ISO 27701 Clausule 6.9.5: Versterking van softwarebeveiligingscontroles
Software-implementaties, patches, updates en nieuwe installaties kunnen op talloze manieren invloed hebben op PII en privacygerelateerde activa.
Organisaties moeten uiterst voorzichtig zijn bij het installeren van applicaties, hulpprogramma's en uitvoerbare code op operationele systemen.
Wat wordt er behandeld in ISO 27701, clausule 6.9.5
ISO 27701 clausule 6.9.5 bevat slechts één subclausule (ISO 27701 6.9.5.1) die uitsluitend handelt over de installatie van software op operationele systemen.
Er zijn geen aanvullende PIMS- of PII-gerelateerde begeleidingspunten, noch is er sprake van een gekoppeld VK GDPR artikelen om over na te denken.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
ISO 27701 Clausule 6.9.5.1 – Installatie van software op besturingssystemen
Referenties ISO 27002 Controle 8.19
Om de beschikbaarheid en integriteit van PII te beschermen en wijzigingen door te voeren, moeten organisaties:
- Zorg ervoor dat software-updates worden uitgevoerd door bevoegd personeel (zie ISO 27002 Controle 8.5).
- Zorg ervoor dat de code de ontwikkelingsfase veilig heeft verlaten en vrij is van bugs.
- Test alle software voordat u deze bijwerkt of installeert, om er zeker van te zijn dat er geen conflicten of fouten optreden.
- Zorg voor een up-to-date softwarebibliotheeksysteem.
- Onderhoud een 'configuratiecontrolesysteem' om operationele software te beheren.
- Stel een 'rollback-strategie' op die systemen herstelt naar een voorheen werkende staat, om de bedrijfscontinuïteit te garanderen.
- Houd een uitgebreid logboek bij van alle uitgevoerde updates.
- Zorg ervoor dat ongebruikte softwareapplicaties – en al het bijbehorende materiaal – veilig worden opgeslagen voor verder gebruik en analyse.
- Werk met een softwarebeperkingsbeleid, dat in overeenstemming is met de verschillende rollen en verantwoordelijkheden van de organisatie.
Wanneer gebruik wordt gemaakt van door de leverancier geleverde software, moeten de applicaties in goede staat blijven en in overeenstemming zijn met de richtlijnen van de uitgever.
ISO maakt expliciet duidelijk dat organisaties het gebruik van niet-ondersteunde software moeten vermijden tenzij absoluut noodzakelijk. Organisaties moeten proberen bestaande systemen te upgraden, in plaats van verouderde of niet-ondersteunde verouderde applicaties te gebruiken.
Een leverancier heeft mogelijk toegang nodig tot het netwerk van een organisatie om een installatie of update uit te voeren. Dergelijke activiteiten moeten te allen tijde worden geautoriseerd en gecontroleerd (zie ISO 27002 Controle 5.22).
Aanvullende begeleiding
- Organisaties moeten software upgraden, patchen en installeren in overeenstemming met hun gepubliceerde change management-procedures.
- Patches die beveiligingskwetsbaarheden uitroeien of anderszins de privacybescherming van de organisatie verbeteren, moeten altijd als een prioriteitsverandering worden beschouwd.
- Organisaties moeten grote zorgvuldigheid betrachten bij het gebruik van open source-software en moeten de nieuwste publiekelijk beschikbare versie identificeren om ervoor te zorgen dat in de ruimste zin aan de beveiligingsvereisten wordt voldaan.
Ondersteunende controles
- ISO 27002 5.22
- ISO 27002 8.5
Ondersteunende controles van ISO 27002 en AVG
| ISO 27701-clausule-identificatie | ISO 27701 Clausulenaam | ISO 27002-vereiste | Bijbehorende AVG-artikelen |
|---|---|---|---|
| 6.9.5.1 | Installatie van software op besturingssystemen | 8.19 – Installatie van software op besturingssystemen voor ISO 27002 | Geen |
Hoe ISMS.online helpt
U moet een Privacy Information Management System (PIMS) opzetten om te voldoen aan de ISO 27701-normen. Met behulp van onze vooraf geconfigureerde PIMS kunt u snel en eenvoudig klant-, leveranciers- en werknemersinformatie organiseren en beheren om volledig te voldoen aan de ISO 27701-normen.
ISMS.online kan ook tegemoetkomen aan het groeiende aantal mondiale, regionale en sectorspecifieke privacyregelgeving.
Om de ISO 27001 (privacy) certificering te behalen, moet u eerst ISO 27701 (informatiebeveiliging) gecertificeerd zijn. Gelukkig kan ons platform u helpen met beide certificeringen.
