ISO 27701 – Klausul 6.9 – Driftssikkerhed

ISO 27701 paragraf 6.9 om driftssikkerhed skitserer nøgleforanstaltninger til beskyttelse af personligt identificerbare oplysninger (PII), herunder hændelseslogning, malwarebeskyttelse, softwarekontrol, sårbarhedsstyring og systemrevision for at sikre overholdelse og datasikkerhed.

Book en demo
Forfatter
Max Edwards
Opdateret 26. februar 2025
LinkedIn Twitter Twitter

Forståelse af paragraf 6.9: Driftssikkerhed i ISO 27701

Den daglige drift af et IKT-netværk rummer adskillige faldgruber, som har potentiale til at påvirke en organisations evne til at overholde sine lovgivningsmæssige, regulatoriske og kontraktlige forpligtelser.

Operations Security er et vidtfavnende emne, der beskæftiger sig med en række spørgsmål, der vedrører tilgængeligheden og integriteten af ​​PII og privatlivsrelaterede oplysninger, på tværs af en organisations hele drift.

Hvad er dækket af ISO 27701 klausul 6.9

ISO 27701 paragraf 6.9 indeholder 4 underklausuler, som hver svarer til en tilstødende underklausul i ISO 27002:

  • ISO 27701 6.9.1.1 – Dokumentation af driftsprocedurer (ISO 27002 kontrol 5.37)
  • ISO 27701 6.9.1.2 – Forandringsledelse (ISO 27002 Kontrol 8.32)
  • ISO 27701 6.9.1.3 – Kapacitetsstyring (ISO 27002 kontrol 8.6)
  • ISO 27701 6.9.1.4 – Adskillelse af udviklings-, test- og driftsmiljøer (ISO 27002 Kontrol 8.31)

ISO giver ingen yderligere vejledning til PIMS eller PII-relaterede aktiviteter, og der er heller ingen UK GDPR hensyn at tage.



Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo


ISO 27701 Klausul 6.9.1.1 – Dokumentation af driftsprocedurer

Referencer ISO 27002 Kontrol 5.37

Organisationer bør grundigt dokumentere procedurer forbundet med beskyttelse af privatlivets fred, herunder:

  • Aktiviteter, der skal udføres flere gange af det samme personale.
  • Aktiviteter, der normalt ikke udføres, og hvornår det næste tilfælde sandsynligvis vil opstå.
  • Nye aktiviteter.
  • Overdragelse af ansvaret til andet personale.

Processer og procedurer bør klart specificere:

  • Personer med ansvar for at udføre aktiviteten.
  • Hvordan systemer skal implementeres.
  • Hvordan PII og relaterede oplysninger skal opbevares og håndteres.
  • Sikkerhedskopier planer og forretningsresiliens (se ISO 27002 Kontrol 8.13).
  • Eventuelle planlægningskrav.
  • Tydelige instruktioner, der skitserer, hvordan personalet skal håndtere særlige forhold, der opstår under processen med at beskytte PII og privatlivsrelaterede aktiver, herunder hjælpeprogrammer (se ISO 27002 Kontrol 8.18).
  • Hvordan man implementerer og administrerer lagermedier (se ISO 27002 kontrol 7.10 og 7.14).
  • Systemgendannelsesprocedurer.
  • Hvordan personalet skal administrere revisionsspor, system- og hændelseslogfiler og andre tilknyttede overvågningssystemer (se ISO 27002 kontrol 8.15, 8.17 og 7.4).
  • Kapacitet, ydeevne og sikkerhedsovervågning (se ISO 27002 kontrol 8.6 og 8.16).

Organisationer bør sikre, at politikker og procedurer gennemgås med passende intervaller og opdateres, når operationelle behov ændrer sig.

Hvor det er muligt, anbefaler ISO, at systemerne skal vedligeholdes ved hjælp af det samme sæt administrative kontroller og applikationer.

Relevante ISO 27002 kontroller

  • ISO 27002 7.4
  • ISO 27002 7.10
  • ISO 27002 7.14
  • ISO 27002 8.6
  • ISO 27002 8.13
  • ISO 27002 8.15
  • ISO 27002 8.16
  • ISO 27002 8.17
  • ISO 27002 8.18

ISO 27701 paragraf 6.9.1.2 – Forandringsledelse

Referencer ISO 27002 Kontrol 8.32

Når et nyt system introduceres, eller der planlægges større ændringer i eksisterende systemer, bør organisationer overholde et struktureret system, der dækker over:

  • Dokumentation.
  • Den specifikation.
  • Testing.
  • Kvalitetskontrol.
  • Styret implementering.

