Meteen naar de inhoud
Werk slimmer met onze nieuwe, verbeterde navigatie!
Ontdek hoe IO naleving eenvoudiger maakt. Lees de blog
ISMS.online

ISO 27701 – Clausule 6.9 – Operationele beveiliging

In ISO 27701 Clausule 6.9 over operationele beveiliging worden de belangrijkste maatregelen beschreven om persoonlijk identificeerbare informatie (PII) te beschermen, waaronder gebeurtenisregistratie, bescherming tegen malware, softwarebeheer, kwetsbaarheidsbeheer en systeemaudits om naleving en gegevensbeveiliging te waarborgen.

Auteur
Toby Cane
Bijgewerkt juli 25, 2025
4 / 5 sterren

Begrijpen van Clausule 6.9: Operationele beveiliging in ISO 27701

Het dagelijkse beheer van een ICT-netwerk kent talloze valkuilen die van invloed kunnen zijn op het vermogen van een organisatie om te voldoen aan haar wettelijke, regelgevende en contractuele verplichtingen.

Operations Security is een veelomvattend onderwerp dat een verscheidenheid aan zaken behandelt die verband houden met de beschikbaarheid en integriteit van PII en privacygerelateerde informatie, binnen de gehele bedrijfsvoering van een organisatie.

Wat wordt er behandeld in ISO 27701, clausule 6.9

ISO 27701 clausule 6.9 bevat 4 subclausules, die elk overeenkomen met een aangrenzende subclausule in ISO 27002 :

  • ISO 27701 6.9.1.1 – Documenteren van operationele procedures (ISO 27002 Controle 5.37)
  • ISO 27701 6.9.1.2 – Verandermanagement (ISO 27002 Controle 8.32)
  • ISO 27701 6.9.1.3 – Capaciteitsbeheer (ISO 27002 Controle 8.6)
  • ISO 27701 6.9.1.4 – Scheiding van ontwikkelings-, test- en operationele omgevingen (ISO 27002 Controle 8.31)

ISO biedt geen aanvullende richtlijnen voor PIMS- of PII-gerelateerde activiteiten, en er zijn er ook geen in het Verenigd Koninkrijk GDPR overwegingen om rekening mee te houden.



ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Beheer al uw compliance op één plek

ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.

Boek uw demo


ISO 27701 Clausule 6.9.1.1 – Documenteren van operationele procedures

Referenties ISO 27002 Controle 5.37

Organisaties moeten de procedures die verband houden met privacybescherming grondig documenteren, waaronder:

  • Activiteiten die meerdere keren door hetzelfde personeel moeten worden uitgevoerd.
  • Activiteiten die normaal gesproken niet worden uitgevoerd, en wanneer het volgende exemplaar zich waarschijnlijk zal voordoen.
  • Nieuwe activiteiten.
  • Verantwoordelijkheid doorgeven aan ander personeel.

Processen en procedures moeten duidelijk specificeren:

  • Individuen die verantwoordelijk zijn voor het uitvoeren van de activiteit.
  • Hoe systemen geïmplementeerd moeten worden.
  • Hoe PII en gerelateerde informatie moeten worden opgeslagen en verwerkt.
  • Maakt back-ups van plannen en bedrijfsveerkracht (zie ISO 27002 Controle 8.13).
  • Eventuele planningsvereisten.
  • Duidelijke instructies waarin wordt beschreven hoe het personeel moet omgaan met speciale omstandigheden die zich voordoen tijdens het proces van het beschermen van PII en privacygerelateerde activa, inclusief hulpprogramma's (zie ISO 27002 Controle 8.18).
  • Hoe u opslagmedia implementeert en beheert (zie ISO 27002 Controls 7.10 en 7.14).
  • Systeemherstelprocedures.
  • Hoe personeel audit trails, systeem- en gebeurtenislogboeken en andere bijbehorende monitoringsystemen moet beheren (zie ISO 27002 Controles 8.15, 8.17 en 7.4).
  • Capaciteits-, prestatie- en beveiligingsmonitoring (zie ISO 27002 Controls 8.6 en 8.16).

