Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.30 „Outsourced Development“ fordert, dass Organisationen sicherstellen, dass Informationssicherheitsanforderungen auch dann vollständig eingehalten werden, wenn Softwareentwicklung an externe Parteien ausgelagert wird. Dies schließt sowohl vertragliche Regelungen als auch technisch-organisatorische Maßnahmen ein.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.29 „Security Testing in Development and Acceptance“ verpflichtet Organisationen dazu, Sicherheitstests systematisch in Entwicklungs- und Abnahmeprozesse zu integrieren, um Schwachstellen frühzeitig zu erkennen und zu beheben, bevor Systeme produktiv gehen.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.28 „Secure Coding“ verlangt, dass Organisationen sicherstellen, dass Softwareentwickler bewährte Methoden und Standards für sichere Programmierung anwenden, um Sicherheitslücken wie SQL-Injection, XSS oder Authentifizierungsfehler zu vermeiden. Diese Kontrolle konkretisiert die Umsetzung sicherer Softwareentwicklung auf Codeebene.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.27 „Secure System Architecture and Engineering Principles“ verlangt, dass Organisationen grundlegende Sicherheitsprinzipien und -standards beim Design und der Entwicklung von IT-Systemen und -Architekturen anwenden, um Sicherheitsrisiken systematisch zu minimieren – von der Infrastruktur bis zur Anwendung.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.26 „Application Security Requirements“ stellt sicher, dass Organisationen Sicherheitsanforderungen explizit für Anwendungen definieren und umsetzen, um Risiken wie Datenverlust, unautorisierte Zugriffe oder Schwachstellen durch unsichere Funktionen zu vermeiden.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.25 „Secure Development Life Cycle“ (SDLC) verlangt, dass Organisationen sicherstellen, dass Sicherheitsanforderungen systematisch in alle Phasen der Softwareentwicklung integriert werden – von der Planung über die Implementierung bis zum Betrieb. Ziel ist es, sichere Software zu entwickeln, die nicht durch Design-, Code- oder Betriebsfehler kompromittiert werden kann.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.24 „Use of Cryptography“ verpflichtet Organisationen dazu, Kryptografie systematisch und angemessen einzusetzen, um Vertraulichkeit, Integrität und ggf. Authentizität von Informationen zu gewährleisten – sowohl bei Speicherung als auch bei Übertragung.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.23 „Web Filtering“ fordert, dass Organisationen den Zugriff auf das Internet kontrollieren, um den Zugriff auf bösartige, unangemessene oder riskante Webinhalte zu verhindern. Ziel ist es, Sicherheitsrisiken durch Webnutzung zu reduzieren, z. B. durch Malware, Phishing oder Datenabfluss.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.22 „Segregation of Networks“ verlangt, dass Organisationen ihre Netzwerke sicherheitsbasiert segmentieren und voneinander trennen, um das Risiko unautorisierter Zugriffe und lateraler Bewegungen innerhalb der Infrastruktur zu reduzieren.
Ziel: Die Kontrolle ISO/IEC 27001:2022 – Annex A, 8.21 „Security of Network Services“ verpflichtet Organisationen dazu, sicherzustellen, dass alle bereitgestellten Netzwerkdienste – insbesondere durch Dritte – sicher konzipiert, implementiert und überwacht werden, um Risiken wie Datenabfluss, Manipulation oder Dienstunterbrechung zu minimieren.