Forståelse af ISO 27701 Klausul 6.11.2 Krav
Udviklingsaktiviteter spredt over flere forskellige miljøer repræsenterer en væsentlig betydning for organisationer, der beskæftiger sig med forskellige datakategorier og har et behov for at flytte data mellem test-, udviklings- og produktionsmiljøer.
På hvert trin af udviklingsprocessen skal PII og privatlivsrelaterede aktiver beskyttes og ydes det samme niveau af beskyttelse, uanset hvilket miljø de befinder sig i.
Hvad er dækket af ISO 27701 klausul 6.11.2
ISO 27701 6.11.2 er en omfattende kontrol, der omfatter flere aspekter af udviklings- og testoperationer.
ISO 27701 6.11.2 indeholder ikke færre end 9 separate underklausuler, som hver indeholder information fra ISO 27002 der beskæftiger sig med aspekter af udviklingssikkerhed, præsenteret inden for rammerne af håndtering af privatlivsoplysninger og PII-sikkerhed:
- ISO 27701 6.11.2.1 – Sikker udviklingspolitik (ISO 27002 Kontrol 8.25)
- ISO 27701 6.11.2.2 – Systemændringskontrolprocedurer (ISO 27002 kontrol 8.32)
- ISO 27701 6.11.2.3 – Teknisk gennemgang af applikationer efter ændringer af driftsplatformen (ISO 27002 Kontrol 8.32)
- ISO 27701 6.11.2.4 – Begrænsninger af ændringer af softwarepakker (ISO 27002 kontrol 8.32)
- ISO 27701 6.11.2.5 – Sikker systemtekniske principper (ISO 27002 kontrol 8.27)
- ISO 27701 6.11.2.6 – Sikkert udviklingsmiljø (ISO 27002 kontrol 8.31)
- ISO 27701 6.11.2.7 – Outsourcet udvikling (ISO 27002 kontrol 8.30)
- ISO 27701 6.11.2.8 – Systemsikkerhedstest (ISO 27002 kontrol 8.29)
- ISO 27701 6.11.2.9 – Systemaccepttest (ISO 27002 kontrol 8.29)
To underklausuler (6.11.2.1 og 6.11.2.6) indeholder vejledning, der er relevant for elementer af UK GDPR lovgivning – vi har leveret artiklerne nedenfor for din bekvemmelighed.
Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
ISO 27701 klausul 6.11.2.1 – Sikker udviklingspolitik
Referencer ISO 27002 Kontrol 8.25
Organisationer skal sikre, at udviklingens livscyklus skabes med privatlivsbeskyttelse i tankerne.
For at opnå dette bør organisationer:
- Arbejd med separate udviklings-, test- og udviklingsmiljøer (se ISO 27002 Kontrol 8.31).
- Offentliggør vejledning om beskyttelse af privatlivets fred gennem hele udviklingens livscyklus, herunder metoder, kodningsvejledninger og programmeringssprog (se ISO 27002 kontrol 8.28, 8.27 og 5.8).
- Skitser sikkerhedskrav i specifikations- og designfasen (se ISO 27002 Kontrol 5.8).
- Implementer sikkerhedskontrolpunkter i alle relevante projekter (se ISO 27002 Kontrol 5.8).
- Foretag system- og sikkerhedstest, herunder kodescanninger og penetrationstests (se ISO 27002 kontrol 5.8).
- Tilbyd sikre lagre for al kildekode (se ISO 27002 kontrol 8.4 og 8.9).
- Udøv strenge procedurer for versionskontrol (se ISO 27002 kontrol 8.32).
- Tilbyd personalet privatlivsbeskyttelse og træning i applikationssikkerhed (se ISO 27002 Kontrol 8.28).
- Analyser en udviklers evne til at lokalisere, afbøde og udrydde sårbarheder (se ISO 27002 kontrol 8.28).
- Dokumenter eventuelle gældende eller fremtidige licenskrav (se ISO 27002 Kontrol 8.30).
