ISO 27002 гэж юу вэ? ISO/IEC 27002:2022 нь Олон улсын стандартчиллын байгууллага (ISO) болон Олон улсын цахилгаан техникийн хорооноос (IEC) хамтран боловсруулсан мэдээллийн аюулгүй байдлын стандарт юм. ISO 27002 нь ISO 27001 үндсэн шаардлагыг агуулдаг стандарттай нягт холбоотой бөгөөд мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог хэрэгжүүлэх заавар мэдээллийг агуулж байдаг. ISO/IEC 27002 нь мэдээллийн аюулгүй байдал, кибер аюулгүй байдал, хувийн мэдээллийн нууцлалыг хамгаалахтай холбоотой хэрэгжүүлэх хяналтын лавлагааны багц бөгөөд олон улсад хүлээн зөвшөөрөгдсөн шилдэг туршлагад суурилсан хэрэгжилтийн удирдамж гэж ойлгож болно. Тодруулж хэлбэл, ISO 27002 нь өөрөө баталгаажуулалт шаарддаг үндсэн стандарт биш боловч мэдээллийн аюулгүй байдал, бодит аюулгүй байдал, кибер аюулгүй байдал, хувийн мэдээллийн нууцлалыг хангахтай холбоотой удирдамжийг агуулдаг тул танай байгууллагыг ISO 27001 стандартын шаардлагыг хангасан гэрчилгээ шаардлагыг хангахад нэг алхам ойртуулна.
Хэрэв танай байгууллага мэдээлэл цуглуулж, ашигладаг эсвэл боловсруулдаг бол мэдээллийн аюулгүй байдалдаа онцгой анхаарах хэрэгтэй. Өөрөөр хэлбэл мэдээллийн аюулгүй байдлын эрсдэл, аюул заналхийлэл үргэлж дэргэд тань байх болно гэсэн үг. Эрсдэлээс сэргийлэхийн тулд та бүх мэдээлэл, мэдээллийн хөрөнгийн нууцлал, хүртээмж, бүрэн бүтэн байдал, хүртээмжтэй байдлаа хангах мэдээллийн аюулгүй байдлын удирдлагын тогтолцоог хэрэгжүүлсэн байх хэрэгтэй. Мэдээллийн аюулгүй байдлын чиглэлээр бизнесүүдэд тулгарч буй гол бэрхшээл бол түүний өргөн цар хүрээ юм. МАБУТ-г хэрэгжүүлэх, ажиллуулах, сайжруулах үйл явц нь байгууллагын хувьд өргөн хүрээг хамардаг тул байгууллагын ажилтнууд болон удирдлагууд хаанаас эхлэхээ сайн мэдэхгүй байх нь түгээмэл. Хэрвээ танд болон танай байгууллагын хувьд ийм төрлийн эргэлзээ байвал ISO/IEC 27002 стандартад заасан хяналтыг хэрэгжүүлэх нь маш сайн эхлэл байх болно гэдгийг зөвлөе.
ISO 27002-д заасан мэдээллийн аюулгүй байдлын хяналтуудыг хэрэгжүүлснээр байгууллага өөрийн мэдээллийн хөрөнгийг олон улсад хүлээн зөвшөөрөгдсөн, батлагдсан шилдэг туршлагын дагуу хамгаалах болно. Стандартын удирдамж болгож буй арга хэмжээ дагаж мөрдвөл дараах үр өгөөжийг хүртэх боломжтой.
Мэдээллийн аюулгүй байдал, кибер аюулгүй байдал, бодит аюулгүй байдал, мэдээллийн нууцлалын асуудлыг шийдвэрлэх боломжийг бүрдүүлдэг.
- Үйлчлүүлэгч, харилцагчид болон бизнесийн түншүүд илүү итгэлтэй болж мэдээллийн аюулгүй байдлын хяналтыг хэрэгжүүлдэг байгууллагыг эерэгээр харах болно.
