Begrijpen van ISO 27701 Clausule 6.11.2 Vereisten
Ontwikkelingsactiviteiten verspreid over meerdere afzonderlijke omgevingen zijn van groot belang voor organisaties die met verschillende gegevenscategorieën te maken hebben en de behoefte hebben om gegevens te verplaatsen tussen test-, ontwikkelings- en productieomgevingen.
In elke fase van het ontwikkelingsproces moeten PII en privacygerelateerde activa worden beschermd en hetzelfde beschermingsniveau worden geboden, ongeacht de omgeving waarin ze zich bevinden.
Wat wordt er behandeld in ISO 27701, clausule 6.11.2
ISO 27701 6.11.2 is een uitgebreide controle die meerdere aspecten van ontwikkelings- en testactiviteiten omvat.
ISO 27701 6.11.2 bevat maar liefst 9 afzonderlijke subclausules, die elk informatie bevatten uit ISO 27002 dat zich bezighoudt met aspecten van ontwikkelingsbeveiliging, gepresenteerd in het kader van privacy-informatiebeheer en PII-beveiliging:
- ISO 27701 6.11.2.1 – Beleid voor veilige ontwikkeling (ISO 27002 Controle 8.25)
- ISO 27701 6.11.2.2 – Controleprocedures voor systeemwijzigingen (ISO 27002 Controle 8.32)
- ISO 27701 6.11.2.3 – Technische beoordeling van applicaties na wijzigingen in het bedieningsplatform (ISO 27002 Controle 8.32)
- ISO 27701 6.11.2.4 – Beperkingen van wijzigingen aan softwarepakketten (ISO 27002 Controle 8.32)
- ISO 27701 6.11.2.5 - Principes van veilige systeemtechniek (ISO 27002 Controle 8.27)
- ISO 27701 6.11.2.6 – Veilige ontwikkelomgeving (ISO 27002 Control 8.31)
- ISO 27701 6.11.2.7 – Uitbestede ontwikkeling (ISO 27002 Controle 8.30)
- ISO 27701 6.11.2.8 – Testen van systeemveiligheid (ISO 27002 Controle 8.29)
- ISO 27701 6.11.2.9 – Systeemacceptatietesten (ISO 27002 Controle 8.29)
Twee subclausules (6.11.2.1 en 6.11.2.6) bevatten richtlijnen die relevant zijn voor elementen van de Britse GDPR wetgeving – voor uw gemak hebben we de onderstaande artikelen weergegeven.
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 6.11.2.1 – Beleid voor veilige ontwikkeling
Referenties ISO 27002 Controle 8.25
Organisaties moeten ervoor zorgen dat de ontwikkelingslevenscyclus wordt gecreëerd met privacybescherming in gedachten.
Om dit te bereiken moeten organisaties:
- Werken met aparte ontwikkel-, test- en ontwikkelomgevingen (zie ISO 27002 Controle 8.31).
- Publiceer richtlijnen over privacybescherming gedurende de gehele ontwikkelingslevenscyclus, inclusief methodologieën, coderingsrichtlijnen en programmeertalen (zie ISO 27002 Controls 8.28, 8.27 en 5.8).
- Schets beveiligingseisen in de specificatie- en ontwerpfase (zie ISO 27002 Controle 5.8).
- Implementeer veiligheidscontrolepunten in alle relevante projecten (zie ISO 27002 Controle 5.8).
- Voer systeem- en beveiligingstests uit, inclusief codescans en penetratietests (zie ISO 27002 Controle 5.8).
- Bied veilige opslagplaatsen aan voor alle broncode (zie ISO 27002 Controls 8.4 en 8.9).
- Voer strenge versiecontroleprocedures uit (zie ISO 27002 Controle 8.32).
- Bied medewerkers privacybescherming en applicatiebeveiligingstraining aan (zie ISO 27002 Controle 8.28).
- Analyseer het vermogen van een ontwikkelaar om kwetsbaarheden te lokaliseren, te beperken en uit te roeien (zie ISO 27002 Controle 8.28).
- Documenteer eventuele bestaande of toekomstige licentievereisten (zie ISO 27002 Controle 8.30).
