CompliantDesk

A.8 Technologische Maßnahmen

A.8.25

Sicherer Entwicklungslebenszyklus

ISO 27001TISAXBSIAI Act

Regeln für die sichere Entwicklung von Software und Systemen müssen festgelegt und angewendet werden.

Was fordert dieses Control?

Regeln für die sichere Entwicklung von Software und Systemen müssen festgelegt und angewendet werden.

Warum ist das wichtig?

Sicherheit muss im gesamten Entwicklungsprozess verankert sein. Ein sicherer SDLC verhindert, dass Schwachstellen überhaupt erst in die Software gelangen.

Cross-Standard-Mapping

StandardControl-IDRelevanz
TISAX5.2.4Direkt
BSICON.8Direkt
AI ActArt. 9Indirekt

Was der Auditor erwartet

  1. 1Definierter sicherer Entwicklungsprozess (SDLC)
  2. 2Sicherheit in allen Phasen von Design bis Betrieb
  3. 3Bezug zu Coding-, Test- und Review-Standards

Audit-Checkliste

Dokumente

  • Secure-SDLC-Vorgaben

    Sicherheitsanforderungen je Entwicklungsphase

Nachweise

  • Prozessnachweise

    Security-Aktivitäten in konkreten Projekten

Interviews

  • Entwicklungsteam

    Verankerung von Sicherheit im Entwicklungsalltag

Praxis-Tipps zur Umsetzung

1

Shift Left

Sicherheit früh im Lebenszyklus berücksichtigen, nicht erst beim Test.

2

Standards setzen

Coding-, Review- und Teststandards verbindlich festlegen.

3

Tooling integrieren

Security-Checks in die CI/CD-Pipeline einbauen.

Häufige Fehler

Sicherheit nachgelagert

Security wird erst kurz vor Release betrachtet.

Keine Standards

Jeder entwickelt anders, Sicherheit ist nicht verankert.

Häufig gestellte Fragen

Betrifft das nur eigene Software?

Vor allem Eigenentwicklung, aber auch Anpassungen und Integrationen sollten dem sicheren Prozess folgen.

Was bedeutet Shift Left?

Sicherheitsaktivitäten möglichst früh im Entwicklungsprozess durchzuführen, um Fehler günstig zu vermeiden.

Wie hängt das mit A.8.28 zusammen?

A.8.25 ist der übergreifende sichere Lebenszyklus, A.8.28 die konkrete sichere Programmierung.

So hilft CompliantDesk bei A.8.25

Dokumentieren Sie Ihren sicheren Entwicklungsprozess als Richtlinie und verknüpfen Sie ihn mit Risiken, Kontrollen und Projekten im ISMS.

Demo buchen NIS2-Check Gratis

Verwandte Controls

A.8.26

Anforderungen an die Anwendungssicherheit

A.8.27

Sichere Systemarchitektur und Entwicklungsprinzipien

A.8.28

Sichere Programmierung