Zum Inhalt
Arbeiten Sie intelligenter mit unserer neuen, verbesserten Navigation!
Erfahren Sie, wie IO die Einhaltung von Vorschriften vereinfacht. Lesen Sie den Blog
ISMS.online

ISO 27002:2022 – Kontrolle 8.25 – Sicherer Entwicklungslebenszyklus

ISO 27002:2022 Control 8.25 betont die Integration der Sicherheit in den gesamten Lebenszyklus der Softwareentwicklung durch die Implementierung sicherer Codierungspraktiken, Sicherheitstests, Umgebungstrennung und Entwicklerschulungen, um Schwachstellen proaktiv zu mindern.

Autorin
Sam Peters
Aktualisiert Juli 25, 2025
4 / 5 Sterne

Was ist ISO 27002 Control 8.25 und warum ist es wichtig?

In den 90er Jahren führten Unternehmen Sicherheitstests für Softwareprodukte und -systeme nur während der Testphase, in der letzten Phase des Softwareentwicklungslebenszyklus, durch.

Infolgedessen gelang es ihnen oft nicht, kritische Schwachstellen, Bugs und Fehler zu erkennen und zu beseitigen.

Um Sicherheitslücken frühzeitig zu erkennen und zu beheben, sollten Unternehmen Sicherheitsüberlegungen in alle Phasen des Entwicklungslebenszyklus einbeziehen, von der Planung bis zur Bereitstellungsphase.

Control 8.25 befasst sich damit, wie Organisationen Regeln zum Aufbau sicherer Softwareprodukte und -systeme festlegen und implementieren können.

Zweck der Kontrolle 8.25

Control 8.25 ermöglicht es Unternehmen, Informationssicherheitsstandards zu entwerfen und diese Standards über den gesamten sicheren Entwicklungslebenszyklus für Softwareprodukte und -systeme anzuwenden.

Attributtabelle der Steuerung 8.25

Control 8.25 ist präventiver Natur, da es von Organisationen verlangt, proaktiv Regeln und Kontrollen zu entwerfen und umzusetzen, die den gesamten Entwicklungslebenszyklus für jedes neue Softwareprodukt und -system regeln.

Steuerungstyp Eigenschaften der Informationssicherheit Cybersicherheitskonzepte Operative Fähigkeiten Sicherheitsdomänen
#Präventiv #Vertraulichkeit #Schützen #Anwendungssicherheit #Schutz
#Integrität #System- und Netzwerksicherheit
#Verfügbarkeit


ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Eigentum an der Kontrolle 8.25

Der Chief Information Security Officer sollte für die Erstellung, Implementierung und Aufrechterhaltung von Regeln und Maßnahmen zur Gewährleistung der Sicherheit des Entwicklungslebenszyklus verantwortlich sein.

Allgemeine Richtlinien zur Compliance

Control 8.25 enthält 10 Anforderungen, die Unternehmen einhalten sollten, um sichere Softwareprodukte, Systeme und Architekturen zu entwickeln:

  1. Entwicklungs-, Test- und Produktionsumgebungen sollten gemäß Control 8.31 getrennt werden.
  2. Organisationen sollten Leitlinien zu Folgendem bereitstellen:

    • Sicherheitsüberlegungen in der Softwareentwicklungsmethodik gemäß Control 8.27 und 8.28.
    • Sichere Codierung für jede Programmiersprache gemäß 8.28.

  3. Organisationen sollten Sicherheitsanforderungen festlegen und umsetzen, die für die Spezifikations- und Entwurfsphase gemäß Control 5.8 gelten.
  4. Organisationen sollten Sicherheitschecklisten für die Projekte gemäß Control 5.8 definieren.
  5. Organisationen sollten Sicherheits- und Systemtests wie Penetrationstests und Code-Scans gemäß Control 8.29 durchführen.
  6. Organisationen sollten sichere Repositorys erstellen, in denen Quellcodes und Konfigurationen gemäß den Kontrollen 8.4 und 8.9 gespeichert werden.
  7. Organisationen sollten die Sicherheit in der Versionskontrolle wie in Control 8.32 vorgeschrieben aufrechterhalten.
  8. Organisationen sollten sicherstellen, dass alle an der Entwicklung beteiligten Mitarbeiter über ausreichende Kenntnisse im Bereich Anwendungssicherheit verfügen und die erforderliche Schulung gemäß Steuerung 8.28 erhalten.
  9. Entwickler sollten in der Lage sein, Sicherheitslücken gemäß Control 8.28 zu erkennen und zu verhindern.
  10. Organisationen sollten die Lizenzanforderungen einhalten und die Machbarkeit alternativer kostengünstiger Methoden bewerten, wie in Kontrolle 8.30 vorgeschrieben.

