Forståelse af paragraf 6.9.6: Teknisk sårbarhedsstyring
Tekniske sårbarheder, der har potentiale til at påvirke PII og privatlivsrelaterede aktiver, er næsten umulige at udrydde fuldstændigt, uanset budget, personaleniveau eller ekspertise.
Som sådan kræver ISO, at organisationer opererer med et robust sæt af sårbarhedsstyringskontroller, der både identificerer potentielle tekniske sårbarheder og giver klar vejledning om de afhjælpende handlinger, der kræves for at afbøde enhver kommerciel, operationel eller omdømmeskade.
Hvad er dækket af ISO 27701 klausul 6.9.6
ISO 27001 6.9.6 indeholder to underklausuler, der omhandler emnet sårbarhedsstyring, opdelt mellem teknisk ledelse, og hvordan organisationer bør overveje softwareinstallationer:
- ISO 27701 6.9.6.1 – Håndtering af tekniske sårbarheder (ISO 27002 Kontrol 8.8)
- ISO 27701 6.9.6.2 – Begrænsning af softwareinstallation (ISO 27002 kontrol 8.19)
Ingen underklausul indeholder nogen PIMS- eller PII-specifik vejledning, og der er heller ingen UK GDPR konsekvenser at overveje.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 paragraf 6.9.6.1 – Håndtering af tekniske sårbarheder
Referencer ISO 27002 Kontrol 8.8
Organisationer bør indhente en ajourført liste over alle aktiver (se kontrol 5.9 og 5.14), der ejes og drives af organisationen, herunder:
- Leverandørnavn.
- Applikationsnavn.
- Versionsnumre.
- Hvor softwaren er installeret.
- Hvem er ansvarlig for driften af nævnte software.
Når organisationer identificerer sårbarheder, der har potentiale til at påvirke PII og privatlivsbeskyttelse, bør organisationer:
- Skitsér det personale, der er ansvarligt for sårbarhedshåndtering, herunder:
- Aktivforvaltning.
- Risikovurdering.
- Overvågning.
- Opdatering.
- Oprethold en opdateret fortegnelse over applikationer og ressourcer, der vil blive brugt til at identificere tekniske sårbarheder.
- Kontakt leverandører og leverandører og bed dem tydeligt angive sårbarheder, hver gang nye systemer og hardware leveres (se ISO 27002 Kontrol 5.20).
- Brug sårbarhedsscanningsværktøj og patchingfaciliteter.
- Udfør periodisk penetrationstest.
- Analyser tredjeparts kodebiblioteker og/eller kildekode for underliggende sårbarheder og/eller udnyttelser (se ISO 27002 kontrol 8.28).
Offentlige aktiviteter
Organisationer bør udvikle politikker og procedurer (herunder automatiske opdateringer), der registrerer sårbarheder på tværs af alle deres produkter og tjenester, og modtage sårbarhedsvurderinger i forbindelse med leveringen af de nævnte produkter og tjenester.
ISO råder organisationer til at gøre en offentlig indsats for at spore eventuelle sårbarheder – herunder brugen af strukturerede dusørprogrammer – og bruge fora og offentlig forskningsaktivitet til at øge bevidstheden om potentielle udnyttelser og sikkerhedsproblemer.
Hvis der efter en sikkerhedshændelse er blevet truffet afhjælpende handlinger, der på nogen måde kan påvirke kunder (eller deres opfattelse af de opbevarede data), bør organisationer overveje at samarbejde med certificerede sikkerhedsspecialister for at distribuere information om angrebsvektorer.
Evaluering af sårbarheder
Under hele processen med at evaluere sårbarheder bør organisationer:
- Analyser eventuelle rapporter og beslut, hvilke handlinger der skal tages, herunder eventuelle opdateringer eller fjernelse af berørte systemer og/eller hardware.
- Aftal en beslutning, der tager hensyn til andre ISO-kontroller.
Modvirkning af softwaresårbarheder
Når man adresserer sårbarheder, efter at de er blevet identificeret, bør organisationer:
- Løs alle sårbarheder på en rettidig og effektiv måde.
- Overhold organisatoriske procedurer for forandringsledelse (se ISO 27002 Kontrol 8.32) og hændelsesrespons (se ISO 27002 Kontrol 5.26), for at sikre en ensartet tilgang.
- Begræns opdateringer og patches til dem fra pålidelige kilder.
- Test opdateringer før implementering.
- Identificer højrisiko og forretningskritiske systemer som en prioritet ved planlægning af afhjælpende handlinger.
