Hvad kræver kontrol A.3.27?
Der skal fastsættes og anvendes regler for sikker udvikling af software og systemer relateret til behandling af personoplysninger.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og kræver, at organisationer integrerer PII-beskyttelse i softwareudviklingens livscyklus fra starten i stedet for at eftermontere privatlivskontroller, efter at systemerne er bygget. Dette er den praktiske implementering af "privacy by design"-princippet: udviklingsteams har brug for klare, handlingsrettede regler, der vejleder dem i at opbygge systemer, der beskytter PII som standard.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.27) indeholder detaljeret vejledning om integration af privatliv i udvikling:
- PII-fokuserede udviklingspolitikker — Politikker for systemudvikling og -design bør omfatte vejledning til organisationens behov for behandling af personoplysninger, baseret på forpligtelser over for personoplysninger og gældende lovkrav.
- Privatliv gennem design og som standard — Politikkerne bør tage hensyn til følgende aspekter:
- Vejledning om beskyttelse af personoplysninger og implementering af privatlivsprincipperne (ifølge ISO/IEC 29100) i softwareudviklingens livscyklus
- Krav til beskyttelse af privatlivets fred og personoplysninger i designfasen, som kan baseres på outputtet fra en risikovurdering for privatlivets fred eller en konsekvensvurdering for privatlivets fred
- Kontrolpunkter for beskyttelse af personoplysninger inden for projektets milepæle
- Nødvendig viden om beskyttelse af personlige oplysninger og personoplysninger for udviklingsteams
- Minimer behandling af personoplysninger som standard
- Se også A.3.29: Sikker systemarkitektur og tekniske principper for relaterede krav
- Se også A.3.31: Testoplysninger for relaterede krav
Vejledningen er struktureret omkring fem handlingsområder, som udviklingsteams kan integrere i deres eksisterende processer. Der lægges særlig vægt på at minimere behandling af personoplysninger som standard: Systemer bør designes til kun at indsamle og behandle de personoplysninger, der er strengt nødvendige til det identificerede formål.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.27 knyttes til følgende GDPR artikel:
- Artikel 25 (1) — Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, hvilket kræver, at dataansvarlige implementerer passende tekniske og organisatoriske foranstaltninger, der er udformet til at implementere databeskyttelsesprincipper og integrerer nødvendige sikkerhedsforanstaltninger i behandlingen, både på tidspunktet for fastlæggelsen af midlerne til behandling og på tidspunktet for selve behandlingen.
Artikel 25 er en af de GDPR's mest fremadrettede bestemmelser, og A.3.27 giver en struktureret måde at demonstrere overholdelse ved at integrere privatlivskrav i udviklingsprocesser.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 6.11.2.1 (politik for sikker udvikling). 2025-udgaven bevarer kernekravene som A.3.27 med udvidet implementeringsvejledning i B.3.27, der giver en klarere fempunktsramme for integration af privatliv i udvikling. Se Bilag F korrespondancetabel for den fulde kortlægning.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.27 vil revisorer typisk se efter:
- Sikker udviklingspolitik — En dokumenteret politik, der omfatter PII-specifikke krav for hver fase af udviklingslivscyklussen (design, udvikling, test, implementering, vedligeholdelse)
- Vurdering af privatlivets fred — Dokumentation for, at der udføres konsekvensanalyser (PIA'er) eller konsekvensanalyser af personoplysninger (DPIA'er) i designfasen for nye systemer eller væsentlige ændringer af systemer, der behandler personoplysninger
- Kontrolpunkter for beskyttelse af personoplysninger — Dokumentation for, at projektets milepæle omfatter gennemgange eller godkendelser af privatlivsbeskyttelse, såsom privatlivsgrænser i sprintgennemgange eller tjeklister til udgivelse
- Udviklertræning — Dokumentation, der viser, at medlemmer af udviklingsteamet er blevet oplært i krav til beskyttelse af personoplysninger, privatlivsprincipper og sikker kodningspraksis
- Bevis for dataminimering — Dokumentation for, at systemerne er designet til at indsamle og behandle det nødvendige minimum af personoplysninger, såsom designdokumenter, der viser, hvilke datafelter der blev taget i betragtning, og hvorfor hvert enkelt er påkrævet
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.1.2.6 Vurdering af indvirkning på privatlivets fred | PIA'er integrerer privatlivskrav i udviklingsprocessen |
| A.1.4.5 Mål for minimering af personoplysninger | Udvikling bør implementere dataminimering som standard |
| A.3.28 Krav til applikationssikkerhed | Sikkerhedskrav til applikationer supplerer reglerne for sikker udvikling |
| A.3.17 Bevidstgørelse og træning | Udviklertræning i privatlivets fred understøtter sikker udviklingspraksis |
| A.1.2.2 Identificér og dokumenter formål | Dokumenterede behandlingsformål definerer, hvilke personoplysninger systemet skal indsamle |
Hvem gælder denne kontrol for?
A.3.27 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Enhver organisation, der udvikler eller idriftsætter software og systemer til PII-behandling, skal etablere og anvende sikre udviklingsregler. Dette omfatter interne udviklingsteams, kontraktansatte udviklere og teams, der arbejder på skræddersyede integrationer eller tilpasninger. For outsourcet udvikling, se også kontrol A.3.30 Udliciteret udvikling.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online for sikker udviklingsoverholdelse?
ISMS.online giver praktiske værktøjer til at integrere privatliv i dine udviklingsprocesser:
- DPIA-arbejdsgange — Indbyggede skabeloner til konsekvensanalyse af databeskyttelse, der integreres med din udviklingspipeline, hvilket sikrer, at privatlivskravene er indfanget i designfasen.
- Politikstyring — Udgiv sikre udviklingspolitikker med versionskontrol, medarbejderbekræftelse og planlægning af gennemgang
- Træningsledelse — Spor færdiggørelsen af udviklernes privatlivstræning med automatiske påmindelser om forsinkede eller udløbende certificeringer
- Sporing af projektets milepæle — Opret PII-beskyttelseskontrolpunkter i projektplaner med godkendelsesworkflows for privatlivsbeskyttelse
- Bevis for overholdelse — Indsaml og organiser sikker udviklingsdokumentation, herunder PIA'er (konsekvensanalyse), designgennemgange, kodegennemgangsregistre og testresultater med henblik på revisionsberedskab
Ofte Stillede Spørgsmål
Hvad betyder privatliv som standard i praksis?
Privatliv som standard betyder, at når et system implementeres, eller en bruger opretter en konto, skal standardindstillingerne give det højeste niveau af privatlivsbeskyttelse. Brugere skal aktivt tilmelde sig deling af yderligere data i stedet for at skulle fravælge dataindsamling. For eksempel skal et system kun indsamle de minimumsfelter for personligt identificerbar information (PII), der kræves til kernefunktionen, med yderligere dataindsamling deaktiveret som standard og kun aktiveret, hvis brugeren eksplicit vælger at angive den.
Hvad er PII-beskyttelseskontrolpunkter?
Kontrolpunkter for beskyttelse af personoplysninger er definerede punkter i projektets livscyklus, hvor krav til beskyttelse af personlige oplysninger gennemgås og verificeres. Eksempler omfatter en gennemgang af beskyttelse af personlige oplysninger under arkitekturdesign, et kontrolpunkt for kodegennemgang, der kontrollerer overholdelse af håndtering af personoplysninger, en godkendelse af beskyttelse af personlige oplysninger før udgivelse og en verifikation af beskyttelse af personlige oplysninger efter implementering. Disse kontrolpunkter bør dokumenteres i udviklingsprocessen og have klare kriterier for bestået eller ikke bestået.
Gælder denne kontrol for standardsoftware?
A.3.27 gælder primært for software og systemer, der er udviklet eller bestilt af organisationen. For standardsoftware bør organisationen vurdere, om softwaren opfylder kravene til beskyttelse af personoplysninger i anskaffelses- og konfigurationsfaserne (se A.3.28 ApplikationssikkerhedEnhver tilpasning, integration eller konfiguration af standardsoftware, der påvirker behandlingen af personoplysninger, bør dog følge de regler for sikker udvikling, der er fastsat i A.3.27.
SaaS-organisationer bør også læse vores vejledning til SaaS-platforme for udviklingsspecifikke privatlivskrav.
For AI-specifikke udviklingsovervejelser, se vores AI-privatlivsstyring guide.
