ISO 27701 – Klausul 6.11 – Systemerhvervelse, udvikling og vedligeholdelse

ISO 27701 paragraf 6.11 fokuserer på at integrere privatlivsbeskyttelse i systemanskaffelse, udvikling og vedligeholdelse med vægt på risikovurdering, sikring af applikationstjenester på offentlige netværk og sikring af PII-relaterede transaktioner.

Book en demo
Forfatter
Max Edwards
Opdateret 25. februar 2025
LinkedIn Twitter Twitter

Nøglekrav i ISO 27701, punkt 6.11 Forklaret

Applikationstjenester, informationssikkerhedskrav og projektstyringsaktiviteter bør udvikles sideløbende med enhver organisatorisk beskyttelse af privatlivets fred for at sikre, at PII og betalings-/bestillingsdata ydes den bedste beskyttelse gennem hele applikationens og projektets livscyklus.

Hvad er dækket af ISO 27701 klausul 6.11

ISO 27701 klausul 6.11 indeholder tre underklausuler, der omhandler hovedelementerne i systemopkøb, hvor hver klausul indeholder tilstødende vejledning fra kontroller indeholdt i ISO 27002:

  • ISO 27701 6.11.1.1 – Krav til informationssikkerhedsanalyse og specifikation (ISO 27002 kontrol 5.8)
  • ISO 27701 6.11.1.2 – Sikring af applikationstjenester på offentlige netværk (ISO 27002 kontrol 8.26)
  • ISO 27701 6.11.1.3 – Beskyttelse af applikationsservicetransaktioner (ISO 27002 kontrol 8.26)

En underklausul – 6.11.1.2 – indeholder oplysninger, der er gældende elementer i UK GDPR lovgivning, uden yderligere vejledning om PIMS eller PII-relaterede emner.

Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.



Få et forspring på 81 %

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo


ISO 27701 klausul 6.11.1.1 – Analyse og specifikation af informationssikkerhedskrav

Referencer ISO 27002 Kontrol 5.8

Procedurer for beskyttelse af privatlivets fred bør integreres i projektstyringsaktiviteter for at sikre, at PII er beskyttet hele vejen igennem, og organisatoriske sikkerhedspolitikker er tilpasset.

Organisationer bør sikre, at:

  • Privatlivsbeskyttelsesrisici tages i betragtning gennem hele projektets livscyklus, især i de tidlige stadier.
  • Fremskridtene med hensyn til risikoreduktion af privatlivets fred bliver med jævne mellemrum gennemgået med fokus på at forbedre effektiviteten og modstandsdygtigheden.
  • Projektudvalg tager hensyn til kontrol med privatlivsbeskyttelse på passende stadier af projektet.
  • Roller og ansvar for beskyttelse af privatlivets fred bør skitseres på et tidligt tidspunkt.
  • Alle produkter, der skal leveres som en del af projektet, har et klart sæt af privatlivsbeskyttelseskrav.
  • Projektlivscyklusser (agile, vandfald osv.) afspejler risikokravene for nævnte projekt gennem en given fase, med vægt på beskyttelse af privatlivets fred.

ISO 27701 klausul 6.11.1.2 – Sikring af applikationstjenester på offentlige netværk

Referencer ISO 27002 Kontrol 8.26

Applikationssikkerhedsprocedurer bør udvikles sammen med bredere privatlivsbeskyttelsespolitikker, normalt via en struktureret risikovurdering, der tager højde for flere variabler.

Applikationssikkerhedskrav bør omfatte:

  • De tillidsniveauer, der er iboende inden for alle netværksenheder (se ISO 27002 kontrol 5.17, 8.2 og 8.5).
  • Klassificeringen af ​​data, som applikationen er konfigureret til at behandle (inklusive PII).
  • Eventuelle adskillelseskrav.
  • Beskyttelse mod interne og eksterne angreb og/eller ondsindet brug.
  • Alle gældende juridiske, kontraktmæssige eller regulatoriske krav.
  • Robust beskyttelse af fortrolige oplysninger.
  • Data, der skal beskyttes under transport.
  • Eventuelle kryptografiske krav.
  • Sikker input og output kontrol.
  • Minimal brug af ubegrænsede inputfelter – især dem, der har potentiale til at gemme personlige data.
  • Håndtering af fejlmeddelelser, herunder tydelig kommunikation af fejlkoder.