Ændringsprocedurer bør omfatte:

  • En analyse af virkningen af ​​eventuelle foreslåede ændringer.
  • Godkendelsesprocedurer.
  • Formidling af ændringer til alle interesserede.
  • Test – herunder stive acceptkriterier.
  • Hvordan ændringer foretages i implementeringsfaserne.
  • Beredskabsplaner, der dækker over eventuelle forandringsrelaterede hændelser under implementering.
  • Hvordan man opretholder tilstrækkelige registre over al forandringsrelateret aktivitet.
  • Opdatering af alle relevante driftsdokumenter og brugervejledninger (se ISO 27002 Kontrol 5.37).

ISO går ind for test og enhver forandringsrelateret aktivitet i et miljø, der er logisk (og potentielt fysisk) adskilt fra det operationelle miljø, som ændringerne er indstillet til at påvirke) (se ISO 27002 Kontrol 8.31).

Relevante ISO 27002 kontroller

  • ISO 27002 5.37
  • ISO 27002 8.31


Overholdelse behøver ikke at være kompliceret.

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo


ISO 27701 paragraf 6.9.1.3 – Kapacitetsstyring

Referencer ISO 27002 Kontrol 8.6

Organisationer skal sikre, at de har tilstrækkelig driftskapacitet til at udføre daglige forretningsfunktioner, så PII eller privatlivsrelateret materiale ikke kompromitteres.

Organisationer bør:

  • Overvej forretningskontinuitet og privatlivsbeskyttelse som en topprioritet, når du implementerer kapacitetsstyringskontroller, herunder detektivkontroller, der fremhæver potentielle problemer, før de opstår.
  • Baser deres kapacitetsstyring på de proaktive funktioner tuning og overvågning.
  • Udfør regelmæssige stresstests, der undersøger systemets evne til at imødekomme overordnede forretningsbehov og regler, love og retningslinjer for beskyttelse af privatlivets fred.
  • Medtag planer for kommerciel og teknisk udvidelse (både fra et fysisk og digitalt perspektiv) af driften.
  • Overvej varierende gennemløbstider og omkostninger, afhængigt af det pågældende system eller forretningsfunktion. Privatlivsrelaterede ressourcer bør gives mere opmærksomhed på grund af deres høje risikoprofil.
  • Dokumenter og observer enkelte fejlpunkter i forbindelse med en afhængighed af nøglepersoner, individuelle ressourcer og PII.
  • Udarbejde og implementere en kapacitetsstyringsplan, der specifikt omhandler privatlivsbeskyttelse.

ISO går ind for en dobbeltfrontstilgang til kapacitetsstyring, der enten øger kapaciteten eller reducerer efterspørgslen på en ressource eller et sæt ressourcer.

Når organisationer forsøger at øge kapaciteten, bør de:

  1. Overvej at ansætte nye medarbejdere for at imødekomme voksende forretningskrav.
  2. Udvid til nye fysiske lokationer – herunder databehandlings- og lagerfaciliteter.
  3. Overvej at bruge cloud-ressourcer, der automatisk udvides for at imødekomme organisationens voksende behov.

Når organisationer forsøger at reducere efterspørgslen, bør de:

  • Slet forældede eller ubrugte data.
  • Bortskaf alle papirkopier af oplysninger, som organisationen ikke længere har brug for, og som ikke er juridisk forpligtet til at opbevare.
  • Nedluk alle ikt-ressourcer, der ikke længere er nødvendige.
  • Implementer planlagte IKT-opgaver, der optimerer hukommelsesressourcer og minimerer lagerplads.
  • Sørg for, at alle stykker eksekverbar kode eller databaseforespørgsler er optimeret til at reducere efterspørgslen på beregnings- og lagerressourcer.
  • Begræns internetadgang og forbyd video-/lydstreaming fra arbejdsenheder.

