Hoewel niet-productietestomgevingen zoals testomgevingen essentieel zijn voor het bouwen van hoogwaardige softwareproducten en -applicaties die vrij zijn van bugs of fouten, stellen het gebruik van echte gegevens en het gebrek aan beveiligingsmaatregelen in deze omgevingen informatiemiddelen bloot aan verhoogde risico's.
Ontwikkelaars kunnen bijvoorbeeld gemakkelijk te onthouden inloggegevens gebruiken (bijvoorbeeld 'admin' voor zowel gebruikersnaam als wachtwoord) voor testomgevingen waarin gevoelige gegevens worden opgeslagen.
Dit kan door cyberaanvallers worden uitgebuit om gemakkelijk toegang te krijgen tot testomgevingen en gevoelige informatie te stelen.
Daarom moeten organisaties passende controles en procedures invoeren om gegevens uit de echte wereld die voor tests worden gebruikt, te beschermen.
Controle 8.33 stelt organisaties in staat twee doelen te bereiken:
Controle 8.33 is een preventieve vorm van controle waarbij organisaties de meest geschikte informatie voor de testfase moeten selecteren en beschermen om de vertrouwelijkheid en integriteit van de informatie te behouden.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit | #Beschermen | #Informatiebescherming | #Bescherming |
Gezien het feit dat Controle 8.33 de selectie, bescherming en het beheer van de meest geschikte testinformatie omvat die voor het testen moet worden gebruikt, moeten informatiebeveiligingsfunctionarissen, in samenwerking met het ontwikkelingsteam, uiteindelijk verantwoordelijk zijn voor het vaststellen van passende controles en procedures.
Organisaties mogen geen gevoelige informatie, inclusief persoonlijke gegevens, gebruiken in de ontwikkel- en testomgevingen.
Om de testinformatie te beschermen tegen verlies van vertrouwelijkheid en integriteit moeten organisaties aan het volgende voldoen:
Bovendien moeten organisaties passende maatregelen nemen om de veilige opslag van informatiemiddelen te garanderen.
Opgemerkt wordt dat systeem- en acceptatietesten een enorme hoeveelheid testinformatie kunnen vereisen, equivalent aan operationele informatie.
27002:2022/8.33 replace 27002:2013/(14.3.1)
Hoewel de 2022-versie in grote mate vergelijkbaar is met de 2013-versie, introduceert de 2022-versie de volgende vereiste:
De 27002:2013-versie bevatte deze vereiste daarentegen niet.
ISMS.online is een cloudgebaseerde oplossing die bedrijven helpt bij het aantonen van naleving van ISO 27002. De oplossing ISMS.online kan worden gebruikt om de vereisten van ISO 27002 te beheren en ervoor te zorgen dat uw organisatie aan de nieuwe norm blijft voldoen.
De ISO 27002-norm is bijgewerkt om de groeiende cyberdreigingen waarmee we als samenleving worden geconfronteerd weer te geven. De huidige standaard werd voor het eerst gepubliceerd in 2005 en herzien in 2013 om veranderingen in technologie, regelgeving en industriestandaarden weer te geven. De nieuwe versie van ISO 27002 integreert deze updates in één document en voegt nieuwe vereisten toe voor organisaties om hen te helpen hun datamiddelen beter te beschermen tegen cyberaanvallen.
De ISMS.online-oplossing helpt organisaties ISO 27002: 2022 te implementeren door een eenvoudig te gebruiken raamwerk te bieden voor het documenteren van informatiebeveiligingsbeleid en -procedures. Het biedt ook een centrale locatie waar u al uw compliancedocumentatie kunt opslaan, zodat deze gemakkelijk toegankelijk is voor verschillende belanghebbenden in het bedrijf (bijvoorbeeld HR, IT).
Ons platform is gebruiksvriendelijk en overzichtelijk. Het is niet alleen voor zeer technische individuen; het is voor iedereen in uw bedrijf.
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