- Бодлого, журам нь олон улсад хүлээн зөвшөөрөгдсөн аюулгүй байдлын шаардлага төдийгүй хууль эрх зүйн шаардлагад нийцэх тул олон улсын түншүүдтэй хамтран ажиллах нь илүү хялбар байхаас гадна зохицуулагч байгууллагуудыг шаардлагыг хялбар хэрэгжүүлэх боломжтой байдаг.
- Стандартыг дагаж мөрдөх нь нийт бүтээмжийг нэмэгдүүлэх байгууллагын шилдэг туршлагыг хөгжүүлэхэд тусалдаг.
- Мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны тодорхой хэрэгжилт, удирдлага, засвар үйлчилгээ, үнэлгээг өгдөг.
- ISO стандартад нийцсэн байгууллага нь гэрээ хэлэлцээр хийх, дэлхийн бизнесийн боломжуудад оролцох давуу талтай.
- ISO 27002 мэдээллийн аюулгүй байдлын хяналтыг дагаж мөрдвөл үйлчилгээ үзүүлэгчдийн даатгалын шимтгэл багасах боломжтой.
ISO 27001 стандартыг дагаж мөрдөхийг хэрэгжүүлэх зааварчилгааг ISO 27000 стандартын бүлэгт өргөн иш татдаг, үүнд ISO 27701. ISO 27002 мэдээллийн аюулгүй байдлын хяналтыг ижил төстэй стандартуудтай харьцуулж болно, жишээлбэл. NIST, SOC2, CIS гэх мэт.
Олон улсын стандартууд нь бизнесийн болон бусад салбаруудын хөгжил, дэвшил, өөрчлөлт, мэдээллийн аюулгүй байдлын нөхцөл байдалд тулгуурлан тодорхой хугацаанд шинэчлэгдэн сайжруулагдаж байдаг. Энэ ч утгаараа ISO 27002: 2022 стандартын шинэчилсэн найруулга 2022 оны 2-р сарын 15-нд олон нийтэд танилцуулагдан нийтлэгдсэн. Энэхүү шинэчлэгдсэн хувилбарыг дагаж уг стандарттай холбоотой эсвэл тэдгээрийг ашигладаг бүхий л талуудад энэхүү өөрчлөлт нь тодорхой нөлөөлөл үзүүлэх болно.
Шинэ стандартын хувьд хамгийн томоохон өөрчлөлт нь “үйл ажиллагааны дүрэм”-ээс татгалзаж, дангаараа бие даан ажиллах боломжтой мэдээллийн аюулгүй байдлын хяналтуудыг хэрэгжүүлэх боломжийг бий болгосон явдал юм. Шинэчлэгдсэн стандарт нь байгууллагын хэмжээнд хэрэглэхэд илүү хялбар бүтэцтэй болсон. ISO 27002 стандартын шинэчилсэн хувилбар нь эрсдэлийн профайлыг илүү өргөн хүрээнд удирдах боломжийг бүрдүүлсэн. Үүнд мэдээллийн аюулгүй байдал, бодит аюулгүй байдал, хөрөнгийн удирдлага, кибер аюулгүй байдал, хүний нөөцийн аюулгүй байдлын элементүүд болон хувийн нууцлалыг хамгаалах зэргийг тодотгож өгсөн.
Шинэчлэгдсэн стандартын нэрийг харьцуулан харвал зарим өөрчлөлтийг таамаглаж болно.
- Өмнө нь ISO 27002:2013 стандартыг “Мэдээллийн технологи – Аюулгүй байдлын техникүүд – Мэдээллийн аюулгүй байдлын хяналтын дүрэм” гэж нэрлэж байсан.
- Шинэчилсэн найруулгад “Мэдээллийн аюулгүй байдал, Кибер аюулгүй байдал, нууцлалын хамгаалалт – Мэдээллийн аюулгүй байдлын хяналт” гэж нэрлэсэн.