Organisaties moeten ervoor zorgen dat beleid en procedures met passende tussenpozen worden herzien en bijgewerkt wanneer de operationele behoeften veranderen.

Waar mogelijk beveelt ISO aan dat systemen worden onderhouden met dezelfde set administratieve controles en applicaties.

Relevante ISO 27002-controles

  • ISO 27002 7.4
  • ISO 27002 7.10
  • ISO 27002 7.14
  • ISO 27002 8.6
  • ISO 27002 8.13
  • ISO 27002 8.15
  • ISO 27002 8.16
  • ISO 27002 8.17
  • ISO 27002 8.18

ISO 27701 Clausule 6.9.1.2 – Verandermanagement

Referenties ISO 27002 Controle 8.32

Telkens wanneer een nieuw systeem wordt geïntroduceerd of er grote wijzigingen in bestaande systemen worden gepland, moeten organisaties zich houden aan een gestructureerd systeem dat het volgende omvat:

  • Documentatie.
  • De specificatie.
  • Testing.
  • Kwaliteitscontrole.
  • Beheerde implementatie.

Wijzigingsprocedures moeten het volgende omvatten:

  • Een analyse van de impact van eventuele voorgestelde wijzigingen.
  • Autorisatieprocedures.
  • Verspreiding van wijzigingen naar alle geïnteresseerde partijen.
  • Testen – inclusief strenge acceptatiecriteria.
  • Hoe veranderingen worden doorgevoerd tijdens de implementatiefasen.
  • Noodplannen die eventuele veranderingsgerelateerde incidenten tijdens de implementatie afdekken.
  • Hoe u adequate registraties kunt bijhouden van alle veranderingsgerelateerde activiteiten.
  • Actualiseren van alle relevante bedrijfsdocumenten en gebruikersinstructies (zie ISO 27002 Controle 5.37).

ISO pleit voor het testen en van elke veranderingsgerelateerde activiteit in een omgeving die logisch (en potentieel fysiek) gescheiden is van de operationele omgeving waarop de veranderingen van invloed zullen zijn) (zie ISO 27002 Controle 8.31).

Relevante ISO 27002-controles

  • ISO 27002 5.37
  • ISO 27002 8.31


beklimming

Bevrijd jezelf van een berg spreadsheets

Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.

Boek uw demo


ISO 27701 Clausule 6.9.1.3 – Capaciteitsbeheer

Referenties ISO 27002 Controle 8.6

Organisaties moeten ervoor zorgen dat ze over voldoende operationele capaciteit beschikken om de dagelijkse zakelijke taken uit te voeren, zodat PII of privacygerelateerd materiaal niet in gevaar komt.

Organisaties moeten:

  • Beschouw bedrijfscontinuïteit en privacybescherming als topprioriteit bij het implementeren van capaciteitsbeheercontroles, inclusief detectiecontroles die potentiële problemen onder de aandacht brengen voordat ze zich voordoen.
  • Baseer hun capaciteitsbeheeractiviteiten op de proactieve functies van afstemming en monitoring.
  • Voer regelmatig stresstests uit die het vermogen van een systeem ondervragen om tegemoet te komen aan de algemene zakelijke behoeften en regelgeving, wetten en richtlijnen voor privacybescherming.
  • Neem plannen op voor commerciële en technische uitbreiding (zowel vanuit fysiek als digitaal perspectief) van de operatie.
  • Houd rekening met variërende doorlooptijden en kosten, afhankelijk van het systeem of de bedrijfsfunctie in kwestie. Privacygerelateerde middelen zouden meer aandacht moeten krijgen, gezien hun verhoogde risicoprofiel.
  • Documenteer en observeer afzonderlijke faalpunten met betrekking tot de afhankelijkheid van sleutelpersoneel, individuele middelen en PII.
  • Opstellen en uitvoeren van een capaciteitsmanagementplan dat specifiek ingaat op privacybescherming.

