Tối ưu hóa quá trình làm việc của bạn. Xem thêm
Đặt Lịch Demo

ISO 27002:2022, Kiểm soát 8.31 – Phân tách môi trường phát triển, thử nghiệm và sản xuất

ISO 27002:2022 Kiểm soát được sửa đổi
Đặt Lịch Demo

Không phân tách đúng cách môi trường phát triển, thử nghiệm và sản xuất có thể dẫn đến mất tính khả dụng, tính bảo mật và tính toàn vẹn của tài sản thông tin.

Ví dụ, Uber đã vô tình công bố một kho lưu trữ mã trên Github có chứa mật khẩu của người dùng từ môi trường sản xuất, dẫn đến mất tính bảo mật của thông tin nhạy cảm.

Do đó, các tổ chức nên triển khai các quy trình và biện pháp kiểm soát phù hợp để tách biệt an toàn các môi trường phát triển, thử nghiệm và sản xuất nhằm loại bỏ rủi ro bảo mật.

Mục đích của Kiểm soát 8.31

Kiểm soát 8.31 cho phép các tổ chức duy trì tính bảo mật, toàn vẹn và khả dụng của các tài sản thông tin nhạy cảm bằng cách phân tách các môi trường phát triển, thử nghiệm và sản xuất thông qua các quy trình, biện pháp kiểm soát và chính sách phù hợp.

Bảng Thuộc tính

Biện pháp kiểm soát 8.31 mang tính chất phòng ngừa và yêu cầu các tổ chức phải thiết lập và áp dụng trước các quy trình và biện pháp kiểm soát kỹ thuật để tách biệt an toàn các môi trường phát triển, thử nghiệm và sản xuất.

Loại điều khiểnThuộc tính bảo mật thông tinCác khái niệm về an ninh mạngKhả năng hoạt độngMiền bảo mật
#Phòng ngừa#Bảo mật
#Toàn vẹn
#Khả dụng		#Bảo vệ#Bảo mật ứng dụng
#Bảo mật hệ thống và mạng		#Sự bảo vệ

Quyền sở hữu kiểm soát 8.31

Xem xét rằng Kiểm soát 8.31 đòi hỏi việc thiết lập và triển khai các quy trình và biện pháp kiểm soát trên toàn tổ chức để phân tách các môi trường phần mềm khác nhau, giám đốc an ninh thông tin, với sự trợ giúp của nhóm phát triển, sẽ chịu trách nhiệm cuối cùng về việc tuân thủ.

Hướng dẫn chung về tuân thủ

Các tổ chức cần tính đến các vấn đề sản xuất tiềm ẩn cần được ngăn ngừa khi xác định mức độ tách biệt cần thiết giữa ba môi trường.

Đặc biệt, Control 8.31 khuyến nghị các tổ chức cân nhắc bảy tiêu chí sau:

  1. Phân tách và vận hành các hệ thống phát triển và sản xuất ở mức độ phù hợp. Ví dụ, việc sử dụng các môi trường ảo và vật lý riêng biệt cho sản xuất có thể là một phương pháp hiệu quả.
  2. Các quy tắc và thủ tục cấp phép phù hợp phải được thiết lập, ghi chép và áp dụng cho việc sử dụng phần mềm trong môi trường sản xuất sau khi trải qua môi trường phát triển.
  3. Các tổ chức nên xem xét và thử nghiệm những thay đổi được thực hiện đối với các ứng dụng và hệ thống sản xuất trong môi trường thử nghiệm tách biệt với môi trường sản xuất trước khi áp dụng những thay đổi này trong môi trường sản xuất.
  4. Không được phép thử nghiệm trong môi trường sản xuất trừ khi thử nghiệm đó được xác định và phê duyệt trước khi thử nghiệm.
  5. Các công cụ phát triển như trình biên dịch và trình soạn thảo không nên được truy cập từ môi trường sản xuất trừ khi việc truy cập này là hoàn toàn cần thiết.
  6. Để giảm thiểu lỗi, nhãn nhận dạng môi trường phù hợp phải được hiển thị rõ ràng trong menu.
  7. Không nên chuyển các thông tin nhạy cảm vào môi trường phát triển và thử nghiệm trừ khi các biện pháp bảo mật tương đương được áp dụng trong các hệ thống phát triển và thử nghiệm.

