Meteen naar de inhoud
Werk slimmer met onze nieuwe, verbeterde navigatie!
Ontdek hoe IO naleving eenvoudiger maakt. Lees de blog
ISMS.online

ISO 27002:2022 – Controle 8.31 – Scheiding van ontwikkelings-, test- en productieomgevingen

ISO 27002 Control 8.31 benadrukt het belang van het scheiden van ontwikkel-, test- en productieomgevingen om beveiligingsrisico's, zoals blootstelling van gegevens of ongeautoriseerde toegang, te voorkomen. Het schetst de belangrijkste best practices, waaronder strikte scheiding, autorisatiecontroles en toegangsbeperkingen, om de integriteit en beveiliging van gegevens te behouden.

Auteur
Sam Peters
Bijgewerkt juli 25, 2025
4 / 5 sterren

Zorgen voor een veilige scheiding van ontwikkelings-, test- en productieomgevingen

Het niet goed scheiden van ontwikkelings-, test- en productieomgevingen kan leiden tot verlies van beschikbaarheid, vertrouwelijkheid en integriteit van informatiemiddelen.

Bijvoorbeeld Uber per ongeluk gepubliceerd een coderepository op Github die wachtwoorden bevatte van gebruikers uit de productieomgeving, waardoor de vertrouwelijkheid van gevoelige informatie verloren ging.

Daarom moeten organisaties passende procedures en controles implementeren om ontwikkelings-, test- en productieomgevingen veilig van elkaar te scheiden en zo beveiligingsrisico's te elimineren.

Doel van de controle 8.31

Controle 8.31 stelt organisaties in staat de vertrouwelijkheid, integriteit en beschikbaarheid van gevoelige informatiemiddelen te handhaven door ontwikkelings-, test- en productieomgevingen te scheiden door middel van passende procedures, controles en beleid.

Attributen Controletabel 8.31

Controle 8.31 is preventief van aard en vereist dat organisaties preventief processen en technische controles opzetten en toepassen om de ontwikkelings-, test- en productieomgevingen veilig te scheiden.

controle Type Eigenschappen voor informatiebeveiliging Cyberbeveiligingsconcepten Operationele mogelijkheden Beveiligingsdomeinen
#Preventief #Vertrouwelijkheid #Beschermen #Applicatiebeveiliging #Bescherming
#Integriteit #Systeem- en netwerkbeveiliging
#Beschikbaarheid


ISMS.online geeft u een voorsprong van 81% vanaf het moment dat u inlogt

ISO 27001 eenvoudig gemaakt

Een voorsprong van 81% vanaf dag één

Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.

Start


Eigendom van zeggenschap 8.31

Gezien het feit dat Controle 8.31 het opzetten en implementeren van organisatiebrede processen en controles inhoudt om verschillende softwareomgevingen te scheiden, zal de Chief Information Security Officer, met hulp van het ontwikkelingsteam, uiteindelijk verantwoordelijk zijn voor naleving.

Algemene richtlijnen voor naleving

Organisaties moeten rekening houden met de potentiële productieproblemen die voorkomen moeten worden bij het bepalen van het vereiste scheidingsniveau tussen de drie omgevingen.

In het bijzonder beveelt Control 8.31 organisaties aan de volgende zeven criteria in overweging te nemen:

  1. Segregatie en exploitatie van ontwikkelings- en productiesystemen in voldoende mate. Zo zou het gebruik van aparte virtuele en fysieke omgevingen voor productie een effectieve methode kunnen zijn.
  2. Er moeten passende regels en autorisatieprocedures worden opgesteld, gedocumenteerd en toegepast voor het gebruik van software in de productieomgeving nadat deze door de ontwikkelomgeving is gegaan.
  3. Organisaties moeten wijzigingen aan applicaties en productiesystemen beoordelen en testen in een testomgeving die gescheiden is van de productieomgeving voordat deze wijzigingen in de productieomgeving worden gebruikt.
  4. Testen in productieomgevingen mag niet worden toegestaan, tenzij dergelijke tests vóór het testen zijn gedefinieerd en goedgekeurd.
  5. Ontwikkeltools zoals compilers en editors mogen niet toegankelijk zijn vanuit de productieomgeving, tenzij deze toegang absoluut noodzakelijk is.
  6. Om fouten te minimaliseren moeten de juiste omgevingsidentificatielabels prominent in de menu's worden weergegeven.
  7. Gevoelige informatiemiddelen mogen niet worden overgedragen naar ontwikkel- en testomgevingen, tenzij gelijkwaardige beveiligingsmaatregelen worden toegepast in de ontwikkelings- en testsystemen.