Toepasselijke AVG-artikelen
- Artikel 25 – (1)
Relevante ISO 27002-controles
- ISO 27002 5.8
- ISO 27002 8.4
- ISO 27002 8.9
- ISO 27002 8.27
- ISO 27002 8.28
- ISO 27002 8.30
- ISO 27002 8.31
ISO 27701 Clausule 6.11.2.2 – Procedures voor systeemwijzigingscontrole
Referenties ISO 27002 Controle 8.32
Er moeten robuuste procedures voor verandermanagement worden geïmplementeerd die de vertrouwelijkheid, integriteit en beschikbaarheid van PII en privacygerelateerde informatie garanderen, zowel binnen de faciliteiten voor de verwerking van privacyinformatie als binnen de privacyinformatiesystemen.
Organisatorische veranderingsbeheersingsprocessen en -procedures moeten het volgende omvatten:
- Grondige effectbeoordelingen.
- Hoe wijzigingen worden geautoriseerd.
- Hoe wijzigingen aan alle relevante partijen worden gecommuniceerd.
- Acceptatietesten (zie ISO 27002 Controle 8.29).
- Implementatieplannen wijzigen.
- Noodplanning.
- Een grondig overzicht van alle veranderingsgerelateerde activiteiten.
- Updates van alle ondersteunende gebruikers- en operationele documentatie, continuïteitsplannen en BUDR-procedures (zie ISO 27002 Controls 5.37 en 5.20).
Relevante ISO 27002-controles
- ISO 27002 5.20
- ISO 27002 5.37
- ISO 27002 8.29
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.11.2.3 – Technische beoordeling van applicaties na wijzigingen in het operationele platform
Referenties ISO 27002 Controle 8.32
Zie ISO 27701 clausule 6.11.2.2
ISO 27701 Clausule 6.11.2.4 – Beperkingen van wijzigingen aan softwarepakketten
Referenties ISO 27002 Controle 8.32
Zie ISO 27701 clausule 6.11.2.2
ISO 27701 Clausule 6.11.2.5 – Principes van veilige systeemtechniek
Referenties ISO 27002 Controle 8.27
Organisatiesystemen moeten worden ontworpen, gedocumenteerd, geïmplementeerd en onderhouden met privacybescherming in gedachten.
Technische principes moeten het volgende analyseren:
- Een breed scala aan beveiligingscontroles die nodig zijn om PII te beschermen tegen specifieke en algemene bedreigingen.
- Hoe goed uitgeruste beveiligingscontroles zijn om met grote beveiligingsgebeurtenissen om te gaan.
- Gerichte controles die onderscheidend zijn voor individuele bedrijfsprocessen.
- Waar op het netwerk en hoe veiligheidscontroles moeten worden geïmplementeerd.
- Hoe verschillende bedieningselementen in harmonie met elkaar werken.
Bij technische principes moet rekening worden gehouden met:
- Architecturale integratie.
- Technische beveiligingsmaatregelen (encryptie, IAM, DAM enz.).
- Hoe goed is de organisatie toegerust om de gekozen oplossing te implementeren en te onderhouden.
- Richtlijnen voor beste praktijken in de sector.
Veilige systeemtechniek moet het volgende omvatten:
- Beproefde architecturale principes volgens de industriestandaard.
- Een uitgebreide ontwerpbeoordeling die kwetsbaarheden aan het licht brengt en helpt bij het vormen van een end-to-end-aanpak voor naleving.
- Volledige openbaarmaking van eventuele beveiligingscontroles die niet aan de verwachte eisen voldoen.
- Systeemverharding.
Organisaties moeten standaard kiezen voor een ‘zero trust’-benadering van beveiliging, door:
- Niet afhankelijk zijn van geïsoleerde gateway-beveiliging.
- Voortdurend op zoek naar verificatie op alle systemen.
- Het afdwingen van end-to-end-encryptie op alle relevante systemen.
- Het categoriseren van elk verzoek om informatie of toegang alsof het afkomstig is van buiten de organisatie, van een niet-vertrouwde bron.
- Werkend volgens de principes van 'least privilege', en gebruikmakend van dynamische toegangscontroletechnieken (zie ISO 27002 Controles 5.15, 5.18 en 8.2).
- Altijd robuuste authenticatiecontroles afdwingen, inclusief MFA (zie ISO 27002 Controle 8.5).
Wanneer de organisatie de ontwikkeling uitbesteedt aan externe organisaties, moeten er inspanningen worden gedaan om ervoor te zorgen dat de beveiligingsprincipes van de partner in lijn zijn met die van de organisatie.