Hướng dẫn bổ sung về bảo vệ môi trường phát triển và thử nghiệm

Các tổ chức nên bảo vệ môi trường phát triển và thử nghiệm khỏi các rủi ro bảo mật bằng cách lưu ý đến những điều sau:

  • Tất cả các công cụ phát triển, tích hợp và thử nghiệm như trình xây dựng, tích hợp và thư viện đều phải được vá và cập nhật thường xuyên.
  • Tất cả các hệ thống và phần mềm phải được cấu hình an toàn.
  • Việc tiếp cận môi trường phải tuân theo các biện pháp kiểm soát phù hợp.
  • Những thay đổi về môi trường và mã được lưu trữ trong đó phải được theo dõi và xem xét.
  • Môi trường cần được giám sát và xem xét một cách an toàn.
  • Môi trường cần được sao lưu.

Hơn nữa, không một cá nhân nào được trao quyền thực hiện thay đổi trong cả môi trường phát triển và sản xuất mà không có sự chấp thuận trước. Để ngăn chặn điều này, các tổ chức có thể phân tách quyền truy cập hoặc thiết lập và triển khai kiểm soát truy cập.

Ngoài ra, các tổ chức cũng có thể cân nhắc các biện pháp kiểm soát kỹ thuật bổ sung như ghi lại mọi hoạt động truy cập và giám sát thời gian thực mọi hoạt động truy cập vào các môi trường này.

Hướng dẫn bổ sung về Kiểm soát 8.31

Nếu các tổ chức không thực hiện các biện pháp cần thiết, hệ thống thông tin của họ có thể phải đối mặt với rủi ro bảo mật đáng kể.

Ví dụ, các nhà phát triển và thử nghiệm có quyền truy cập vào môi trường sản xuất có thể thực hiện những thay đổi không mong muốn đối với các tệp hoặc môi trường hệ thống, thực thi mã trái phép hoặc vô tình tiết lộ thông tin nhạy cảm.

Do đó, các tổ chức cần một môi trường ổn định để thực hiện thử nghiệm mạnh mẽ trên mã và ngăn chặn các nhà phát triển truy cập vào môi trường sản xuất nơi lưu trữ và xử lý dữ liệu nhạy cảm trong thế giới thực.

Các tổ chức cũng nên áp dụng các biện pháp như phân công vai trò cùng với yêu cầu phân tách nhiệm vụ.

Một mối đe dọa khác đối với tính bảo mật của dữ liệu sản xuất là nhân viên phát triển và thử nghiệm. Khi các nhóm phát triển và thử nghiệm thực hiện các hoạt động của họ bằng cùng một thiết bị điện toán, họ có thể vô tình thay đổi thông tin nhạy cảm hoặc chương trình phần mềm.

Các tổ chức được khuyến cáo nên thiết lập các quy trình hỗ trợ cho việc sử dụng dữ liệu sản xuất trong các hệ thống thử nghiệm và phát triển theo tuân thủ Kiểm soát 8.33.

Hơn nữa, các tổ chức nên lưu ý đến các biện pháp nêu trong Kiểm soát này khi thực hiện đào tạo người dùng cuối trong môi trường đào tạo.

Cuối cùng nhưng không kém phần quan trọng, các tổ chức có thể cố tình làm mờ ranh giới giữa môi trường phát triển, thử nghiệm và sản xuất. Ví dụ, thử nghiệm có thể được thực hiện trong môi trường phát triển hoặc thử nghiệm sản phẩm có thể được thực hiện bằng cách sử dụng thực tế sản phẩm của nhân viên trong tổ chức.

Những thay đổi và khác biệt so với ISO 27002:2013

27002:2022/8.31 thay thế 27002:2013/(12.1.4 và 14.2.6)

Mặc dù hai phiên bản này khá giống nhau nhưng vẫn có hai điểm khác biệt cần được nêu bật.

Kiểm soát 14.2.6 trong Phiên bản 2013 Cung cấp Hướng dẫn Chi tiết hơn về Môi trường Phát triển An toàn

Tiêu chuẩn 14.2.6 trong phiên bản 2013 đề cập đến môi trường phát triển an toàn và liệt kê 10 khuyến nghị mà các tổ chức nên lưu ý khi xây dựng môi trường phát triển.

Ngược lại, phiên bản 2022 không bao gồm một số khuyến nghị như sao lưu tại vị trí ngoài và hạn chế việc truyền dữ liệu.

Kiểm soát 8.31 Giải quyết Kiểm tra Sản phẩm và Sử dụng Dữ liệu Sản xuất

Ngược lại với phiên bản năm 2013, Kiểm soát 8.31 trong Phiên bản năm 2022 cung cấp hướng dẫn về cách thực hiện thử nghiệm sản phẩm và cách sử dụng dữ liệu sản xuất theo Kiểm soát 8.33.