Aanvullend richtsnoer voor de bescherming van ontwikkelings- en testomgevingen

Organisaties moeten ontwikkel- en testomgevingen beschermen tegen beveiligingsrisico's, rekening houdend met het volgende:

  • Alle ontwikkelings-, integratie- en testtools, zoals bouwers, integrators en bibliotheken, moeten regelmatig worden gepatcht en bijgewerkt.
  • Alle systemen en software moeten veilig worden geconfigureerd.
  • De toegang tot omgevingen moet onderworpen zijn aan passende controles.
  • Wijzigingen in de omgeving en de daarin opgeslagen code moeten worden gemonitord en beoordeeld.
  • Omgevingen moeten veilig worden gecontroleerd en beoordeeld.
  • Er moet een back-up van omgevingen worden gemaakt.

Bovendien mag geen enkel individu het voorrecht krijgen om wijzigingen aan te brengen in zowel de ontwikkelings- als de productieomgeving zonder eerst goedkeuring te verkrijgen. Om dit te voorkomen kunnen organisaties toegangsrechten scheiden of toegangscontroles instellen en implementeren.

Daarnaast kunnen organisaties ook extra technische controles overwegen, zoals het loggen van alle toegangsactiviteiten en het realtime monitoren van alle toegang tot deze omgevingen.

Aanvullend richtsnoer voor controle 8.31

Als organisaties er niet in slagen de noodzakelijke maatregelen te implementeren, kunnen hun informatiesystemen te maken krijgen met aanzienlijke veiligheidsrisico's.

Ontwikkelaars en testers met toegang tot de productieomgeving kunnen bijvoorbeeld ongewenste wijzigingen aanbrengen in bestanden of systeemomgevingen, ongeautoriseerde code uitvoeren of per ongeluk gevoelige informatie vrijgeven.

Daarom hebben organisaties een stabiele omgeving nodig om robuuste tests op de code uit te voeren en om te voorkomen dat ontwikkelaars toegang krijgen tot de productieomgevingen waar gevoelige gegevens uit de echte wereld worden gehost en verwerkt.

Organisaties moeten ook maatregelen toepassen, zoals toegewezen rollen in combinatie met vereisten voor scheiding van taken.

Een andere bedreiging voor de vertrouwelijkheid van productiegegevens is het ontwikkelings- en testpersoneel. Wanneer de ontwikkelings- en testteams hun activiteiten uitvoeren met dezelfde computerapparatuur, kunnen ze per ongeluk wijzigingen aanbrengen in gevoelige informatie of softwareprogramma's.

Organisaties wordt geadviseerd ondersteunende processen op te zetten voor het gebruik van de productiegegevens in test- en ontwikkelingssystemen in overeenstemming met Controle 8.33.

Bovendien moeten organisaties rekening houden met de maatregelen die in deze Controle worden behandeld wanneer zij eindgebruikerstrainingen geven in trainingsomgevingen.

Last but not least kunnen organisaties opzettelijk de grenzen tussen ontwikkelings-, test- en productieomgevingen vervagen. Testen kunnen bijvoorbeeld worden uitgevoerd in een ontwikkelomgeving of producttesten kunnen worden uitgevoerd door daadwerkelijk gebruik van het product door personeel in de organisatie.



ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


Wijzigingen en verschillen ten opzichte van ISO 27002:2013

27002:2022/8.31 vervangt 27002:2013/(12.1.4 en 14.2.6)

Hoewel de twee versies in grote mate vergelijkbaar zijn, zijn er twee verschillen die moeten worden benadrukt.

Controle 14.2.6 in de versie van 2013 gaf meer gedetailleerde richtlijnen voor veilige ontwikkelomgevingen

Control 14.2.6 in de versie van 2013 gaat in op veilige ontwikkelomgevingen en somt 10 aanbevelingen op waar organisaties rekening mee moeten houden bij het bouwen van een ontwikkelomgeving.

