciliteiten
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NIEUW Monitoring activiteiten
8.17 12.4.4 klok synchronisatie
8.18 09.4.4 Gebruik van bevoorrechte hulpprogramma's
8.19 12.5.1, 12.6.2 Installatie van software op operationele systemen
8.20 13.1.1 Netwerkbeveiliging
8.21 13.1.2 Beveiliging van netwerkdiensten
8.22 13.1.3 Segregatie van netwerken
8.23 NIEUW Web filtering
8.24 10.1.1, 10.1.2 Gebruik van cryptografie
8.25 14.2.1 Veilige ontwikkelingslevenscyclus
8.26 14.1.2, 14.1.3 Beveiligingsvereisten voor applicaties
8.27 14.2.5 Veilige systeemarchitectuur en engineeringprincipes
8.28 NIEUW Veilige codering
8.29 14.2.8, 14.2.9 Beveiligingstesten in ontwikkeling en acceptatie
8.30 14.2.7 Uitbestede ontwikkeling
8.31 12.1.4, 14.2.6 Scheiding van ontwikkel-, test- en productieomgevingen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Verandermanagement
8.33 14.3.1 Test informatie
8.34 12.7.1 Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Ons platform is speciaal ontwikkeld voor degenen die nieuw zijn op het gebied van informatiebeveiliging of een gemakkelijke manier nodig hebben om ISO 27002 te leren kennen zonder tijd te hoeven besteden aan het helemaal opnieuw leren of het doorlezen van lange documenten.

ISMS.Online wordt geleverd met alle tools die nodig zijn om naleving te bereiken, inclusief documentsjablonen, checklists en beleid dat kan worden aangepast aan uw behoeften.

Wilt u zien hoe het werkt?

Neem vandaag nog contact op met boek een demo.

Sam Peters

Sam is Chief Product Officer bij ISMS.online en leidt de ontwikkeling van alle producteigenschappen en functionaliteit. Sam is een expert op veel gebieden van compliance en werkt samen met klanten aan maatwerk- of grootschalige projecten.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.