Орчин үеийн нийцлийн шаардлагууд болон бусад төрлийн дүрэм журам, жишээлбэл. GDPR болон бизнесийн тасралтгүй байдал, байгууллагуудад тулгарч буй кибер эрсдэл, мэдээллийн аюулгүй байдлын хяналтын цар хүрээг өргөжүүлэлтийн чиглэлээр ISO 27002 стандартын шаардлага зарим талаараа хоцорч байсан. Энэхүү шаардлагуудыг тооцож (2022) шинэчилсэн найруулгын зорилго нь мэдээллийн аюулгүй байдлын хяналтын зорилтуудын лавлагааны багцыг мэдээллийн аюулгүй байдал, нууцлал, кибер аюулгүй байдлын эрсдэлийн менежментэд ашиглах хамрах хүрээг өргөжүүлэх явдал байсан.
ISO 27002:2022 нь ISO 27002:2013-аас юугаараа ялгаатай вэ?
Ерөнхийдөө ISO 27002:2022 стандартын шинэ хувилбар дахь аюулгүй байдлын хяналтын тоо 2013 оны хэвлэлд 14 заалтын 114 хяналтаас 2022 оны хувилбарт 93 хяналт болж бууруулсан бөгөөд аюулгүй байдлын хяналтыг дөрвөн хяналтын “сэдэв” болгон ангилан гаргасан. “Хяналт” гэдэг нь эрсдэлийг өөрчлөх эсвэл хадгалах арга хэмжээ гэж тодорхойлогддог. Жишээлбэл, мэдээллийн аюулгүй байдлын бодлого нь зөвхөн эрсдэлийг хадгалах боломжтой, харин мэдээллийн аюулгүй байдлын бодлогыг дагаж мөрдөх нь эрсдэлийг өөрчлөх боломжтой. Түүнчлэн, зарим хяналт нь эрсдэлийн өөр өөр нөхцөлд ижил ерөнхий хэмжүүрийг тодорхойлдог.
Хяналтын багцуудыг одоогийн арван дөрвөн (14) хяналтын бүлгийн оронд дөрвөн (4) аюулгүй байдлын ангилал болгон дараах байдлаар өөрчилсөн. (өмнө нь A5-аас A.18 хүртэл)
Хяналтын дөрвөн ангилалд:
- Зохион байгуулалт
- Хүмүүс
- Бодит
- Технологи
27002-ийн шинэ хувилбар нь нийт 93 хяналтыг агуулах бөгөөд эдгээрийн 11 нь шинээр нэмэгдсэн орсон. 2013 оны хувилбараас нийт 24 хяналтыг нэгтгэсэн бөгөөд ISO 27002:2013 стандартын 58 хяналтыг одоогийн кибер аюулгүй байдал, мэдээллийн аюулгүй байдлын орчинтой уялдуулах үүднээс өөрчлөн оруулсан байна.
Хавсралт А -д шинж чанаруудыг хэрэглэх зааварчилгааг агуулсан.
Хавсралт Б нь ISO/IEC 27001 2013-тай тохирох бөгөөд үндсэндээ юу нь шинэ, юуг нийлүүлсэн талаар лавлагааг агуулах бөгөөд илүү хялбар болгох үүднээс хяналтын дугаар/танигчдыг хооронд нь холбосон хоёр хүснэгтээс бүрдэнэ.