De versie uit 2022 bevatte daarentegen een aantal van deze aanbevelingen niet, zoals een back-up op een externe locatie en beperkingen op de overdracht van gegevens.

Controle 8.31 Gaat in op het testen van producten en het gebruik van productiegegevens

In tegenstelling tot de versie van 2013 biedt Controle 8.31 in de versie van 2022 richtlijnen over hoe producttests moeten worden uitgevoerd en over het gebruik van productiegegevens in overeenstemming met Controle 8.33.

Nieuwe ISO 27002-controles

Nieuwe bedieningselementen
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.7 NIEUW Bedreigingsintelligentie
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.30 NIEUW ICT gereed voor bedrijfscontinuïteit
7.4 NIEUW Fysieke beveiligingsmonitoring
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.16 NIEUW Monitoring activiteiten
8.23 NIEUW Web filtering
8.28 NIEUW Veilige codering
Organisatorische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
5.1 05.1.1, 05.1.2 Beleid voor informatiebeveiliging
5.2 06.1.1 Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
5.3 06.1.2 Scheiding van taken
5.4 07.2.1 Directie verantwoordelijkheden
5.5 06.1.3 Contact met autoriteiten
5.6 06.1.4 Contact met speciale belangengroepen
5.7 NIEUW Bedreigingsintelligentie
5.8 06.1.5, 14.1.1 Informatiebeveiliging in projectmanagement
5.9 08.1.1, 08.1.2 Inventarisatie van informatie en andere bijbehorende activa
5.10 08.1.3, 08.2.3 Aanvaardbaar gebruik van informatie en andere bijbehorende bedrijfsmiddelen
5.11 08.1.4 Teruggave van activa
5.12 08.2.1 Classificatie van informatie
5.13 08.2.2 Etikettering van informatie
5.14 13.2.1, 13.2.2, 13.2.3 Informatieoverdracht
5.15 09.1.1, 09.1.2 Toegangscontrole
5.16 09.2.1 Identiteitsbeheer
5.17 09.2.4, 09.3.1, 09.4.3 Authenticatie-informatie
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsrechten
5.19 15.1.1 Informatiebeveiliging in leveranciersrelaties
5.20 15.1.2 Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
5.21 15.1.3 Het beheren van informatiebeveiliging in de ICT-toeleveringsketen
5.22 15.2.1, 15.2.2 Het monitoren, beoordelen en wijzigen van de diensten van leveranciers
5.23 NIEUW Informatiebeveiliging voor gebruik van clouddiensten
5.24 16.1.1 Planning en voorbereiding van het beheer van informatiebeveiligingsincidenten
5.25 16.1.4 Beoordeling en besluitvorming over informatiebeveiligingsgebeurtenissen
5.26 16.1.5 Reactie op informatiebeveiligingsincidenten
5.27 16.1.6 Leren van informatiebeveiligingsincidenten
5.28 16.1.7 Verzameling van bewijs
5.29 17.1.1, 17.1.2, 17.1.3 Informatiebeveiliging tijdens verstoring
5.30 5.30 ICT gereed voor bedrijfscontinuïteit
5.31 18.1.1, 18.1.5 Wettelijke, wettelijke, regelgevende en contractuele vereisten
5.32 18.1.2 Intellectuele eigendomsrechten
5.33 18.1.3 Bescherming van documenten
5.34 18.1.4 Privacy en bescherming van PII
5.35 18.2.1 Onafhankelijke beoordeling van informatiebeveiliging
5.36 18.2.2, 18.2.3 Naleving van beleid, regels en standaarden voor informatiebeveiliging
5.37 12.1.1 Gedocumenteerde operationele procedures
Mensencontroles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
6.1 07.1.1 Doorlichting
6.2 07.1.2 Arbeidsvoorwaarden
6.3 07.2.2 Bewustzijn, opleiding en training op het gebied van informatiebeveiliging
6.4 07.2.3 Disciplinair proces
6.5 07.3.1 Verantwoordelijkheden na beëindiging of verandering van dienstverband
6.6 13.2.4 Vertrouwelijkheids- of geheimhoudingsovereenkomsten
6.7 06.2.2 Werken op afstand
