Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.34 „Protection of Information Systems During Audit Testing“ verlangt, dass Informationen und Systeme bei internen oder externen Prüfungen vor unbeabsichtigten oder beabsichtigten Beeinträchtigungen geschützt werden. Obwohl Audits wichtig sind, können sie selbst Sicherheitsrisiken erzeugen, wenn sie unsachgemäß durchgeführt werden – z. B. durch unsichere Tools, unkontrollierten Zugriff oder […]

Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.33 „Test Information“ verlangt, dass alle Informationen, die im Rahmen von Tests verwendet oder erzeugt werden, angemessen geschützt werden. Das betrifft insbesondere Testdaten, Testskripte, Testsysteme und Testergebnisse, da sie sensible Informationen enthalten und ein Sicherheitsrisiko darstellen können, wenn sie kompromittiert werden.

Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.32 „Change Management“ verlangt von Organisationen, dass alle Änderungen an Informationssystemen, -diensten oder -komponenten gesteuert, dokumentiert und risikobasiert bewertet werden, um ungeplante Störungen, Sicherheitsvorfälle oder Compliance-Verstöße zu vermeiden.

Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.31 „Separation of Development, Test and Production Environments“ verlangt von Organisationen, dass sie ihre Entwicklungs-, Test- und Produktionsumgebungen klar voneinander trennen, um unbefugte Änderungen, Datenlecks und Sicherheitsvorfälle zu vermeiden.

Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.30 „Outsourced Development“ fordert, dass Organisationen sicherstellen, dass Informationssicherheitsanforderungen auch dann vollständig eingehalten werden, wenn Softwareentwicklung an externe Parteien ausgelagert wird. Dies schließt sowohl vertragliche Regelungen als auch technisch-organisatorische Maßnahmen ein.

Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.29 „Security Testing in Development and Acceptance“ verpflichtet Organisationen dazu, Sicherheitstests systematisch in Entwicklungs- und Abnahmeprozesse zu integrieren, um Schwachstellen frühzeitig zu erkennen und zu beheben, bevor Systeme produktiv gehen.

Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.28 „Secure Coding“ verlangt, dass Organisationen sicherstellen, dass Softwareentwickler bewährte Methoden und Standards für sichere Programmierung anwenden, um Sicherheitslücken wie SQL-Injection, XSS oder Authentifizierungsfehler zu vermeiden. Diese Kontrolle konkretisiert die Umsetzung sicherer Softwareentwicklung auf Codeebene.

Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.27 „Secure System Architecture and Engineering Principles“ verlangt, dass Organisationen grundlegende Sicherheitsprinzipien und -standards beim Design und der Entwicklung von IT-Systemen und -Architekturen anwenden, um Sicherheitsrisiken systematisch zu minimieren – von der Infrastruktur bis zur Anwendung.

Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.26 „Application Security Requirements“ stellt sicher, dass Organisationen Sicherheitsanforderungen explizit für Anwendungen definieren und umsetzen, um Risiken wie Datenverlust, unautorisierte Zugriffe oder Schwachstellen durch unsichere Funktionen zu vermeiden.

Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.25 „Secure Development Life Cycle“ (SDLC) verlangt, dass Organisationen sicherstellen, dass Sicherheitsanforderungen systematisch in alle Phasen der Softwareentwicklung integriert werden – von der Planung über die Implementierung bis zum Betrieb. Ziel ist es, sichere Software zu entwickeln, die nicht durch Design-, Code- oder Betriebsfehler kompromittiert werden kann.