Gældende GDPR-artikler
- Artikel 25 – (1)
Relevante ISO 27002 kontroller
- ISO 27002 5.8
- ISO 27002 8.4
- ISO 27002 8.9
- ISO 27002 8.27
- ISO 27002 8.28
- ISO 27002 8.30
- ISO 27002 8.31
ISO 27701 Klausul 6.11.2.2 – Systemændringskontrolprocedurer
Referencer ISO 27002 Kontrol 8.32
Der bør implementeres robuste ændringshåndteringsprocedurer, der garanterer fortroligheden, integriteten og tilgængeligheden af PII og privatlivsrelaterede oplysninger, både inden for behandlingsfaciliteter for privatlivsoplysninger og privatlivsinformationssystemer.
Organisatoriske forandringskontrolprocesser og -procedurer bør omfatte:
- Grundige konsekvensvurderinger.
- Hvordan ændringer er godkendt.
- Hvordan ændringer kommunikeres til alle relevante parter.
- Accepttest (se ISO 27002 kontrol 8.29).
- Skift implementeringsplaner.
- Beredskabsplanlægning.
- En grundig registrering af al forandringsrelateret aktivitet.
- Opdateringer til al understøttende bruger- og driftsdokumentation, kontinuitetsplaner og BUDR-procedurer (se ISO 27002 kontrol 5.37 og 5.20).
Relevante ISO 27002 kontroller
- ISO 27002 5.20
- ISO 27002 5.37
- ISO 27002 8.29
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 klausul 6.11.2.3 – Teknisk gennemgang af applikationer efter ændringer i driftsplatformen
Referencer ISO 27002 Kontrol 8.32
Se ISO 27701 klausul 6.11.2.2
ISO 27701 klausul 6.11.2.4 – Begrænsninger af ændringer af softwarepakker
Referencer ISO 27002 Kontrol 8.32
Se ISO 27701 klausul 6.11.2.2
ISO 27701 paragraf 6.11.2.5 – Principper for sikker systemudvikling
Referencer ISO 27002 Kontrol 8.27
Organisatoriske system bør designes, dokumenteres, implementeres og vedligeholdes med beskyttelse af privatlivets fred for øje.
Tekniske principper bør analysere:
- En bred vifte af sikkerhedskontroller, der er nødvendige for at beskytte PII mod specifikke og generaliserede trusler.
- Hvor veludstyret sikkerhedskontrol er til at håndtere større sikkerhedshændelser.
- Målrettede kontroller, der er adskilte til individuelle forretningsprocesser.
- Hvor på netværket og hvordan sikkerhedskontrol bør implementeres.
- Hvordan forskellige kontroller fungerer i harmoni med hinanden.
Tekniske principper bør tage højde for:
- Arkitektonisk integration.
- Tekniske sikkerhedsforanstaltninger (kryptering, IAM, DAM osv.).
- Hvor godt rustet organisationen er til at implementere og vedligeholde den valgte løsning.
- Retningslinjer for bedste praksis i branchen.
Sikker systemudvikling bør omfatte:
- Veletablerede industristandard arkitektoniske principper.
- En omfattende designgennemgang, der identificerer sårbarheder og hjælper med at danne en ende-til-ende tilgang til overholdelse.
- Fuldstændig offentliggørelse af eventuelle sikkerhedskontroller, der ikke opfylder de forventede krav.
- Systemhærdning.
Organisationer bør som standard mod en 'nul tillid' tilgang til sikkerhed ved at:
- Ikke at stole på gateway-sikkerhed isoleret set.
- Søger løbende verifikation på tværs af alle systemer.
- Håndhævelse af end-to-end-kryptering på tværs af alle relevante systemer.
- Kategorisering af hver anmodning om information eller adgang, som om den stammede uden for organisationen, fra en ikke-pålidelig kilde.
- Arbejder efter principperne om 'mindst privilegium' og udnytter dynamiske adgangskontrolteknikker (se ISO 27002 kontrol 5.15, 5.18 og 8.2).
- Håndhæv altid robuste godkendelseskontroller, inklusive MFA (se ISO 27002 kontrol 8.5).
Hvor organisationen outsourcer udvikling til tredjepartsorganisationer, bør der tilstræbes, at partnerens sikkerhedsprincipper er afstemt med organisationens egne.