Шинээр нэмэгдсэн 11 хяналт:
- Threat intelligence
- Information security for the use of cloud services
- ICT Readiness for Business Continuity
- Physical security monitoring
- Configuration management
- Information deletion
- Data masking
- Data leakage prevention
- Monitoring activities
- Web filtering
- Secure coding
ISO 27002-ийн шинэчлэгдсэн хувилбарт орж ирсэн шинж чанар буюу атрибут нь хяналтыг ангилах хэрэгсэл юм. Эдгээр нь танд хяналтын сонголтоо салбарын нийтлэг хэл, стандарттай хурдан уялдуулах боломжийг олгоно. Дараах шинж чанарууд нийтлэг байдлаар тодорхойлогдсон:
- Хяналтын төрөл
- Мэдээллийн аюулгүй байдлын шинж чанар
- Кибер аюулгүй байдлын үзэл баримтлал
- Үйл ажиллагааны боломж
- Хамгаалалтын домэйн
Шинж чанаруудыг ашиглах нь байгууллагын эрсдэлийн үнэлгээ болон нийцлийн тунхаг (SOA) -н хүрээнд үндсэн ажлыг дэмжих боломжийг бүрдүүлнэ гэж үзсэн. Жишээлбэл, NIST болон CIS-ийн хяналттай төстэй кибер аюулгүй байдлын үзэл баримтлалыг ялгаж, бусад стандартуудтай холбоотой үйл ажиллагааны боломжийг таньж мэдэх боломжийг олгоно. Хяналт бүрийн хувьд санал болгож буй шинж чанаруудын багцыг ISO 27002:2022-ын А хавсралт нь санал болгож буй холбоодын багцыг өгдөг.
Мэдээллийн аюулгүй байдлын шинж чанарууд
Мэдээллийн аюулгүй байдал нь мэдээллийн янз бүрийн хэлбэрийг хамгаалах хамгаалалтыг хамаардаг бөгөөд үүнийг нийтлэг байдлаар нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдал загвараар илэрхийлж болно. Үүнийг ойлгох нь мэдээллийн аюулгүй байдлын үр дүнтэй хяналтыг боловсруулж, хэрэгжүүлэх боломжийг олгодог. Эдгээрийг шинэчлэгдсэн стандартын хувьд хяналтын мэдээллийн аюулгүй байдлын шинж чанарууд гэж тодорхойлсон.
Нууцлал – Мэдээллийн нууцлал гэдэг нь мэдээлэл зөвшөөрөлгүй хандалтаас хамгаалагдсан байх ёстой гэсэн үг юм. Мэдээллийн эмзэг чухал байдлаас нь хамааруулж түүнд хандах эрхийг тодорхойлох шаардлагатай. Нууцлалыг хангах зарим түгээмэл аргуудад шифрлэх, хандалтын хяналтын жагсаалт, файлын зөвшөөрлүүд орно.
Бүрэн бүтэн байдал – Мэдээллийн бүрэн бүтэн байдал нь мэдээлэл аливаа зөвшөөрөлгүй өөрчлөлтөөс хамгаалагдсан байхыг илэрхийлнэ.
Хүртээмжтэй байдал – Хүртээмж байдал нь мэдээлэлд шаардлагатай үед шаардлагатай хүмүүст хүрэх боломжтой байх тухай ойлголт юм. Мэдээллийн аюулгүй байдлын эрсдэлүүдэд хорлон сүйтгэх ажиллагаа, техник хангамжийн эвдрэл, сүлжээний доголдол, цахилгаан тасалдал зэргүүдийг хэлж болох бөгөөд эдгээр нь мэдээллийн аюулгүй байдлын хүртээмжтэй байдалд илүү хамаардаг. Мэдээллийн аюулгүй байдлын эдгээр гурван бүрэлдэхүүн хэсэг нь хоорондоо уялдаа холбоотой бөгөөд та тэдгээрийн аль нэгэнд нь анхаарлаа төвлөрүүлж, бусдыг нь үл тоох боломжгүй юм.
Кибер аюулгүй байдлын үзэл баримтлал
Кибер аюулгүй байдлын үзэл баримтлалын шинж чанаруудыг стандартын 2022 оны шинэчилсэн найруулгын хүрээнд шинээр орж ирсэн. Эдгээр шинж чанарын утгууд нь тодорхойлох, хамгаалах, илрүүлэх, хариу өгөх, сэргээх гэсэн хэсгүүдээс бүрдэнэ. Энэ нь ISO 27002 стандартыг ISO/IEC TS 27110, NIST Кибер аюулгүй байдлын хүрээ (CSF) болон өмнө дурдсантай ижил төстэй стандартуудтай нийцүүлэх боломжийг өгч байгаа юм.