Hvis en opdatering ikke kommer, og afhjælpende handling forhindres af eksterne faktorer, bør organisationer:
- Rådfør dig med leverandører om løsninger.
- Deaktiver enhver eller alle berørte netværkstjenester.
- Implementer netværkssikkerhedskontroller, herunder trafikregler og indholdsfiltrering.
- Øg hyppigheden og varigheden af overvågningsindsatsen på berørte systemer.
- Distribuer information om sårbarheden, og sørg for, at alle berørte parter er informeret – herunder leverandører og kunder.
Relevante ISO 27002 kontroller
- ISO 27002 5.14
- ISO 27002 5.20
- ISO 27002 5.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.28
Supplerende vejledning
Der bør føres et revisionsspor over alle relevante sårbarhedshåndteringsaktiviteter, og organisationens sårbarhedshåndteringsproces bør gennemgås for at sikre, at den både er egnet til formålet og opfylder organisationens voksende behov.
Når det drejer sig om cloud-baseret software, bør organisationen sikre, at tjenesteudbyderens holdning til sårbarhedshåndtering er i overensstemmelse med dens egen. Organisationer bør søge at opnå skriftlig bekræftelse af ethvert ansvar via en bindende serviceaftale (se ISO 27002 Kontrol 5.32).
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 Klausul 6.9.6.2 – Begrænsning af softwareinstallation
Referencer ISO 27002 Kontrol 8.19
For at beskytte tilgængeligheden og integriteten af PII og administrere ændringer bør organisationer:
- Sørg for, at softwareopdateringer udføres af kompetent personale (se Kontrolkontrol 8.5).
- Sørg for, at koden har forladt udviklingsstadiet sikkert og er fri for fejl.
- Test al software før opdatering eller installation for at sikre, at der ikke opstår konflikter eller fejl.
- Hold et opdateret softwarebibliotekssystem.
- Vedligeholde et 'konfigurationskontrolsystem' til at administrere driftssoftware.
- Udarbejd en 'tilbageføringsstrategi', der gendanner systemer til en tidligere fungerende tilstand for at sikre forretningskontinuitet.
- Oprethold en grundig log over eventuelle opdateringer, der udføres.
- Sørg for, at ubrugte softwareapplikationer – og alt deres tilhørende materiale – opbevares sikkert til videre brug og analyse.
- Arbejd med en softwarebegrænsningspolitik, der kører i overensstemmelse med organisationens forskellige roller og ansvarsområder.
Når du bruger software leveret af leverandøren, skal applikationer holdes i god stand og i overensstemmelse med udstederens retningslinjer.
ISO gør det eksplicit klart, at organisationer bør undgå at bruge ikke-understøttet software medmindre det er absolut nødvendigt. Organisationer bør søge at opgradere eksisterende systemer i stedet for at bruge forældede eller ikke-understøttede ældre applikationer.
En leverandør kan kræve adgang til en organisations netværk for at udføre en installation eller opdatering. Sådanne aktiviteter bør til enhver tid godkendes og overvåges (se ISO 27002 kontrol 5.22).
Supplerende vejledning
- Organisationer bør opgradere, patche og installere software i overensstemmelse med deres offentliggjorte ændringshåndteringsprocedurer.
- Patches, der udrydder sikkerhedssårbarheder eller på anden måde forbedrer organisatorisk beskyttelse af privatlivets fred, bør altid betragtes som en prioriteret ændring.
- Organisationer bør være meget omhyggelige med at bruge open source-software og bør identificere den seneste offentligt tilgængelige version for at sikre, at sikkerhedskravene bliver opfyldt i videst muligt omfang.
Relevante ISO 27002 kontroller
- ISO 27002 5.22
- ISO 27002 8.5
Understøttende kontroller fra ISO 27002 & GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.9.6.1 | Håndtering af tekniske sårbarheder |
8.8 – Håndtering af tekniske sårbarheder for ISO 27002 |
Ingen |
| 6.9.6.2 | Begrænsning af softwareinstallation |
8.19 – Installation af software på operationelle systemer til ISO 27002 |
Ingen |
Hvordan ISMS.online hjælper
Med ISMS.online platformen kan du integrere en PIMS for at sikre, at din sikkerhedsposition er alt-på-et-sted og undgår duplikering, hvor standarder overlapper hinanden.
Det har aldrig været nemmere at overvåge, rapportere og revidere i forhold til både ISO 27001 og ISO 27701 med dine PIMS øjeblikkeligt tilgængelige for interesserede parter.
Find ud af hvor meget tid og penge sparer du på din rejse til en kombineret ISO 27001 og 27701 certificering ved hjælp af ISMS.online.
