Anwendungssoftwareprogramme wie WebanwendungenGrafiksoftware, Datenbanksoftware und Zahlungsverarbeitungssoftware sind für viele wichtige Geschäftsabläufe von entscheidender Bedeutung.
Diese Anwendungen sind jedoch häufig ausgesetzt Sicherheitslücken, die zur Gefährdung vertraulicher Informationen führen können.
Equifax, ein in den USA ansässiges Kreditbüro, hat es beispielsweise versäumt, einen Sicherheitspatch auf ein Website-Anwendungs-Framework zu installieren, das zur Bearbeitung von Kundenbeschwerden verwendet wird. Die Cyber-Angreifer nutzten Sicherheitslücken in der Webanwendung, um die Unternehmensnetzwerke von Equifax zu infiltrieren und sensible Daten von rund 145 Millionen Menschen zu stehlen.
Control 8.26 befasst sich mit dem Wie Organisationen können Informationssicherheitsanforderungen festlegen und anwenden für die Entwicklung, Nutzung und den Erwerb von Anwendungen.
Mit Control 8.26 können Unternehmen Informationsbestände schützen, die in Anwendungen gespeichert oder durch diese verarbeitet werden, indem sie geeignete Anforderungen an die Informationssicherheit identifizieren und anwenden.
Kontrolle 8.26 ist eine präventive Art der Kontrolle, die Risiken für die Integrität, Verfügbarkeit und Vertraulichkeit der auf Antrag gespeicherten Informationsbestände durch den Einsatz geeigneter Informationssicherheitsmaßnahmen verhindert.
Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
---|---|---|---|---|
#Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Anwendungssicherheit #System- und Netzwerksicherheit | #Schutz #Verteidigung |
Der Chief Information Security Officer sollte mit Unterstützung von Informationssicherheitsspezialisten für die Identifizierung, Genehmigung und Umsetzung von Informationsanforderungen für den Erwerb, die Nutzung und die Entwicklung von Anwendungen verantwortlich sein.
Allgemeine Leitlinien weisen darauf hin, dass Organisationen Folgendes durchführen sollten: Risikobewertung zur Bestimmung der Art der Informationssicherheitsanforderungen für eine bestimmte Anwendung geeignet ist.
Während der Inhalt und die Art von Anforderungen an die Informationssicherheit Da die Anforderungen je nach Art der Anwendung variieren können, sollten sie Folgendes umfassen:
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Control 8.26 verlangt von Organisationen, die folgenden sieben Empfehlungen zu berücksichtigen, wenn eine Anwendung Transaktionsdienste zwischen der Organisation und einem Partner anbietet:
Wenn Anwendungen Zahlungs- und elektronische Bestellfunktionen umfassen, sollten Organisationen Folgendes berücksichtigen:
Wenn auf Anwendungen über Netzwerke zugegriffen wird, sind sie anfällig für Bedrohungen wie Vertragsstreitigkeiten, betrügerische Aktivitäten, Fehlleitungen, unbefugte Änderungen am Kommunikationsinhalt oder den Verlust der Vertraulichkeit sensibler Informationen.
Control 8.26 empfiehlt Organisationen eine umfassende Durchführung Risikobewertungen zur Identifizierung geeigneter Kontrollen wie der Einsatz von Kryptographie zur Gewährleistung der Sicherheit von Informationsübertragungen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
27002:2022/8.26 ersetzt 27002:2013/(14.1.2 und 14.1.3)
Es gibt drei große Unterschiede zwischen den beiden Versionen.
Die Version ISO 27002:2013 listete keine Anforderungen auf, die für alle Anwendungen gelten: Sie enthielt eine Liste von Informationssicherheitsanforderungen, die für Anwendungen, die über öffentliche Netzwerke laufen, berücksichtigt werden sollten.
Control 8.26 in der Version 2022, im Gegenteil, stellte eine Liste von Informationssicherheitsanforderungen bereit, die für alle Anwendungen gelten.
Control 8.26 in der Version 2022 enthält spezifische Anleitungen dazu Elektronische Bestell- und Zahlungsanwendungen. Im Gegensatz dazu wurde in der Version von 2013 darauf nicht eingegangen.
Während die Version 2022 und die Version 2013 hinsichtlich der Anforderungen an Transaktionsdienste nahezu identisch sind, führt die Version 2022 eine zusätzliche Anforderung ein, die in der Version 2013 nicht berücksichtigt wurde:
ISMS.online ist eine cloudbasierte Lösung, die Unternehmen dabei hilft, die Einhaltung von ISO 27002 nachzuweisen. Mit der ISMS.online-Lösung können die Anforderungen von verwaltet werden ISO 27002 und stellen Sie sicher, dass Ihre Organisation weiterhin dem neuen Standard entspricht.
Unsere Plattform ist benutzerfreundlich und unkompliziert. Es ist nicht nur für hochtechnische Personen geeignet; Es gilt für jeden in Ihrem Unternehmen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
5.7 | Neu | Bedrohungsinformationen |
5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
7.4 | Neu | Physische Sicherheitsüberwachung |
8.9 | Neu | Konfigurationsmanagement |
8.10 | Neu | Löschung von Informationen |
8.11 | Neu | Datenmaskierung |
8.12 | Neu | Verhinderung von Datenlecks |
8.16 | Neu | Überwachungsaktivitäten |
8.23 | Neu | Web-Filter |
8.28 | Neu | Sichere Codierung |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
6.1 | 07.1.1 | Untersuchungen |
6.2 | 07.1.2 | Beschäftigungsbedingungen |
6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
6.4 | 07.2.3 | Disziplinarverfahren |
6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
6.7 | 06.2.2 | Fernarbeit |
6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
---|---|---|
7.1 | 11.1.1 | Physische Sicherheitsbereiche |
7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
7.4 | Neu | Physische Sicherheitsüberwachung |
7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
7.12 | 11.2.3 | Verkabelungssicherheit |
7.13 | 11.2.4 | Wartung der Ausrüstung |
7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |