Hvad kræver kontrol A.3.30?
Organisationen skal lede, overvåge og gennemgå aktiviteterne i forbindelse med udvikling af outsourcede PII-behandlingssystemer.
Denne kontrol ligger inden for Delte sikkerhedskontroller bilag (A.3) og omhandler den kendsgerning, at mange organisationer outsourcer noget af eller al deres softwareudvikling. Uanset om der anvendes entreprenører, bureauer, offshore-teams eller managed service providers, er organisationen fortsat ansvarlig for at sikre, at outsourcede systemer beskytter personoplysninger til samme standard som internt udviklede systemer. De tre verber - dirigere, overvåge og gennemgå - etablerer en komplet tilsynsramme.
Hvad står der i implementeringsvejledningen i bilag B?
Bilag B (afsnit B.3.30) indeholder følgende vejledning:
- Anvend privatliv gennem design og privatliv som standard — De samme principper for databeskyttelse gennem design og databeskyttelse gennem standardindstillinger (se B.3.29) bør anvendes, hvis det er relevant, på outsourcede informationssystemer.
Vejledningen er bevidst kortfattet, fordi det fulde sæt af udviklingsprincipper fra A.3.29 Sikker systemarkitektur gælder ligeledes for outsourcet arbejde. Den praktiske implikation er, at outsourcede udviklingskontrakter skal omfatte organisationens sikre ingeniørprincipper, og organisationen skal have tilsynsmekanismer til at verificere overholdelse af reglerne gennem hele udviklingsprocessen.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.30 har ikke en direkte GDPR Artikeloversigt i bilag D. Den understøtter dog indirekte adskillige GDPR-forpligtelser:
- Artikel 25 (1) — Databeskyttelse gennem design gælder uanset om udviklingen udføres internt eller outsources
- artikel 28 — Hvor en outsourcet udvikler fungerer som databehandler, gælder kravene i artikel 28 (databehandlerkontrakter, instruktioner, sikkerhedsforanstaltninger)
GDPR gør det klart, at outsourcing ikke overfører ansvar. Den dataansvarlige eller databehandleren forbliver ansvarlig for privatlivets fred og sikkerhed i systemer, der er bygget på dennes vegne.
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket af klausul 6.11.2.7 (outsourcet udvikling). 2025-udgaven bevarer kernekravet som A.3.30, hvor implementeringsvejledningen i B.3.30 nu eksplicit linker til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger i B.3.29. Se Bilag F korrespondancetabel for den fulde kortlægning.
Start din gratis prøveperiode
Vil du udforske?
Tilmeld dig din gratis prøveperiode i dag, og få fat i alle de overholdelsesfunktioner, som ISMS.online har at tilbyde
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.30 vil revisorer typisk se efter:
- Udviklingskontrakter med privatlivskrav — Kontrakter med outsourcede udviklere, der omfatter krav til beskyttelse af personoplysninger, principper for sikker ingeniørvirksomhed, forpligtelser til datahåndtering og retten til revision
- Ledelse og tilsynsregistre — Dokumentation for, hvordan organisationen kommunikerer privatlivskrav til outsourcede udviklere, herunder specifikationer, retningslinjer og udleverede træningsmaterialer
- Overvågning af aktiviteter — Optegnelser over løbende overvågning, såsom kodegennemgange, sikkerhedstest, statusgennemgange og compliance-kontroller udført under udviklingsopgaven
- Kriterier for gennemgang og accept — Dokumenterede gennemgangsprocesser, herunder privatlivsfokuseret accepttestning, godkendelse af sikkerhedsgennemgang og verifikation af, at leverancer opfylder kravene til beskyttelse af personoplysninger
- Datahåndtering under udvikling — Bevis for, at outsourcede udviklere ikke bruger reelle personoplysninger til testning (linker til A.3.31 Testoplysninger) og at enhver PII-adgang kontrolleres og logges på passende vis
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.29 Sikker systemarkitektur | Outsourcet udvikling skal følge de samme ingeniørprincipper |
| A.3.10 Leverandøraftaler | Udviklingsoutsourcingkontrakter skal indeholde klausuler om beskyttelse af personoplysninger |
| A.3.27 Sikker udviklingslivscyklus | Outsourcede udviklere bør følge organisationens SDLC-krav |
| A.3.31 Testoplysninger | Outsourcet udvikling må ikke bruge rigtige personoplysninger til testning |
| A.3.18 Fortrolighedsaftaler | Outsourcede udviklere skal underskrive fortrolighedsaftaler, der dækker personoplysninger |
Hvem gælder denne kontrol for?
A.3.30 er en delt kontrol Det gælder både for PII-ansvarlige og PII-behandlere. Enhver organisation, der outsourcer udviklingen af systemer, der behandler PII, skal lede, overvåge og gennemgå de outsourcede udviklingsaktiviteter. Dette gælder for komplette outsourcingaftaler, individuelle entreprenører, udviklingsbureauer og ethvert andet tredjepartsudviklingsengagement.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvorfor vælge ISMS.online til outsourcet udviklingstilsyn?
ISMS.online giver praktiske værktøjer til håndtering af outsourcede udviklingsrelationer:
- Leverandørstyring — Spor outsourcede udviklingsleverandører med kontraktregistreringer, compliance-status, risikovurderinger og gennemgangsplaner på ét sted
- Kravkommunikation — Del privatlivskrav og sikre tekniske principper med outsourcede udviklere via platformen, med bekræftelsessporing
- Gennemgå arbejdsgange — Opret strukturerede gennemgangsworkflows til kodegennemgange, sikkerhedsvurderinger og accepttest med sporing af godkendelse
- Risikovurderinger — Udfør risikovurderinger specifikke for outsourcede udviklingsscenarier, herunder dataadgangsrisici, kodekvalitetsrisici og underleverandørrisici
- Revisionsspor — Oprethold et komplet revisionsspor over alle tilsynsaktiviteter, kommunikation og gennemgangsresultater for at dokumentere overholdelse
Ofte Stillede Spørgsmål
Hvad skal inkluderes i en outsourcet udviklingskontrakt?
Kontrakten bør indeholde: krav til beskyttelse af personoplysninger og organisationens principper for sikker teknisk udvikling; forpligtelser til datahåndtering (herunder begrænsninger på brug af reel personoplysninger til test); fortrolighedsforpligtelser; retten til at revidere kode og sikkerhedspraksis; krav til sikkerhedstestning; forpligtelser til underretning om hændelser; bestemmelser om intellektuel ejendomsret og kodeejerskab; og krav til datadestruktion ved afslutningen af engagementet. Hvor udvikleren vil have adgang til personoplysninger, bør kontrakten også omfatte databehandlerkrav i henhold til artikel 28 i GDPR.
Hvordan bør organisationer overvåge outsourcet udvikling?
Overvågning bør omfatte: regelmæssige kodegennemgange med fokus på håndtering af personoplysninger; sikkerhedstest (SAST, DAST, penetrationstest) ved definerede milepæle; statusgennemgange, der inkluderer overholdelse af privatlivskrav; verifikation af, at testmiljøer ikke indeholder reelle personoplysninger; gennemgang af adgangslogfiler for ethvert udviklingsmiljø, der indeholder personoplysninger; og periodisk vurdering af udviklerens egne sikkerhedspraksisser. Overvågningsniveauet bør stå i forhold til de personoplysningers følsomhed og systemets kritiske karakter.
Gælder denne kontrol for brug af open source-komponenter?
A.3.30 dækker specifikt outsourcede udviklingsrelationer, hvor en tredjepart udvikler systemer på organisationens vegne. Open source-komponenter falder mere naturligt ind under A.3.28 Applikationssikkerhed (krav til applikationssikkerhed), hvor organisationen bør vurdere tredjepartskomponenters sikkerhedsmæssige egnethed. Hvis en organisation imidlertid hyrer en tredjepart til at udvikle eller tilpasse en open source-komponent til behandling af personoplysninger, falder dette engagement inden for rammerne af A.3.30.
SaaS-platforme kan finde skræddersyet vejledning i vores vejledning til SaaS-platforme.
Dokumentér denne kontrol i din Anvendelseserklæring.
