Belangrijkste vereisten van ISO 27701 Clausule 6.11 uitgelegd
Applicatiediensten, informatiebeveiligingseisen en projectmanagementactiviteiten moeten worden ontwikkeld naast alle inspanningen van de organisatie om de privacy te beschermen, om ervoor te zorgen dat PII en betalings-/bestelgegevens de grootst mogelijke bescherming krijgen gedurende de hele levenscyclus van de applicatie en het project.
Wat wordt er behandeld in ISO 27701, clausule 6.11
ISO 27701 Clausule 6.11 bevat drie subclausules die betrekking hebben op de belangrijkste elementen van systeemverwerving, waarbij elke clausule aangrenzende richtlijnen bevat voor controles die zijn opgenomen in ISO 27002 :
- ISO 27701 6.11.1.1 – Analyse en specificatie van informatiebeveiligingseisen (ISO 27002 Controle 5.8)
- ISO 27701 6.11.1.2 – Beveiliging van applicatiediensten op openbare netwerken (ISO 27002 Controle 8.26)
- ISO 27701 6.11.1.3 – Beveiliging van transacties met applicatieservices (ISO 27002 Controle 8.26)
Eén subclausule – 6.11.1.2 – bevat informatie die van toepassing is op Britse elementen GDPR wetgeving, zonder verdere begeleiding over PIMS- of PII-gerelateerde onderwerpen.
Houd er rekening mee dat AVG-vermeldingen uitsluitend voor indicatieve doeleinden zijn. Organisaties moeten de wetgeving nauwkeurig onderzoeken en hun eigen oordeel vormen over welke delen van de wet op hen van toepassing zijn.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
ISO 27701 Clausule 6.11.1.1 – Analyse en specificatie van informatiebeveiligingsvereisten
Referenties ISO 27002 Controle 5.8
Procedures voor privacybescherming moeten worden geïntegreerd in projectmanagementactiviteiten om ervoor te zorgen dat PII overal wordt beschermd en het beveiligingsbeleid van de organisatie op elkaar is afgestemd.
Organisaties moeten ervoor zorgen dat:
- Risico's op het gebied van privacybescherming worden gedurende de gehele levenscyclus van het project in aanmerking genomen, vooral in de beginfase.
- De voortgang van de risicobeperking op het gebied van privacybescherming wordt periodiek beoordeeld, waarbij de nadruk ligt op het verbeteren van de effectiviteit en veerkracht.
- Projectcommissies houden in de juiste fasen van het project rekening met de privacybeschermingsmaatregelen.
- Rollen en verantwoordelijkheden voor de bescherming van de privacy moeten in een vroeg stadium worden vastgelegd.
- Alle producten die als onderdeel van het project worden geleverd, hebben een duidelijke set privacybeschermingseisen.
- De levenscycli van projecten (agile, waterval enz.) weerspiegelen de risicovereisten van het project gedurende een bepaalde fase, met de nadruk op privacybescherming.
ISO 27701 Clausule 6.11.1.2 – Beveiliging van applicatieservices op openbare netwerken
Referenties ISO 27002 Controle 8.26
Applicatiebeveiligingsprocedures moeten worden ontwikkeld naast een breder privacybeleid, meestal via een gestructureerde risicobeoordeling die rekening houdt met meerdere variabelen.
Beveiligingsvereisten voor applicaties moeten het volgende omvatten:
- De niveaus van vertrouwen die inherent zijn aan alle netwerkentiteiten (zie ISO 27002-controles 5.17, 8.2 en 8.5).
- De classificatie van gegevens waarvoor de applicatie is geconfigureerd om te verwerken (inclusief PII).
- Eventuele segregatievereisten.
- Bescherming tegen interne en externe aanvallen en/of kwaadwillig gebruik.
- Alle geldende wettelijke, contractuele of regelgevende vereisten.
- Robuuste bescherming van vertrouwelijke informatie.
- Gegevens die onderweg kunnen worden beschermd.
- Eventuele cryptografische vereisten.
- Veilige invoer- en uitvoercontroles.
- Minimaal gebruik van onbeperkte invoervelden – vooral de velden die de potentie hebben om persoonlijke gegevens op te slaan.
- De afhandeling van foutmeldingen, inclusief duidelijke communicatie van foutcodes.
Transactionele Diensten
Transactionele diensten die de stroom van privacygegevens tussen de organisatie en een externe organisatie of partnerorganisatie vergemakkelijken, moeten:
- Zorg voor een passend niveau van vertrouwen tussen de identiteiten van de organisatie.
- Mechanismen opnemen die het vertrouwen tussen gevestigde identiteiten controleren (bijvoorbeeld hashing en digitale handtekeningen).
- Stel robuuste procedures op die bepalen wat werknemers in staat zijn om belangrijke transactiedocumenten te beheren.
- Document- en transactiebeheerprocedures bevatten die betrekking hebben op de vertrouwelijkheid, integriteit, het bewijs van verzending en ontvangst van belangrijke documenten en transacties.
- Voeg specifieke richtlijnen toe over hoe u transacties vertrouwelijk kunt houden.
Elektronische bestel- en betalingsapplicaties
Voor alle toepassingen waarbij elektronisch bestellen en/of betalen betrokken is, moeten organisaties:
- Schets strikte eisen voor de bescherming van betalings- en bestelgegevens.
- Controleer de betalingsgegevens voordat een bestelling wordt geplaatst.
- Bewaar transactie- en privacygerelateerde gegevens veilig op een manier die niet toegankelijk is voor het publiek.
- Maak gebruik van vertrouwde autoriteiten bij het implementeren van digitale handtekeningen, waarbij u te allen tijde de privacybescherming in gedachten houdt.
Toepasselijke AVG-artikelen
- Artikel 5 – (1)(f)
- Artikel 32 – (1)(a)
Relevante ISO 27002-controles
- ISO 27002 5.17
- ISO 27002 8.2
- ISO 27002 8.5
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
ISO 27701 Clausule 6.11.1.3 – Bescherming van transacties in applicatieservices
Referenties ISO 27002 Controle 8.26
Zie ISO 27701 clausule 6.11.1.2
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.11.1.1 | Analyse en specificatie van informatiebeveiligingsvereisten | 5.8 – Informatiebeveiliging in projectmanagement voor ISO 27002 | Geen |
| 6.11.1.2 | Applicatieservices op openbare netwerken beveiligen | 8.26 – Applicatiebeveiligingsvereisten voor ISO 27002 | Artikelen (5), (32) |
| 6.11.1.3 | Beveiliging van Application Services-transacties | 8.26 – Applicatiebeveiligingsvereisten voor ISO 27002 | Geen |
Hoe ISMS.online helpt
Ons alles-in-één-platform zorgt ervoor dat uw privacywerk aansluit bij en voldoet aan de behoeften van elke sectie van de ISO 27701-norm. En omdat het reguleringsonafhankelijk is, kunt u het toewijzen aan elke gewenste regelgeving.
- Ingebouwde risicobank
- ROPA gemakkelijk gemaakt
- Veilige ruimte voor DRR
Meer informatie via een demo boeken.