Toepasselijke AVG-artikelen
- Artikel 25 – (1)
Relevante ISO 27002-controles
- ISO 27002 5.15
- ISO 27002 5.18
- ISO 27002 8.2
- ISO 27002 8.5
ISO 27701 Clausule 6.11.2.6 – Veilige ontwikkelomgeving
Referenties ISO 27002 Controle 8.31
Om PII en privacygerelateerde activa te beschermen, moeten organisaties daarvoor zorgen ontwikkeling, het testen van en productie omgevingen zijn gescheiden en beveiligd.
Om dit te bereiken moeten organisaties:
- Scheid verschillende omgevingen in afzonderlijke domeinen.
- Bouw processen die bepalen hoe software van ontwikkeling naar productie wordt verplaatst.
- Maak gebruik van test- en faseringsomgevingen (zie ISO 27002 Controle 8.29).
- Voorkom testen in productieomgevingen.
- Voer strikte controles uit op het gebruik van hulpprogramma's in live-omgevingen.
- Geef elke omgeving duidelijk een label op verschillende systemen, assets en applicaties.
- Voorkom het kopiëren van gevoelige gegevens (vooral PII) van de live-omgeving naar andere omgevingen, zonder gebruik te maken van de juiste controles om de integriteit en beschikbaarheid ervan te waarborgen.
Ontwikkel- en testomgevingen beschermen
Om gegevens in ontwikkel- en testomgevingen te beschermen, moeten organisaties:
- Werk met een breed opgezet patchingbeleid.
- Zorg ervoor dat alle systemen en applicaties veilig zijn geconfigureerd volgens de best practice richtlijnen.
- Beheer de toegang tot ontwikkel- en testomgevingen nauwgezet.
- Zorg ervoor dat eventuele wijzigingen in de genoemde omgevingen worden gemonitord.
- Implementeer een uitgebreide reeks BUDR-protocollen.
- Zorg ervoor dat geen enkele medewerker wijzigingen kan aanbrengen in de ontwikkelings- en productieomgeving zonder managementbeoordeling en een grondig goedkeuringsproces.
ISO maakt expliciet duidelijk dat ontwikkelings- en testpersoneel een onevenredig groot risico voor PII vormt – hetzij direct als gevolg van kwaadwillige acties, hetzij onbedoeld als gevolg van fouten in het ontwikkelingsproces.
Het is van cruciaal belang dat geen enkele medewerker de mogelijkheid heeft om wijzigingen aan te brengen in en binnen de ontwikkel- en productieomgeving zonder de juiste autorisatie, inclusief een beoordeling van de vereiste wijzigingen en goedkeuring in meerdere stappen (zie ISO 27002 Controle 8.33).
Organisaties moeten grote zorg besteden aan het waarborgen van de integriteit en beschikbaarheid van PII tijdens het gehele ontwikkelings- en testproces, inclusief meerdere live productieomgevingen, trainingsomgevingen en scheiding van taken.
Relevante ISO 27002-controles
- ISO 27002 8.29
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.11.2.7 – Uitbestede ontwikkeling
Referenties ISO 27002 Controle 8.30
Als de noodzaak zich voordoet om de ontwikkeling uit te besteden, moeten organisaties ervoor zorgen dat de beveiligingspraktijken van derden in lijn zijn met die van henzelf.
Organisaties moeten hun vereisten vanaf het begin duidelijk communiceren en voortdurend beoordelen in hoeverre de ontwikkelingspartner in staat is te doen wat van hem/haar wordt verwacht.
Organisaties moeten overwegen:
- Licenties, eigendom en IE-rechten (zie ISO 27002 Controle 5.32).
- Contractuele punten die te maken hebben met om mooie tassen te ontwerpen, codering en het testen van (zie ISO 27002 Controles 8.25 en 8.29).
- Derden voorzien van een actueel dreigingsmodel.
- Testvereisten, zowel bij oplevering als doorlopend – acceptatietests, kwetsbaarheidstests, interne malwaretests en beveiligingsrapporten (zie ISO 27002 Controle 8.29).
- Broncodewaarborgen, zoals een escrow-service die beschermt tegen omzetverlies van de kant van de ontwikkelaar.
- Het recht van de organisatie om ontwikkelingsprocessen te auditeren.
- Een lijst met beveiligingseisen voor de ontwikkelomgeving (zie ISO 27002 Control 8.31);
- En wetgevende, regelgevende of reeds bestaande contractuele verplichtingen.