Тодорхойлох – Систем, хөрөнгө, өгөгдөл, чадавхад үзүүлэх кибер аюулгүй байдлын эрсдэлийг удирдах талаар байгууллагын ойлголтыг бий болгох, хөгжүүлэх;
Хамгаалах – Дэд бүтцийн чухал үйлчилгээг хүргэх хамгаалалтын арга хэмжээг боловсруулж хэрэгжүүлэх;
Илрүүлэх – Кибер аюулгүй байдлын аливаа үйл явдал тохиолдсоныг тодорхойлох зохих арга хэмжээг боловсруулж хэрэгжүүлэх;
Хариу өгөх – Илрүүлсэн кибер аюулгүй байдлын үйл явдлын хариуд арга хэмжээ авах зохих арга хэмжээг бий болгож, хэрэгжүүлэх;
Сэргээх – Кибер аюулгүй байдлын үйл явдлын улмаас эвдэрсэн аливаа чадавх, үйлчилгээг сэргээх, уян хатан байдлын төлөвлөгөөг хадгалахын тулд зохих арга хэмжээг боловсруулж хэрэгжүүлэх;
Үйл ажиллагааны чадавх
Үйл ажиллагааны чадавх нь мэдээллийн аюулгүй байдлын боломжуудыг хянах шинж чанар юм. Үүнд: засаглалын хөрөнгийн удирдлага, мэдээллийн хамгаалалт, хүний нөөцийн аюулгүй байдал, бодит аюулгүй байдал, систем болон сүлжээний аюулгүй байдал, програмын аюулгүй байдал, аюулгүй тохиргоо, таних болон хандалтын удирдлага, аюул занал, эмзэг байдлын удирдлага, тасралтгүй байдал, ханган нийлүүлэгчийн харилцааны аюулгүй байдал, хууль эрх зүйн болон нийцэл, мэдээллийн аюулгүй байдлын үйл явдлын удирдлага, мэдээллийн аюулгүй байдлын баталгаа.
Хамгаалалтын домэйнууд
Аюулгүй байдлын домэйн нь хяналтыг мэдээллийн аюулгүй байдлын дөрвөн чиглэлийн үүднээс авч үзэх шинж чанар юм: “Засаглал ба экосистем” гэдэгт “Мэдээллийн системийн аюулгүй байдлын засаглал ба эрсдэлийн удирдлага” болон “Экосистемийн кибер аюулгүй байдлын удирдлага” (дотоод болон гадаад оролцогч талуудыг оролцуулан);
- Хяналт нь янз бүрийн хэлбэрүүдтэй байж болно (жишээлбэл, нөөцлөлт нь хортой программ хангамж, хакердах, алдаа, осол, механик эвдрэл, гал түймэр гэх мэтээс хамгаалахад тусалдаг ба чухал хүмүүс, өөр ханган нийлүүлэгч/шаардлагатай мэдээллийн үйлчилгээний эх сурвалжийг орлуулах, олон ур чадвартай орлуулалтыг багтааж болно).
- Аливаа програм эсвэл нөхцөл байдалд хэд хэдэн хяналт шаардлагатай байдаг (жишээ нь: нөөцлөлт, танин мэдэхүй, хортой кодын эсрэг үйлчилгээ, сүлжээнд нэвтрэх хяналт, IDS/IPS гэх мэт зүйлсийг ашиглан хортой програмыг багасгах боломжтой. )
- Бидний байнга ашигладаг хяналтууд (жишээ нь, нөөцлөлтүүд) нь бүхэлдээ эсвэл хэд хэдэн жижиг элементүүдээс (жишээ нь, нөөцлөлт нь стратеги, бодлого, журам, програм хангамж, техник хангамжийн туршилт, ослыг сэргээх, физик хамгаалалт гэх мэт) бүрддэг.