ISO 27701 klausul 6.9.1.4 – Adskillelse af udviklings-, test- og driftsmiljøer

Referencer ISO 27002 Kontrol 8.31

ISO identificerer tre forskellige testmiljøer, der skal adskilles fra hinanden:

  • Udvikling
  • Test
  • Produktion

For at sikre, at PII er beskyttet på tværs af alle tre miljøer (især i hele produktionsmiljøet), bør organisationer:

  • Betjene produktions- og udviklingssystemer i tydeligt forskellige domæner (fysiske og virtuelle).
  • Definer strengt, hvordan software implementeres fra udviklingsstadiet til produktionsstadiet.
  • Test grundigt eventuelle ændringer af produktionssystemer i et testmiljø, før de anvendes i et levende miljø (se ISO 27002 kontrol 8.29).
  • Forbyd testning i levende produktionsmiljøer, bortset fra særlige tilfælde, der har modtaget forudgående tilladelse.
  • Sørg for, at udviklingsværktøjer ikke er tilgængelige fra levende produktionsmiljøer, medmindre det udtrykkeligt kræves.
  • Mærk systemer og aktiver for tydeligt at angive, hvilket miljø de tilhører.
  • Undgå kopiering af privatlivsrelateret information fra produktionsmiljøet til ethvert andet miljø, medmindre nævnte data er underlagt det samme sæt sikkerhedskontroller, uanset hvor de kopieres til.

Udviklings- og testmiljøer bør beskyttes af:

  1. Opdatering og patch af ALLE udviklingsværktøjer.
  2. Bedste praksis konfigurationer.
  3. Revision og overvågning af eventuelle ændringer i miljøet.
  4. Robuste BUDR-planer.

ISO gør det eksplicit klart, at udviklings- og testpersonale udgør en uforholdsmæssig risiko for PII – enten direkte på grund af ondsindede handlinger eller utilsigtet på grund af fejl i udviklingsprocessen.

Det er afgørende vigtigt, at ingen enkelt medarbejder har evnen til at foretage ændringer både til og inden for udviklings- og produktionsmiljøer uden behørig autorisation, herunder en gennemgang af de nødvendige ændringer og flertrinsgodkendelse (se ISO 27002 Kontrol 8.33).

Organisationer bør være meget omhyggelige med at sikre integriteten og tilgængeligheden af ​​PII gennem hele udviklings- og testprocessen, herunder flere levende produktionsmiljøer, træningsmiljøer og adskillelse af opgaver.

Relevante ISO 27002 kontroller

  • ISO 27002 8.29
  • ISO 27002 8.33

Understøttende kontroller fra ISO 27002 & GDPR

ISO 27701 klausulidentifikatorISO 27701-klausulens navnISO 27002 kravTilknyttede GDPR-artikler
6.9.1.1Dokumentation af driftsprocedurer
5.37 – Dokumenterede driftsprocedurer for ISO 27002
Ingen
6.9.1.2Change Management
8.32 – Change Management for ISO 27002
Ingen
6.9.1.3Kapacitetsstyring
8.6 – Kapacitetsstyring for ISO 27002
Ingen
6.9.1.4Adskillelse af udviklings-, test- og driftsmiljøer
8.31 – Adskillelse af udviklings-, test- og produktionsmiljøer for ISO 27002
Ingen

Hvordan ISMS.online hjælper

For at overholde ISO 27701 skal du oprette et Privacy Information Management System (PIMS). Med vores præbyggede PIMS kan du hurtigt og enkelt administrere og organisere kunde-, leverandør- og medarbejderdata for fuldt ud at opfylde standarden.

Ydermere kan ISMS.online imødekomme det voksende antal globale, regionale og sektorspecifikke regler om beskyttelse af personlige oplysninger.

Før du bliver ISO 27701 (privatliv) certificeret, skal du først blive ISO 27001 (informationssikkerhed) certificeret. Heldigvis kan vores platform hjælpe dig med at opnå begge dele.

Find ud af mere ved booking af en demo.

Gå til emnet

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

ISMS platform tur

Interesseret i en ISMS.online platform tour?

Start din gratis 2-minutters interaktive demo nu, og oplev magien ved ISMS.online i aktion!

Prøv gratis

Vi er førende inden for vores felt

Brugere elsker os
Netleder - forår 2025
Momentum Leader - forår 2025
Regional leder - Forår 2025 Storbritannien
Regional leder - EU forår 2025
Bedste Est. ROI Enterprise - forår 2025
Mest sandsynligt at anbefale Enterprise - forår 2025

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

-Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

- Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

- Ben H.

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!