Gældende GDPR-artikler
- Artikel 25 – (1)
Relevante ISO 27002 kontroller
- ISO 27002 5.15
- ISO 27002 5.18
- ISO 27002 8.2
- ISO 27002 8.5
ISO 27701 paragraf 6.11.2.6 – Sikkert udviklingsmiljø
Referencer ISO 27002 Kontrol 8.31
For at beskytte PII og privatlivsrelaterede aktiver skal organisationer sikre det udvikling, test og produktion miljøer er adskilte og sikrede.
For at opnå dette bør organisationen:
- Adskil forskellige miljøer i separate domæner.
- Byg processer, der styrer, hvordan software flyttes fra udvikling til produktion.
- Udnyt test- og iscenesættelsesmiljøer (se ISO 27002 kontrol 8.29).
- Forhindrer test i produktionsmiljøer.
- Udfør streng kontrol over brugen af hjælpeprogrammer i levende miljøer.
- Mærk tydeligt hvert miljø på tværs af forskellige systemer, aktiver og applikationer.
- Undgå kopiering af følsomme data (især PII) fra det levende miljø til andre miljøer uden brug af passende kontroller for at sikre dets integritet og tilgængelighed.
Beskyttelse af udviklings- og testmiljøer
For at sikre data i udviklings- og testmiljøer bør organisationer:
- Arbejd med en bred vifte af patching-politik.
- Sørg for, at alle systemer og applikationer er sikkert konfigureret til retningslinjer for bedste praksis.
- Administrer tæt adgang til udviklings- og testmiljøer.
- Sørg for, at eventuelle ændringer i nævnte miljøer overvåges.
- Indfør et bredt sæt af BUDR-protokoller.
- Sikre, at ingen enkelt medarbejder er i stand til at foretage ændringer i udviklings- og produktionsmiljøerne uden ledelsesgennemgang og en grundig godkendelsesproces.
ISO gør det eksplicit klart, at udviklings- og testpersonale udgør en uforholdsmæssig risiko for PII – enten direkte på grund af ondsindede handlinger eller utilsigtet på grund af fejl i udviklingsprocessen.
Det er afgørende vigtigt, at ingen enkelt medarbejder har evnen til at foretage ændringer både til og inden for udviklings- og produktionsmiljøer uden behørig autorisation, herunder en gennemgang af de nødvendige ændringer og flertrinsgodkendelse (se ISO 27002 Kontrol 8.33).
Organisationer bør være meget omhyggelige med at sikre integriteten og tilgængeligheden af PII gennem hele udviklings- og testprocessen, herunder flere levende produktionsmiljøer, træningsmiljøer og adskillelse af opgaver.
Relevante ISO 27002 kontroller
- ISO 27002 8.29
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 paragraf 6.11.2.7 – Outsourcet udvikling
Referencer ISO 27002 Kontrol 8.30
Hvis der opstår behov for at outsource udvikling, skal organisationer sikre, at tredjeparters sikkerhedspraksis er i overensstemmelse med deres egen.
Organisationer bør tydeligt kommunikere deres krav fra starten og løbende vurdere udviklingspartnerens evne til at gøre, hvad der forventes af dem.
Organisationer bør overveje:
- Licensering, ejerskab og IP-rettigheder (se ISO 27002 Kontrol 5.32).
- Aftalepunkter, der omhandler design, kodning og test (se ISO 27002 kontrol 8.25 og 8.29).
- Forsyne tredjeparter med en opdateret trusselsmodel.
- Testkrav, både ved levering og løbende – accepttest, sårbarhedstest, intern malwaretest og sikkerhedsrapporter (se ISO 27002 Kontrol 8.29).
- Kildekodesikringer, såsom en deponeringstjeneste, der beskytter mod tab af forretning fra udviklerens side.
- Organisationens ret til at revidere eventuelle udviklingsprocesser.
- En liste over sikkerhedskrav til udviklingsmiljøet (se ISO 27002 Kontrol 8.31);
- Og lovgivningsmæssige, regulatoriske eller allerede eksisterende kontraktlige forpligtelser.