Шинэ хяналтууд:
| ISO/IEC 27002:2022 хяналтын заалт | ISO/IEC 27002:2013 хяналт заалт | Хяналтын нэр |
|---|---|---|
| 5.7 | New | Threat intelligence |
| 5.23 | New | Information security for use of cloud services |
| 5.30 | New | ICT readiness for business continuity |
| 7.4 | New | Physical security monitoring |
| 8.9 | New | Configuration management |
| 8.10 | New | Information deletion |
| 8.11 | New | Data masking |
| 8.12 | New | Data leakage prevention |
| 8.16 | New | Monitoring activities |
| 8.23 | New | Web filtering |
| 8.28 | New | Secure coding |
Зохион байгуулалтын хяналтууд
| ISO/IEC 27002:2022 хяналтын заалт | ISO/IEC 27002:2013 хяналт заалт | Хяналтын нэр |
|---|---|---|
| 5.1 | 05.1.1, 05.1.2 | Policies for information security |
| 5.2 | 06.1.1 | Information security roles and responsibilities |
| 5.3 | 06.1.2 | Segregation of duties |
| 5.4 | 07.2.1 | Management responsibilities |
| 5.5 | 06.1.3 | Contact with authorities |
| 5.6 | 06.1.4 | Contact with special interest groups |
| 5.7 | New | Threat intelligence |
| 5.8 | 06.1.5, 14.1.1 | Information security in project management |
| 5.9 | 08.1.1, 08.1.2 | Inventory of information and other associated assets |
| 5.10 | 08.1.3, 08.2.3 | Acceptable use of information and other associated assets |
| 5.11 | 08.1.4 | Return of assets |
| 5.12 | 08.2.1 | Classification of information |
| 5.13 | 08.2.2 | Labelling of information |
| 5.14 | 13.2.1, 13.2.2, 13.2.3 | Information transfer |
| 5.15 | 09.1.1, 09.1.2 | Access control |
| 5.16 | 09.2.1 | Identity management |
| 5.17 | 09.2.4, 09.3.1, 09.4.3 | Authentication information |
| 5.18 | 09.2.2, 09.2.5, 09.2.6 | Access rights |
| 5.19 | 15.1.1 | Information security in supplier relationships |
| 5.20 | 15.1.2 | Addressing information security within supplier agreements |
| 5.21 | 15.1.3 | Managing information security in the ICT supply chain |
| 5.22 | 15.2.1, 15.2.2 | Monitoring, review and change management of supplier services |
| 5.23 | New | Information security for use of cloud services |
| 5.24 | 16.1.1 | Information security incident management planning and preparation |
| 5.25 | 16.1.4 | Assessment and decision on information security events |
| 5.26 | 16.1.5 | Response to information security incidents |
| 5.27 | 16.1.6 | Learning from information security incidents |
| 5.28 | 16.1.7 | Collection of evidence |
| 5.29 | 17.1.1, 17.1.2, 17.1.3 | Information security during disruption |
| 5.30 | New | ICT readiness for business continuity |
| 5.31 | 18.1.1, 18.1.5 | Legal, statutory, regulatory and contractual requirements |
| 5.32 | 18.1.2 | Intellectual property rights |
| 5.33 | 18.1.3 | Protection of records |
| 5.34 | 18.1.4 | Privacy and protection of PII |
| 5.35 | 18.2.1 | Independent review of information security |
| 5.36 | 18.2.2, 18.2.3 | Compliance with policies, rules and standards for information security |
| 5.37 | 12.1.1 | Documented operating procedures |
Хүнтэй холбоотой хяналтууд
| ISO/IEC 27002:2022 хяналтын заалт | ISO/IEC 27002:2013 хяналт заалт | Хяналтын нэр |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terms and conditions of employment |