Transaktionelle tjenester

Transaktionstjenester, der letter strømmen af ​​privatlivsdata mellem organisationen og en tredjepartsorganisation eller partnerorganisation, bør:

  • Etabler et passende niveau af tillid mellem organisatoriske identiteter.
  • Inkluder mekanismer, der kontrollerer tillid mellem etablerede identiteter (f.eks. hashing og digitale signaturer).
  • Skitser robuste procedurer, der styrer, hvad medarbejdere er i stand til at administrere vigtige transaktionsdokumenter.
  • Indeholder dokument- og transaktionsstyringsprocedurer, der dækker fortrolighed, integritet, bevis for afsendelse og modtagelse af nøgledokumenter og transaktioner.
  • Medtag specifik vejledning om, hvordan du holder transaktioner fortrolige.

Elektroniske bestillings- og betalingsansøgninger

For alle applikationer, der involverer elektronisk bestilling og/eller betaling, bør organisationer:

  1. Skitser strenge krav til beskyttelse af betalings- og bestillingsdata.
  2. Bekræft betalingsoplysninger, før en ordre afgives.
  3. Opbevar transaktions- og privatlivsrelaterede data sikkert på en måde, der er utilgængelig for offentligheden.
  4. Brug betroede myndigheder, når du implementerer digitale signaturer, med beskyttelse af privatlivets fred i tankerne til enhver tid.

Gældende GDPR-artikler

  • Artikel 5 – (1)(f)
  • Artikel 32 – (1)(a)

Relevante ISO 27002 kontroller

  • ISO 27002 5.17
  • ISO 27002 8.2
  • ISO 27002 8.5


Overholdelse behøver ikke at være kompliceret.

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo


ISO 27701 klausul 6.11.1.3 – Beskyttelse af applikationsservicetransaktioner

Referencer ISO 27002 Kontrol 8.26

Se ISO 27701 klausul 6.11.1.2

Understøttende kontroller fra ISO 27002 og GDPR

ISO 27701 klausulidentifikatorISO 27701-klausulens navnISO 27002 kravTilknyttede GDPR-artikler
6.11.1.1Analyse og specifikation af informationssikkerhedskrav5.8 – Informationssikkerhed i projektledelse for ISO 27002Ingen
6.11.1.2Sikring af applikationstjenester på offentlige netværk8.26 – Applikationssikkerhedskrav til ISO 27002Artikler (5), (32)
6.11.1.3Beskyttelse af Application Services-transaktioner8.26 – Applikationssikkerhedskrav til ISO 27002Ingen

Hvordan ISMS.online hjælper

Vores alt-i-én-platform sikrer, at dit privatlivsarbejde stemmer overens med og opfylder behovene i hver del af ISO 27701-standarden. Og fordi det er reguleringsagnostisk, kan du kortlægge det på enhver regulering, du har brug for.

  • Indbygget risikobank
  • ROPA gjort let
  • Sikker plads til DRR

Find ud af mere ved booking af en demo.

Gå til emnet

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

ISMS platform tur

Interesseret i en ISMS.online platform tour?

Start din gratis 2-minutters interaktive demo nu, og oplev magien ved ISMS.online i aktion!

Prøv gratis

Vi er førende inden for vores felt

Brugere elsker os
Netleder - forår 2025
Momentum Leader - forår 2025
Regional leder - Forår 2025 Storbritannien
Regional leder - EU forår 2025
Bedste Est. ROI Enterprise - forår 2025
Mest sandsynligt at anbefale Enterprise - forår 2025

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

-Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

- Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

- Ben H.

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!