Relevante ISO 27002 kontroller
- ISO 27002 5.32
- ISO 27002 8.25
- ISO 27002 8.29
- ISO 27002 8.31
ISO 27701 klausul 6.11.2.8 – Systemsikkerhedstest
Referencer ISO 27002 Kontrol 8.29
Organisationer skal sikre, at beskyttelse af privatlivets fred behandles som en prioritet, når kode implementeres og/eller flyttes på nogen måde fra et udviklingsmiljø til livemiljøet, og PII beskyttes mod tab af integritet eller tilgængelighed.
Test skal omfatte:
- Standardiserede netværkssikkerhedsfunktioner (f.eks. brugerlogin, kryptering) (se ISO 27002 kontroller 8.5, 8.3 og 8.24).
- Sikker kodning.
- Sikre konfigurationer på tværs af alle netværksenheder og sikkerhedskomponenter (se ISO 27002 Controls 8.9, 8.20 og 8.22).
Testplaner
Alle testplaner bør være direkte proportionale med det system, de tester, og omfanget af den ændring eller datasæt, de er målrettet mod.
Testplaner bør omfatte en række automatiseringsværktøjer og bestå af:
- En omfattende testplan.
- Forventede resultater på tværs af en række forhold.
- Testkriterier til evalueringsformål.
- Opfølgningshandlinger baseret på forventede eller unormale resultater.
Intern udviklingstest bør altid verificeres af en tredjepartsspecialist. Sådanne tests bør omfatte:
- Identifikation af sikkerhedsfejl (kodegennemgange osv.).
- Sårbarhedsscanning.
- Strukturerede penetrationstest.
ISO anbefaler, at al test udføres i et miljø, der afspejler produktionsmiljøet på så mange måder som muligt, for at sikre en nøjagtig og praktisk række af output, som man kan måle ydeevne på (se ISO 27002 kontrol 8.31).
Relevante ISO 27002 kontroller
- ISO 27002 8.3
- ISO 27002 8.5
- ISO 27002 8.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.24
- ISO 27002 8.31
ISO 27701 klausul 6.11.2.9 – Systemaccepttest
Referencer ISO 27002 Kontrol 8.29
Se ISO 27701 klausul 6.11.2.8
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.11.2.1 | Sikker udviklingspolitik | 8.25 – Sikker udviklingslivscyklus for ISO 27002 | Artikel (25) |
| 6.11.2.2 | Systemændringskontrolprocedurer | 8.32 – Change Management for ISO 27002 | Ingen |
| 6.11.2.3 | Teknisk gennemgang af applikationer efter ændringer af driftsplatformen | 8.32 – Change Management for ISO 27002 | Ingen |
| 6.11.2.4 | Begrænsninger af ændringer af softwarepakker | 8.32 – Change Management for ISO 27002 | Ingen |
| 6.11.2.5 | Sikker System Engineering Principper | 8.27 – Sikker systemarkitektur og ingeniørprincipper for ISO 27002 | Artikel (25) |
| 6.11.2.6 | Sikkert udviklingsmiljø | 8.31 – Adskillelse af udviklings-, test- og produktionsmiljøer for ISO 27002 | Ingen |
| 6.11.2.7 | Udliciteret udvikling | 8.30 – Outsourcet udvikling til ISO 27002 | Ingen |
| 6.11.2.8 | Systemsikkerhedstest | 8.29 – Sikkerhedstest i udvikling og accept for ISO 27002 | Ingen |
| 6.11.2.9 | Systemaccepttest | 8.29 – Sikkerhedstest i udvikling og accept for ISO 27002 | Ingen |
Hvordan ISMS.online hjælper
For at opnå ISO 27701 skal du bygge et Privacy Information Management System (PIMS). Med vores prækonfigurerede PIMS kan du hurtigt og nemt organisere og administrere kunde-, leverandør- og personaleoplysninger for fuldt ud at overholde ISO 27701.
Du kan også imødekomme det voksende antal globale, regionale og sektorspecifikke regler om beskyttelse af personlige oplysninger, som vi understøtter på ISMS.online-platformen.
For at opnå certificering til ISO 27701 (privatliv) skal du først opnå certificering til ISO 27001 (informationssikkerhed). Den gode nyhed er, at vores platform kan hjælpe dig med at gøre begge dele.
Få mere at vide ved booking af en praktisk demo.