ISOA.vn giúp ích như thế nào

Với ISOA.vn , bạn sẽ có quyền truy cập vào bộ công cụ và tài nguyên đầy đủ để giúp quản lý Hệ thống quản lý bảo mật thông tin (ISMS) ISO 27001 của riêng bạn, cho dù bạn là người mới hay đã được chứng nhận.

Hơn nữa, ISOA.vn cung cấp các quy trình tự động giúp đơn giản hóa toàn bộ quy trình đánh giá. Các quy trình này tiết kiệm đáng kể thời gian quản trị so với các phương pháp làm việc khác.

Bạn sẽ có được sự khởi đầu thuận lợi với các chính sách và biện pháp kiểm soát ISO 27001 từ ISOA.vn.

Quy trình làm việc trực quan, công cụ, khuôn khổ, chính sách và biện pháp kiểm soát, tài liệu hướng dẫn và thực tế cũng như hướng dẫn thực tế giúp triển khai ISO 27001 dễ dàng bằng cách xác định phạm vi, xác định rủi ro và triển khai các biện pháp kiểm soát dựa trên thuật toán của chúng tôi – cho dù chúng được tạo từ đầu hay dựa trên các mẫu thông lệ tốt nhất trong ngành.

Hãy liên hệ với chúng tôi ngay hôm nay để lên lịch trình demo.

Điều khiển mới

 
Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
5.7MớiTình báo đe dọa
5.23MớiBảo mật thông tin khi sử dụng dịch vụ đám mây
5.30MớiSự sẵn sàng của CNTT cho tính liên tục của hoạt động kinh doanh
7.4MớiGiám sát an ninh vật lý
8.9MớiQuản lý cấu hình
8.10MớiXóa thông tin
8.11MớiChe giấu dữ liệu
8.12MớiPhòng chống rò rỉ dữ liệu
8.16MớiHoạt động giám sát
8.23MớiLọc web
8.28MớiMã hóa an toàn
 

Kiểm soát tổ chức

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
5.105.11, 05.1.2Chính sách bảo mật thông tin
5.206.1.1Vai trò và trách nhiệm bảo mật thông tin
5.306.1.2Phân chia nhiệm vụ
5.407.2.1Trách nhiệm quản lý
5.506.1.3Liên hệ với chính quyền
5.606.1.4Liên hệ với các nhóm lợi ích đặc biệt
5.7MớiTình báo đe dọa
5.806.1.5, 14.1.1An ninh thông tin trong quản lý dự án
5.908.11, 08.12Kiểm kê thông tin và các tài sản liên quan khác
5.1008.13, 08.2.3Việc sử dụng thông tin và các tài sản liên quan khác được chấp nhận
5.1108.1.4Trả lại tài sản
5.1208.2.1Phân loại thông tin
5.1308.2.2Ghi nhãn thông tin
5.1413.2.1, 13.2.2, 13.2.3Chuyển giao thông tin
5.1509.1.1, 09.1.2Kiểm soát truy cập
5.1609.2.1Quản lý danh tính
5.1709.2.4, 09.3.1, 09.4.3Thông tin xác thực
5.1809.2.2, 09.2.5, 09.2.6Quyền truy cập
5.1915.1.1Bảo mật thông tin trong mối quan hệ với nhà cung cấp
5.2015.1.2Xử lý vấn đề bảo mật thông tin trong các thỏa thuận với nhà cung cấp
5.2115.1.3Quản lý an ninh thông tin trong chuỗi cung ứng ICT
5.2215.2.1, 15.2.2Giám sát, xem xét và quản lý thay đổi các dịch vụ của nhà cung cấp
5.23MớiBảo mật thông tin khi sử dụng dịch vụ đám mây
5.2416.1.1Lập kế hoạch và chuẩn bị quản lý sự cố an ninh thông tin
5.2516.1.4Đánh giá và quyết định về các sự kiện an ninh thông tin
5.2616.1.5Phản hồi sự cố an ninh thông tin
5.2716.1.6Rút kinh nghiệm từ các sự cố an ninh thông tin
5.2816.1.7Thu thập bằng chứng
5.2917.1.1, 17.1.2, 17.1.3An ninh thông tin trong thời gian gián đoạn
5.30MớiSự sẵn sàng của CNTT cho tính liên tục của hoạt động kinh doanh
5.3118.1.1, 18.1.5Yêu cầu pháp lý, quy định, quy định và hợp đồng
5.3218.1.2Quyền sở hữu trí tuệ
5.3318.1.3Bảo vệ hồ sơ
5.3418.1.4Quyền riêng tư và bảo vệ PII
5.3518.2.1Đánh giá độc lập về an ninh thông tin
5.3618.2.2, 18.2.3Tuân thủ các chính sách, quy tắc và tiêu chuẩn về bảo mật thông tin
5.3712.1.1Quy trình vận hành được ghi chép lại