| 6.3 | 07.2.2 | Information security awareness, education and training |
| 6.4 | 07.2.3 | Disciplinary process |
| 6.5 | 07.3.1 | Responsibilities after termination or change of employment |
| 6.6 | 13.2.4 | Confidentiality or non-disclosure agreements |
| 6.7 | 06.2.2 | Remote working |
| 6.8 | 16.1.2, 16.1.3 | Information security event reporting |
Бодит орчны хяналтууд
| ISO/IEC 27002:2022 хяналтын заалт | ISO/IEC 27002:2013 хяналт заалт | Хяналтын нэр: |
|---|---|---|
| 7.1 | 11.1.1 | Physical security perimeters |
| 7.2 | 11.1.2, 11.1.6 | Physical entry |
| 7.3 | 11.1.3 | Securing offices, rooms and facilities |
| 7.4 | New | Physical security monitoring |
| 7.5 | 11.1.4 | Protecting against physical and environmental threats |
| 7.6 | 11.1.5 | Working in secure areas |
| 7.7 | 11.2.9 | Clear desk and clear screen |
| 7.8 | 11.2.1 | Equipment siting and protection |
| 7.9 | 11.2.6 | Security of assets off-premises |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Storage media |
| 7.11 | 11.2.2 | Supporting utilities |
| 7.12 | 11.2.3 | Cabling security |
| 7.13 | 11.2.4 | Equipment maintenance |
| 7.14 | 11.2.7 | Secure disposal or re-use of equipment |
Технологийн хяналтууд
| ISO/IEC 27002:2022 хяналтын заалт | ISO/IEC 27002:2013 хяналт заалт | Хяналтын нэр |
|---|---|---|
| 8.1 | 06.2.1, 11.2.8 | User endpoint devices |
| 8.2 | 09.2.3 | Privileged access rights |
| 8.3 | 09.4.1 | Information access restriction |
| 8.4 | 09.4.5 | Access to source code |
| 8.5 | 09.4.2 | Secure authentication |
| 8.6 | 12.1.3 | Capacity management |
| 8.7 | 12.2.1 | Protection against malware |
| 8.8 | 12.6.1, 18.2.3 | Management of technical vulnerabilities |
| 8.9 | New | Configuration management |
| 8.10 | New | Information deletion |
| 8.11 | New | Data masking |
| 8.12 | New | Data leakage prevention |
| 8.13 | 12.3.1 | Information backup |
| 8.14 | 17.2.1 | Redundancy of information processing facilities |
| 8.15 | 12.4.1, 12.4.2, 12.4.3 | Logging |
| 8.16 | New | Monitoring activities |
| 8.17 | 12.4.4 | Clock synchronization |
| 8.18 | 09.4.4 | Use of privileged utility programs |
| 8.19 | 12.5.1, 12.6.2 | Installation of software on operational systems |
| 8.20 | 13.1.1 | Networks security |
| 8.21 | 13.1.2 | Security of network services |
| 8.22 | 13.1.3 | Segregation of networks |
| 8.23 | New | Web filtering |
| 8.24 | 10.1.1, 10.1.2 | Use of cryptography |
| 8.25 | 14.2.1 | Secure development life cycle |
| 8.26 | 14.1.2, 14.1.3 | Application security requirements |
| 8.27 | 14.2.5 | Secure system architecture and engineering principles |
| 8.28 | New | Secure coding |
| 8.29 | 14.2.8, 14.2.9 | Security testing in development and acceptance |
| 8.30 | 14.2.7 | Outsourced development |
| 8.31 | 12.1.4, 14.2.6 | Separation of development, test and production environments |
| 8.32 | 12.1.2, 14.2.2, 14.2.3, 14.2.4 | Change management |
| 8.33 | 14.3.1 | Test information |
| 8.34 | 12.7.1 | Protection of information systems during audit testing |