Relevante ISO 27002-controles
- ISO 27002 5.32
- ISO 27002 8.25
- ISO 27002 8.29
- ISO 27002 8.31
ISO 27701 Clausule 6.11.2.8 – Testen van systeembeveiliging
Referenties ISO 27002 Controle 8.29
Organisaties moeten ervoor zorgen dat, wanneer code op enigerlei wijze wordt geïmplementeerd en/of verplaatst van een ontwikkelomgeving naar de live-omgeving, privacybescherming als prioriteit wordt behandeld en PII wordt beschermd tegen verlies van integriteit of beschikbaarheid.
Het testen moet het volgende omvatten:
- Gestandaardiseerde netwerkbeveiligingsfuncties (bijv. gebruikersaanmelding, encryptie) (zie ISO 27002 Controls 8.5, 8.3 en 8.24).
- Veilige codering.
- Beveiligde configuraties voor alle netwerkapparaten en beveiligingscomponenten (zie ISO 27002 Controls 8.9, 8.20 en 8.22).
Testplannen
Alle testplannen moeten direct proportioneel zijn aan het systeem dat ze testen, en de schaal van de verandering of dataset waarop ze zich richten.
Testplannen moeten een reeks automatiseringstools omvatten en bestaan uit:
- Een uitgebreid testschema.
- Verwachte resultaten onder verschillende omstandigheden.
- Testcriteria, voor evaluatiedoeleinden.
- Vervolgacties, gebaseerd op verwachte of afwijkende resultaten.
Interne ontwikkelingstests moeten altijd worden geverifieerd door een externe specialist. Dergelijke tests moeten het volgende omvatten:
- Identificatie van beveiligingsfouten (codebeoordelingen enz.).
- Scannen op kwetsbaarheden.
- Gestructureerde penetratietesten.
ISO beveelt aan dat alle tests worden uitgevoerd in een omgeving die de productieomgeving op zoveel mogelijk manieren weerspiegelt, om een nauwkeurige en praktische reeks resultaten te garanderen waarmee de prestaties kunnen worden gemeten (zie ISO 27002 Controle 8.31).
Relevante ISO 27002-controles
- ISO 27002 8.3
- ISO 27002 8.5
- ISO 27002 8.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.24
- ISO 27002 8.31
ISO 27701 Clausule 6.11.2.9 – Systeemacceptatietesten
Referenties ISO 27002 Controle 8.29
Zie ISO 27701 clausule 6.11.2.8
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.11.2.1 | Veilig ontwikkelingsbeleid | 8.25 – Levenscyclus van veilige ontwikkeling voor ISO 27002 | Artikel (25) |
| 6.11.2.2 | Controleprocedures voor systeemwijzigingen | 8.32 – Wijzigingsbeheer voor ISO 27002 | Geen |
| 6.11.2.3 | Technische beoordeling van applicaties na wijzigingen in het besturingssysteem | 8.32 – Wijzigingsbeheer voor ISO 27002 | Geen |
| 6.11.2.4 | Beperkingen van wijzigingen aan softwarepakketten | 8.32 – Wijzigingsbeheer voor ISO 27002 | Geen |
| 6.11.2.5 | Principes van veilige systeemtechniek | 8.27 – Veilige systeemarchitectuur en engineeringprincipes voor ISO 27002 | Artikel (25) |
| 6.11.2.6 | Veilige ontwikkelomgeving | 8.31 – Scheiding van ontwikkelings-, test- en productieomgevingen voor ISO 27002 | Geen |
| 6.11.2.7 | Uitbestede ontwikkeling | 8.30 – Uitbestede ontwikkeling voor ISO 27002 | Geen |
| 6.11.2.8 | Systeembeveiligingstesten | 8.29 – Beveiligingstests bij de ontwikkeling en acceptatie van ISO 27002 | Geen |
| 6.11.2.9 | Systeemacceptatietesten | 8.29 – Beveiligingstests bij de ontwikkeling en acceptatie van ISO 27002 | Geen |
Hoe ISMS.online helpt
Om ISO 27701 te behalen moet u een Privacy Informatie Management Systeem (PIMS) bouwen. Met ons voorgeconfigureerde PIMS kunt u snel en eenvoudig klant-, leveranciers- en personeelsinformatie organiseren en beheren om volledig te voldoen aan ISO 27701.
Ook kunt u op het ISMS.online platform tegemoet komen aan het groeiende aantal mondiale, regionale en sectorspecifieke privacyregelgeving die wij ondersteunen.
Om de certificering volgens ISO 27701 (privacy) te behalen, moet u eerst de certificering volgens ISO 27001 (informatiebeveiliging) behalen. Het goede nieuws is dat ons platform u kan helpen beide te doen.
Lees meer via het boeken van een hands-on demo.