Kiểm soát con người

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
6.107.1.1Kiểm tra
6.207.1.2Điều khoản và điều kiện tuyển dụng
6.307.2.2Nhận thức, giáo dục và đào tạo về an ninh thông tin
6.407.2.3Quy trình kỷ luật
6.507.3.1Trách nhiệm sau khi chấm dứt hoặc thay đổi việc làm
6.613.2.4Thỏa thuận bảo mật hoặc không tiết lộ
6.706.2.2Làm việc từ xa
6.816.1.2, 16.1.3Báo cáo sự kiện bảo mật thông tin

Kiểm soát vật lý

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
7.111.1.1Chu vi an ninh vật lý
7.211.1.2, 11.1.6Nhập cảnh vật lý
7.311.1.3Bảo vệ văn phòng, phòng và cơ sở vật chất
7.4MớiGiám sát an ninh vật lý
7.511.1.4Bảo vệ chống lại các mối đe dọa về vật lý và môi trường
7.611.1.5Làm việc ở những khu vực an toàn
7.711.2.9Dọn dẹp bàn làm việc và màn hình sạch sẽ
7.811.2.1Vị trí và bảo vệ thiết bị
7.911.2.6Bảo vệ tài sản ngoài cơ sở
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Phương tiện lưu trữ
7.1111.2.2Tiện ích hỗ trợ
7.1211.2.3Bảo mật cắp
7.1311.2.4Bảo trì thiết bị
7.1411.2.7Xử lý an toàn hoặc tái sử dụng thiết bị

Kiểm soát công nghệ

Mã định danh kiểm soát ISO/IEC 27002:2022Mã định danh kiểm soát ISO/IEC 27002:2013Tên điều khiển
8.106.2.1, 11.2.8Thiết bị đầu cuối của người dùng
8.209.2.3Quyền truy cập đặc quyền
8.309.4.1Hạn chế truy cập thông tin
8.409.4.5Truy cập vào mã nguồn
8.509.4.2Xác thực an toàn
8.612.1.3Quản lý năng lực
8.712.2.1Bảo vệ chống lại phần mềm độc hại
8.812.6.1, 18.2.3Quản lý lỗ hổng kỹ thuật
8.9MớiQuản lý cấu hình
8.10MớiXóa thông tin
8.11MớiChe giấu dữ liệu
8.12MớiPhòng chống rò rỉ dữ liệu
8.1312.3.1Sao lưu thông tin
8.1417.2.1Sự dư thừa của các cơ sở xử lý thông tin
8.1512.4.1, 12.4.2, 12.4.3Ghi nhật ký
8.16MớiHoạt động giám sát
8.1712.4.4Đồng bộ hóa đồng hồ
8.1809.4.4Sử dụng các chương trình tiện ích đặc quyền
8.1912.5.1, 12.6.2Cài đặt phần mềm trên hệ điều hành
8.2013.1.1Bảo mật mạng
8.2113.1.2Bảo mật dịch vụ mạng
8.2213.1.3Phân tách mạng lưới
8.23MớiLọc web
8.2410.11, 10.1.2Sử dụng mật mã
8.2514.2.1Vòng đời phát triển an toàn
8.2614.1.2, 14.1.3Yêu cầu bảo mật ứng dụng
8.2714.2.5Kiến trúc hệ thống an toàn và các nguyên tắc kỹ thuật
8.28MớiMã hóa an toàn
8.2914.2.8, 14.2.9Kiểm tra bảo mật trong quá trình phát triển và chấp nhận
8.3014.2.7Phát triển thuê ngoài
8.3112.1.4, 14.2.6Phân tách môi trường phát triển, thử nghiệm và sản xuất
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Quản lý thay đổi
8.3314.3.1Thông tin kiểm tra
8.3412.7.1Bảo vệ hệ thống thông tin trong quá trình kiểm tra kiểm toán

Nội dung

Bắt đầu với ISO 27002

Giải pháp tuân thủ duy nhất
bạn cần

Đặt Lịch Demo

Thành công 100% ISO 27001

Con đường đơn giản, thiết thực và tiết kiệm thời gian của bạn để đạt được chứng nhận hoặc tuân thủ ISO 27001 lần đầu tiên

Đặt Lịch Demo

Tiêu Chuẩn

Công Ty

Hỗ Trợ

Theo Dõi

Facebook Twitter Youtube

Bản quyền © 2025 ISO Academy

Đặt Lịch Demo