6.8 16.1.2, 16.1.3 Rapportage van informatiebeveiligingsgebeurtenissen
Fysieke controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
7.1 11.1.1 Fysieke veiligheidsperimeters
7.2 11.1.2, 11.1.6 Fysieke toegang
7.3 11.1.3 Beveiligen van kantoren, kamers en faciliteiten
7.4 NIEUW Fysieke beveiligingsmonitoring
7.5 11.1.4 Bescherming tegen fysieke en ecologische bedreigingen
7.6 11.1.5 Werken in beveiligde ruimtes
7.7 11.2.9 Overzichtelijk bureau en helder scherm
7.8 11.2.1 Locatie en bescherming van apparatuur
7.9 11.2.6 Beveiliging van activa buiten het terrein
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Opslag media
7.11 11.2.2 Ondersteunende nutsvoorzieningen
7.12 11.2.3 Beveiliging van de bekabeling
7.13 11.2.4 Apparatuuronderhoud
7.14 11.2.7 Veilige verwijdering of hergebruik van apparatuur
Technologische controles
ISO/IEC 27002:2022 Controle-identificatie ISO/IEC 27002:2013 Controle-identificatie Controle naam
8.1 06.2.1, 11.2.8 Eindpuntapparaten van gebruikers
8.2 09.2.3 Bevoorrechte toegangsrechten
8.3 09.4.1 Beperking van toegang tot informatie
8.4 09.4.5 Toegang tot broncode
8.5 09.4.2 Veilige authenticatie
8.6 12.1.3 Capaciteitsmanagement
8.7 12.2.1 Bescherming tegen malware
8.8 12.6.1, 18.2.3 Beheer van technische kwetsbaarheden
8.9 NIEUW Configuratiebeheer
8.10 NIEUW Verwijdering van informatie
8.11 NIEUW Gegevensmaskering
8.12 NIEUW Preventie van gegevenslekken
8.13 12.3.1 Informatie back-up
8.14 17.2.1 Redundantie van informatieverwerkingsfaciliteiten
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NIEUW Monitoring activiteiten
8.17 12.4.4 klok synchronisatie
8.18 09.4.4 Gebruik van bevoorrechte hulpprogramma's
8.19 12.5.1, 12.6.2 Installatie van software op operationele systemen
8.20 13.1.1 Netwerkbeveiliging
8.21 13.1.2 Beveiliging van netwerkdiensten
8.22 13.1.3 Segregatie van netwerken
8.23 NIEUW Web filtering
8.24 10.1.1, 10.1.2 Gebruik van cryptografie
8.25 14.2.1 Veilige ontwikkelingslevenscyclus
8.26 14.1.2, 14.1.3 Beveiligingsvereisten voor applicaties
8.27 14.2.5 Veilige systeemarchitectuur en engineeringprincipes
8.28 NIEUW Veilige codering
8.29 14.2.8, 14.2.9 Beveiligingstesten in ontwikkeling en acceptatie
8.30 14.2.7 Uitbestede ontwikkeling
8.31 12.1.4, 14.2.6 Scheiding van ontwikkel-, test- en productieomgevingen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Wijzig beheer
8.33 14.3.1 Test informatie
8.34 12.7.1 Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

Het ISMS.Online-platform helpt bij alle aspecten van de implementatie van ISO 27002, van het beheren van risicobeoordelingsactiviteiten tot het ontwikkelen van beleid, procedures en richtlijnen voor het voldoen aan de vereisten van de norm.

Het biedt een manier om uw bevindingen te documenteren en deze online met uw teamleden te communiceren. Met ISMS.Online kunt u ook checklists maken en opslaan voor alle taken die betrokken zijn bij de implementatie van ISO 27002, zodat u eenvoudig de voortgang van het beveiligingsprogramma van uw organisatie kunt volgen.

Met de geautomatiseerde toolset maakt ISMS.Online het voor organisaties eenvoudig om naleving van de ISO 27002-norm aan te tonen.

Neem vandaag nog contact met ons op een demo plannen.

Sam Peters

Sam is Chief Product Officer bij ISMS.online en leidt de ontwikkeling van alle producteigenschappen en functionaliteit. Sam is een expert op veel gebieden van compliance en werkt samen met klanten aan maatwerk- of grootschalige projecten.

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.