In den 90er Jahren führten Unternehmen Sicherheitstests für Softwareprodukte und -systeme nur während der Testphase, in der letzten Phase des Softwareentwicklungslebenszyklus, durch.
Infolgedessen gelang es ihnen oft nicht, kritische Schwachstellen, Bugs und Fehler zu erkennen und zu beseitigen.
Um Sicherheitslücken frühzeitig zu erkennen und zu beheben, sollten Unternehmen Sicherheitsüberlegungen in alle Phasen des Entwicklungslebenszyklus einbeziehen, von der Planung bis zur Bereitstellungsphase.
Control 8.25 befasst sich damit, wie Organisationen Regeln zum Aufbau sicherer Softwareprodukte und -systeme festlegen und implementieren können.
Control 8.25 ermöglicht es Unternehmen, Informationssicherheitsstandards zu entwerfen und diese Standards über den gesamten sicheren Entwicklungslebenszyklus für Softwareprodukte und -systeme anzuwenden.
Control 8.25 ist präventiver Natur, da es von Organisationen verlangt, proaktiv Regeln und Kontrollen zu entwerfen und umzusetzen, die den gesamten Entwicklungslebenszyklus für jedes neue Softwareprodukt und -system regeln.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Anwendungssicherheit #System- und Netzwerksicherheit | #Schutz |
Der Chief Information Security Officer sollte für die Erstellung, Implementierung und Aufrechterhaltung von Regeln und Maßnahmen zur Gewährleistung der Sicherheit des Entwicklungslebenszyklus verantwortlich sein.
Control 8.25 enthält 10 Anforderungen, die Unternehmen einhalten sollten, um sichere Softwareprodukte, Systeme und Architekturen zu entwickeln:
Wenn eine Organisation außerdem bestimmte Entwicklungsaufgaben an externe Parteien auslagert, muss sie sicherstellen, dass die externe Partei die Regeln und Verfahren der Organisation für die sichere Entwicklung von Software und Systemen einhält.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Control 8.25 weist darauf hin, dass Softwareprodukte, Architekturen und Systeme auch innerhalb von Anwendungen, Datenbanken oder Browsern entwickelt werden können.
27002:2022/8.25 replace 27002:2013/(14.2.1)
Insgesamt gibt es zwei wesentliche Unterschiede.
Während die Version 2022 der Version 2013 weitgehend ähnelt, stellt Control 8.25 zwei neue Anforderungen an Organisationen:
In der Version 2013 wurde ausdrücklich darauf hingewiesen, dass die Regelung 14.2.1 sowohl für Neuentwicklungen als auch für die Wiederverwendung von Code gilt. Im Gegensatz dazu bezog sich Control 8.25 nicht auf Code-Wiederverwendungsszenarien.
Mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, wird die Implementierung von ISO 27002 einfacher. Ihre komplette Compliance-Lösung für ISO/IEC 27002:2022.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |