Zum Inhalt
ISMS.online

ISO 27002:2022 – Kontrolle 8.26 – Anforderungen an die Anwendungssicherheit

ISO 27002:2022 Control 8.26 beschreibt die Sicherheitsanforderungen für die Entwicklung, Beschaffung und Nutzung von Anwendungen und gewährleistet Datenschutz, Zugriffskontrolle, Widerstandsfähigkeit gegen Angriffe und die Einhaltung gesetzlicher Vorschriften zum Schutz von Informationswerten.

Autorin
Sam Peters
Aktualisiert Juli 25, 2025
4 / 5 Sterne

ISO 27002-Kontrolle 8.26 verstehen: Anwendungssicherheitsanforderungen

Anwendungssoftwareprogramme wie WebanwendungenGrafiksoftware, Datenbanksoftware und Zahlungsverarbeitungssoftware sind für viele wichtige Geschäftsabläufe von entscheidender Bedeutung.

Diese Anwendungen sind jedoch häufig ausgesetzt Sicherheitslücken, die zur Gefährdung vertraulicher Informationen führen können.

Equifax, ein in den USA ansässiges Kreditbüro, hat es beispielsweise versäumt, einen Sicherheitspatch auf ein Website-Anwendungs-Framework zu installieren, das zur Bearbeitung von Kundenbeschwerden verwendet wird. Die Cyber-Angreifer nutzten Sicherheitslücken in der Webanwendung, um die Unternehmensnetzwerke von Equifax zu infiltrieren und sensible Daten von rund 145 Millionen Menschen zu stehlen.

Control 8.26 befasst sich mit dem Wie Organisationen können Informationssicherheitsanforderungen festlegen und anwenden für die Entwicklung, Nutzung und den Erwerb von Anwendungen.

Zweck der Kontrolle 8.26

Mit Control 8.26 können Unternehmen Informationsbestände schützen, die in Anwendungen gespeichert oder durch diese verarbeitet werden, indem sie geeignete Anforderungen an die Informationssicherheit identifizieren und anwenden.

Attributtabelle der Steuerung 8.26

Kontrolle 8.26 ist eine präventive Art der Kontrolle, die Risiken für die Integrität, Verfügbarkeit und Vertraulichkeit der auf Antrag gespeicherten Informationsbestände durch den Einsatz geeigneter Informationssicherheitsmaßnahmen verhindert.

Steuerungstyp Eigenschaften der Informationssicherheit Cybersicherheitskonzepte Operative Fähigkeiten Sicherheitsdomänen
#Präventiv #Vertraulichkeit #Schützen #Anwendungssicherheit #Schutz
#Integrität #System- und Netzwerksicherheit #Verteidigung
#Verfügbarkeit


ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Eigentum an der Kontrolle 8.26

Der Chief Information Security Officer sollte mit Unterstützung von Informationssicherheitsspezialisten für die Identifizierung, Genehmigung und Umsetzung von Informationsanforderungen für den Erwerb, die Nutzung und die Entwicklung von Anwendungen verantwortlich sein.

Allgemeine Richtlinien zur Compliance

Allgemeine Leitlinien weisen darauf hin, dass Organisationen Folgendes durchführen sollten: Risikobewertung zur Bestimmung der Art der Informationssicherheitsanforderungen für eine bestimmte Anwendung geeignet ist.

Während der Inhalt und die Art von Anforderungen an die Informationssicherheit Da die Anforderungen je nach Art der Anwendung variieren können, sollten sie Folgendes umfassen:

  • Der Grad des Vertrauens, der der Identität bestimmter Entitäten gemäß Kontrolle 5.17, 8.2 und 8.5 zugewiesen wird.
  • Identifizierung der Klassifizierungsebene Informationsressourcen zugeordnet auf der Anwendung gespeichert oder verarbeitet werden.
  • Ob eine Trennung des Zugriffs auf in der Anwendung gespeicherte Funktionen und Informationen erforderlich ist.
  • Ob die Anwendung widerstandsfähig gegen Cyberangriffe wie SQL-Injections oder unbeabsichtigte Abhörvorgänge wie Pufferüberlauf ist.
  • Gesetzliche, behördliche und gesetzliche Anforderungen und Standards, die für die von der Anwendung verarbeitete, generierte, gespeicherte oder abgeschlossene Transaktion gelten.
  • Datenschutzaspekte für alle Beteiligten.
  • Voraussetzungen für die Schutz vertraulicher Daten.
  • Schutz von Informationen während der Verwendung, während der Übertragung oder im Ruhezustand.
  • Ob sichere Verschlüsselung der Kommunikation zwischen allen relevanten Parteien ist notwendig.
  • Implementierung von Eingabekontrollen wie Eingabevalidierung oder Durchführung von Integritätsprüfungen.
  • Durchführung automatisierter Kontrollen.
  • Durchführen von Ausgabekontrollen unter Berücksichtigung der Personen, die Ausgaben sehen können, und der Zugriffsberechtigung.
  • Es müssen Beschränkungen für den Inhalt von „Freitext“-Feldern eingeführt werden, um die Verbreitung vertraulicher Daten auf unkontrollierbare Weise zu verhindern.
  • Anforderungen, die sich aus geschäftlichen Anforderungen ergeben, wie z. B. die Protokollierung von Transaktionen und Anforderungen zur Nichtabstreitbarkeit.
  • Anforderungen, die durch andere Sicherheitskontrollen wie Systeme zur Erkennung von Datenlecks gestellt werden.
  • Umgang mit Fehlermeldungen.


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Ergänzende Leitlinien zu Transaktionsdiensten

Control 8.26 verlangt von Organisationen, die folgenden sieben Empfehlungen zu berücksichtigen, wenn eine Anwendung Transaktionsdienste zwischen der Organisation und einem Partner anbietet:

  • Der Grad des Vertrauens, den jede Partei in der Transaktion in die Identität der anderen Partei erfordert.
  • Der erforderliche Grad an Vertrauen in die Integrität der übermittelten oder verarbeiteten Daten und die Identifizierung eines geeigneten Mechanismus zur Erkennung etwaiger Integritätsmängel, einschließlich Tools wie Hashing und digitale Signaturen.
  • Einrichtung eines Autorisierungsprozesses dafür, wer den Inhalt wesentlicher Transaktionsdokumente genehmigen, unterzeichnen oder abzeichnen darf.
  • Wahrung der Vertraulichkeit und Integrität der kritischen Dokumente und Nachweis des Versands und Empfangs dieser Dokumente.
  • Schutz und Wahrung der Integrität und Vertraulichkeit aller Transaktionen wie Bestellungen und Quittungen.
  • Anforderungen, für welchen Zeitraum Transaktionen vertraulich behandelt werden müssen.
  • Vertragliche und versicherungsbezogene Anforderungen.

Ergänzende Anleitung zu elektronischen Bestell- und Zahlungsanwendungen

Wenn Anwendungen Zahlungs- und elektronische Bestellfunktionen umfassen, sollten Organisationen Folgendes berücksichtigen:

  • Die Anforderungen stellen sicher, dass die Vertraulichkeit und Integrität der Bestellinformationen nicht gefährdet wird.
  • Bestimmen eines angemessenen Verifizierungsgrads zur Verifizierung der von einem Kunden bereitgestellten Zahlungsdaten.
  • Verhinderung des Verlusts oder der Vervielfältigung von Transaktionsinformationen.
  • Sicherstellen, dass informationsbezogene Informationen außerhalb einer öffentlich zugänglichen Umgebung gespeichert werden, beispielsweise auf einem Speichermedium im eigenen Intranet der Organisation.
  • Wenn Organisationen auf eine vertrauenswürdige externe Autorität angewiesen sind, beispielsweise bei der Ausstellung digitaler Signaturen, müssen sie sicherstellen, dass die Sicherheit in den gesamten Prozess integriert ist.

Ergänzende Anleitung zu Netzwerken

Wenn auf Anwendungen über Netzwerke zugegriffen wird, sind sie anfällig für Bedrohungen wie Vertragsstreitigkeiten, betrügerische Aktivitäten, Fehlleitungen, unbefugte Änderungen am Kommunikationsinhalt oder den Verlust der Vertraulichkeit sensibler Informationen.

Control 8.26 empfiehlt Organisationen eine umfassende Durchführung Risikobewertungen zur Identifizierung geeigneter Kontrollen wie der Einsatz von Kryptographie zur Gewährleistung der Sicherheit von Informationsübertragungen.



ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/8.26 ersetzt 27002:2013/(14.1.2 und 14.1.3)

Es gibt drei große Unterschiede zwischen den beiden Versionen.

Alle Anwendungen im Vergleich zu Anwendungen, die über öffentliche Netzwerke laufen

Die Version ISO 27002:2013 listete keine Anforderungen auf, die für alle Anwendungen gelten: Sie enthielt eine Liste von Informationssicherheitsanforderungen, die für Anwendungen, die über öffentliche Netzwerke laufen, berücksichtigt werden sollten.

Control 8.26 in der Version 2022, im Gegenteil, stellte eine Liste von Informationssicherheitsanforderungen bereit, die für alle Anwendungen gelten.

Weitere Hinweise zu elektronischen Bestell- und Zahlungsanwendungen

Control 8.26 in der Version 2022 enthält spezifische Anleitungen dazu Elektronische Bestell- und Zahlungsanwendungen. Im Gegensatz dazu wurde in der Version von 2013 darauf nicht eingegangen.

Zusätzliche Anforderung an Transaktionsdienste

Während die Version 2022 und die Version 2013 hinsichtlich der Anforderungen an Transaktionsdienste nahezu identisch sind, führt die Version 2022 eine zusätzliche Anforderung ein, die in der Version 2013 nicht berücksichtigt wurde:

  • Organisationen sollten vertragliche Anforderungen und Anforderungen im Zusammenhang mit Versicherungen berücksichtigen.

Neue ISO 27002-Kontrollen

Neue Steuerelemente
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.7 NEU Bedrohungsinformationen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30 NEU IKT-Bereitschaft für Geschäftskontinuität
7.4 NEU Physische Sicherheitsüberwachung
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.16 NEU Überwachungsaktivitäten
8.23 NEU Web-Filter
8.28 NEU Sichere Codierung
Organisatorische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.1 05.1.1, 05.1.2 Richtlinien zur Informationssicherheit
5.2 06.1.1 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3 06.1.2 Aufgabentrennung
5.4 07.2.1 Führungsaufgaben
5.5 06.1.3 Kontakt mit Behörden
5.6 06.1.4 Kontakt zu speziellen Interessengruppen
5.7 NEU Bedrohungsinformationen
5.8 06.1.5, 14.1.1 Informationssicherheit im Projektmanagement
5.9 08.1.1, 08.1.2 Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10 08.1.3, 08.2.3 Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11 08.1.4 Rückgabe von Vermögenswerten
5.12 08.2.1 Klassifizierung von Informationen
5.13 08.2.2 Kennzeichnung von Informationen
5.14 13.2.1, 13.2.2, 13.2.3 Informationsübertragung
5.15 09.1.1, 09.1.2 Zugriffskontrolle
5.16 09.2.1 Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3 Authentifizierungsinformationen
5.18 09.2.2, 09.2.5, 09.2.6 Zugangsrechte
5.19 15.1.1 Informationssicherheit in Lieferantenbeziehungen
5.20 15.1.2 Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21 15.1.3 Management der Informationssicherheit in der IKT-Lieferkette
5.22 15.2.1, 15.2.2 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24 16.1.1 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25 16.1.4 Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26 16.1.5 Reaktion auf Informationssicherheitsvorfälle
5.27 16.1.6 Aus Informationssicherheitsvorfällen lernen
5.28 16.1.7 Sammlung von Beweisen
5.29 17.1.1, 17.1.2, 17.1.3 Informationssicherheit bei Störungen
5.30 5.30 IKT-Bereitschaft für Geschäftskontinuität
5.31 18.1.1, 18.1.5 Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32 18.1.2 Rechte am geistigen Eigentum
5.33 18.1.3 Schutz von Aufzeichnungen
5.34 18.1.4 Privatsphäre und Schutz personenbezogener Daten
5.35 18.2.1 Unabhängige Überprüfung der Informationssicherheit
5.36 18.2.2, 18.2.3 Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37 12.1.1 Dokumentierte Betriebsabläufe
Menschenkontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
6.1 07.1.1 Rekrutierung
6.2 07.1.2 Beschäftigungsbedingungen
6.3 07.2.2 Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4 07.2.3 Disziplinarverfahren
6.5 07.3.1 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6 13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7 06.2.2 Fernarbeit
6.8 16.1.2, 16.1.3 Berichterstattung über Informationssicherheitsereignisse
Physikalische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
7.1 11.1.1 Physische Sicherheitsbereiche
7.2 11.1.2, 11.1.6 Physischer Eintritt
7.3 11.1.3 Absicherung von Büros, Räumen und Anlagen
7.4 NEU Physische Sicherheitsüberwachung
7.5 11.1.4 Schutz vor physischen und umweltbedingten Bedrohungen
7.6 11.1.5 Arbeiten in sicheren Bereichen
7.7 11.2.9 Klarer Schreibtisch und klarer Bildschirm
7.8 11.2.1 Standort und Schutz der Ausrüstung
7.9 11.2.6 Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Speichermedium
7.11 11.2.2 Unterstützende Versorgungsunternehmen
7.12 11.2.3 Verkabelungssicherheit
7.13 11.2.4 Wartung der Ausrüstung
7.14 11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten
Technologische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
8.1 06.2.1, 11.2.8 Benutzerendpunktgeräte
8.2 09.2.3 Privilegierte Zugriffsrechte
8.3 09.4.1 Beschränkung des Informationszugriffs
8.4 09.4.5 Zugriff auf Quellcode
8.5 09.4.2 Sichere Authentifizierung
8.6 12.1.3 Kapazitätsmanagement
8.7 12.2.1 Schutz vor Malware
8.8 12.6.1, 18.2.3 Management technischer Schwachstellen
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.13 12.3.1 Informationssicherung
8.14 17.2.1 Redundanz der Informationsverarbeitungseinrichtungen
8.15 12.4.1, 12.4.2, 12.4.3 Protokollierung
8.16 NEU Überwachungsaktivitäten
8.17 12.4.4 Uhrzeitsynchronisation
8.18 09.4.4 Verwendung privilegierter Hilfsprogramme
8.19 12.5.1, 12.6.2 Installation von Software auf Betriebssystemen
8.20 13.1.1 Netzwerksicherheit
8.21 13.1.2 Sicherheit von Netzwerkdiensten
8.22 13.1.3 Trennung von Netzwerken
8.23 NEU Web-Filter
8.24 10.1.1, 10.1.2 Verwendung von Kryptographie
8.25 14.2.1 Sicherer Entwicklungslebenszyklus
8.26 14.1.2, 14.1.3 Anforderungen an die Anwendungssicherheit
8.27 14.2.5 Sichere Systemarchitektur und technische Prinzipien
8.28 NEU Sichere Codierung
8.29 14.2.8, 14.2.9 Sicherheitstests in Entwicklung und Abnahme
8.30 14.2.7 Ausgelagerte Entwicklung
8.31 12.1.4, 14.2.6 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Änderungsmanagement
8.33 14.3.1 Testinformationen
8.34 12.7.1 Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISMS.online ist eine cloudbasierte Lösung, die Unternehmen dabei hilft, die Einhaltung von ISO 27002 nachzuweisen. Mit der ISMS.online-Lösung können die Anforderungen von verwaltet werden ISO 27002 und stellen Sie sicher, dass Ihre Organisation weiterhin dem neuen Standard entspricht.

Unsere Plattform ist benutzerfreundlich und unkompliziert. Es ist nicht nur für hochtechnische Personen geeignet; Es gilt für jeden in Ihrem Unternehmen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Sam Peters

Sam ist Chief Product Officer bei ISMS.online und leitet die Entwicklung aller Produktmerkmale und -funktionen. Sam ist ein Experte in vielen Compliance-Bereichen und arbeitet mit Kunden an maßgeschneiderten oder groß angelegten Projekten.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.