Wenn eine Organisation außerdem bestimmte Entwicklungsaufgaben an externe Parteien auslagert, muss sie sicherstellen, dass die externe Partei die Regeln und Verfahren der Organisation für die sichere Entwicklung von Software und Systemen einhält.

Ergänzende Leitlinien zur Kontrolle 8.25

Control 8.25 weist darauf hin, dass Softwareprodukte, Architekturen und Systeme auch innerhalb von Anwendungen, Datenbanken oder Browsern entwickelt werden können.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/8.25 replace 27002:2013/(14.2.1)

Insgesamt gibt es zwei wesentliche Unterschiede.

Die Version ISO 27002:2022 stellt zwei neue Anforderungen

Während die Version 2022 der Version 2013 weitgehend ähnelt, stellt Control 8.25 zwei neue Anforderungen an Organisationen:

  • Organisationen sollten die Lizenzanforderungen einhalten und die Machbarkeit alternativer kostengünstiger Methoden bewerten, wie in Kontrolle 8.30 vorgeschrieben.
  • Organisationen sollten Sicherheits- und Systemtests wie Penetrationstests und Code-Scans gemäß Control 8.29 durchführen.

Die Version ISO 27002:2013 bezog sich ausdrücklich auf die Wiederverwendung von Code

In der Version 2013 wurde ausdrücklich darauf hingewiesen, dass die Regelung 14.2.1 sowohl für Neuentwicklungen als auch für die Wiederverwendung von Code gilt. Im Gegensatz dazu bezog sich Control 8.25 nicht auf Code-Wiederverwendungsszenarien.

Neue ISO 27002-Kontrollen

Neue Steuerelemente
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.7 NEU Bedrohungsinformationen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30 NEU IKT-Bereitschaft für Geschäftskontinuität
7.4 NEU Physische Sicherheitsüberwachung
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.16 NEU Überwachungsaktivitäten
8.23 NEU Web-Filter
8.28 NEU Sichere Codierung
Organisatorische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.1 05.1.1, 05.1.2 Richtlinien zur Informationssicherheit
5.2 06.1.1 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3 06.1.2 Aufgabentrennung
5.4 07.2.1 Führungsaufgaben
5.5 06.1.3 Kontakt mit Behörden
5.6 06.1.4 Kontakt zu speziellen Interessengruppen
5.7 NEU Bedrohungsinformationen
5.8 06.1.5, 14.1.1 Informationssicherheit im Projektmanagement
5.9 08.1.1, 08.1.2 Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10 08.1.3, 08.2.3 Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11 08.1.4 Rückgabe von Vermögenswerten
5.12 08.2.1 Klassifizierung von Informationen
5.13 08.2.2 Kennzeichnung von Informationen
5.14 13.2.1, 13.2.2, 13.2.3 Informationsübertragung
5.15 09.1.1, 09.1.2 Zugriffskontrolle
5.16 09.2.1 Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3 Authentifizierungsinformationen
5.18 09.2.2, 09.2.5, 09.2.6 Zugangsrechte
5.19 15.1.1 Informationssicherheit in Lieferantenbeziehungen
5.20 15.1.2 Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21 15.1.3 Management der Informationssicherheit in der IKT-Lieferkette
5.22 15.2.1, 15.2.2 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24 16.1.1 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25 16.1.4 Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26 16.1.5 Reaktion auf Informationssicherheitsvorfälle
5.27 16.1.6 Aus Informationssicherheitsvorfällen lernen
5.28 16.1.7 Sammlung von Beweisen
5.29 17.1.1, 17.1.2, 17.1.3 Informationssicherheit bei Störungen
5.30 5.30 IKT-Bereitschaft für Geschäftskontinuität
5.31 18.1.1, 18.1.5 Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32 18.1.2 Rechte am geistigen Eigentum
5.33 18.1.3 Schutz von Aufzeichnungen
5.34 18.1.4 Privatsphäre und Schutz personenbezogener Daten
5.35 18.2.1 Unabhängige Überprüfung der Informationssicherheit
5.36 18.2.2, 18.2.3 Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37 12.1.1 Dokumentierte Betriebsabläufe
Menschenkontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
6.1 07.1.1 Rekrutierung
6.2 07.1.2 Beschäftigungsbedingungen
6.3 07.2.2 Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4 07.2.3 Disziplinarverfahren
6.5 07.3.1 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6 13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7 06.2.2 Fernarbeit
6.8 16.1.2, 16.1.3 Berichterstattung über Informationssicherheitsereignisse
Physikalische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
7.1 11.1.1 Physische Sicherheitsbereiche
7.2 11.1.2, 11.1.6 Physischer Eintritt
7.3 11.1.3 Absicherung von Büros, Räumen und Anlagen
7.4 NEU Physische Sicherheitsüberwachung
7.5 11.1.4 Schutz vor physischen und umweltbedingten Bedrohungen
7.6 11.1.5 Arbeiten in sicheren Bereichen
7.7 11.2.9 Klarer Schreibtisch und klarer Bildschirm
7.8 11.2.1 Standort und Schutz der Ausrüstung
7.9 11.2.6 Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Speichermedium
7.11 11.2.2 Unterstützende Versorgungsunternehmen
7.12 11.2.3 Verkabelungssicherheit
7.13 11.2.4 Wartung der Ausrüstung
7.14 11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten
Technologische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
8.1 06.2.1, 11.2.8 Benutzerendpunktgeräte
8.2 09.2.3 Privilegierte Zugriffsrechte
8.3 09.4.1 Beschränkung des Informationszugriffs
8.4 09.4.5 Zugriff auf Quellcode
8.5 09.4.2 Sichere Authentifizierung
8.6 12.1.3 Kapazitätsmanagement
8.7 12.2.1 Schutz vor Malware
8.8 12.6.1, 18.2.3 Management technischer Schwachstellen
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.13 12.3.1 Informationssicherung
8.14 17.2.1 Redundanz der Informationsverarbeitungseinrichtungen
8.15 12.4.1, 12.4.2, 12.4.3 Protokollierung
8.16 NEU Überwachungsaktivitäten
8.17 12.4.4 Uhrzeitsynchronisation
8.18 09.4.4 Verwendung privilegierter Hilfsprogramme
8.19 12.5.1, 12.6.2 Installation von Software auf Betriebssystemen
8.20 13.1.1 Netzwerksicherheit
8.21 13.1.2 Sicherheit von Netzwerkdiensten
8.22 13.1.3 Trennung von Netzwerken
8.23 NEU Web-Filter
8.24 10.1.1, 10.1.2 Verwendung von Kryptographie
8.25 14.2.1 Sicherer Entwicklungslebenszyklus
8.26 14.1.2, 14.1.3 Anforderungen an die Anwendungssicherheit
8.27 14.2.5 Sichere Systemarchitektur und technische Prinzipien
8.28 NEU Sichere Codierung
8.29 14.2.8, 14.2.9 Sicherheitstests in Entwicklung und Abnahme
8.30 14.2.7 Ausgelagerte Entwicklung
8.31 12.1.4, 14.2.6 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Änderungsmanagement
8.33 14.3.1 Testinformationen
8.34 12.7.1 Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, wird die Implementierung von ISO 27002 einfacher. Ihre komplette Compliance-Lösung für ISO/IEC 27002:2022.

  • Bis zu 81 % Fortschritt ab dem Zeitpunkt der Anmeldung.
  • Einfache und umfassende Compliance-Lösung.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Sam Peters

Sam ist Chief Product Officer bei ISMS.online und leitet die Entwicklung aller Produktmerkmale und -funktionen. Sam ist ein Experte in vielen Compliance-Bereichen und arbeitet mit Kunden an maßgeschneiderten oder groß angelegten Projekten.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.