ISO pleit voor een tweeledige benadering van capaciteitsbeheer die ofwel de capaciteit vergroot, ofwel de vraag naar een hulpbron of een reeks hulpbronnen vermindert.

Wanneer organisaties proberen de capaciteit te vergroten, moeten ze:

  1. Overweeg om nieuwe werknemers aan te nemen om aan de groeiende zakelijke vereisten te voldoen.
  2. Breid uit naar nieuwe fysieke locaties – inclusief gegevensverwerkings- en opslagfaciliteiten.
  3. Overweeg het gebruik van cloudbronnen die automatisch worden uitgebreid om aan de groeiende behoeften van de organisatie te voldoen.

Wanneer organisaties proberen de vraag terug te dringen, moeten ze:

  • Verwijder verouderde of ongebruikte gegevens.
  • Gooi alle papieren kopieën weg van informatie die de organisatie niet langer nodig heeft en die niet wettelijk verplicht is te bewaren.
  • Ontmantel alle ICT-middelen die niet langer nodig zijn.
  • Implementeer geplande ICT-taken die de geheugenbronnen optimaliseren en de opslagruimte minimaliseren.
  • Zorg ervoor dat alle stukjes uitvoerbare code of databasequery's zijn geoptimaliseerd om de vraag naar computer- en opslagbronnen te verminderen.
  • Beperk de internettoegang en verbied video-/audiostreaming vanaf werkapparaten.

ISO 27701 Clausule 6.9.1.4 – Scheiding van ontwikkelings-, test- en operationele omgevingen

Referenties ISO 27002 Controle 8.31

ISO identificeert drie verschillende testomgevingen die van elkaar moeten worden gescheiden:

  • Ontwikkeling
  • Testen
  • productie

Om ervoor te zorgen dat PII in alle drie de omgevingen (met name in de productieomgeving) wordt beschermd, moeten organisaties:

  • Bedien productie- en ontwikkelingssystemen in duidelijk verschillende domeinen (fysiek en virtueel).
  • Definieer strikt hoe software wordt geïmplementeerd, van de ontwikkelingsfase tot de productiefase.
  • Test eventuele wijzigingen aan productiesystemen grondig in een testomgeving, voordat ze worden toegepast in een live omgeving (zie ISO 27002 Controle 8.29).
  • Verbied testen in live productieomgevingen, afgezien van speciale gevallen waarvoor voorafgaande toestemming is verleend.
  • Zorg ervoor dat ontwikkeltools niet toegankelijk zijn vanuit live productieomgevingen, tenzij dit expliciet vereist is.
  • Label systemen en bedrijfsmiddelen om duidelijk aan te geven tot welke omgeving ze behoren.
  • Voorkom het kopiëren van privacygerelateerde informatie van de productieomgeving naar een andere omgeving, tenzij deze gegevens onderworpen zijn aan dezelfde reeks beveiligingscontroles, waar ze ook naartoe worden gekopieerd.

Ontwikkel- en testomgevingen moeten worden beschermd door:

  1. Updaten en patchen van ALLE ontwikkeltools.
  2. Best-practice-configuraties.
  3. Het controleren en monitoren van eventuele wijzigingen in de omgeving.
  4. Robuuste BUDR-plannen.

ISO maakt expliciet duidelijk dat ontwikkelings- en testpersoneel een onevenredig groot risico voor PII vormt – hetzij direct als gevolg van kwaadwillige acties, hetzij onbedoeld als gevolg van fouten in het ontwikkelingsproces.

Het is van cruciaal belang dat geen enkele medewerker de mogelijkheid heeft om wijzigingen aan te brengen in en binnen de ontwikkel- en productieomgeving zonder de juiste autorisatie, inclusief een beoordeling van de vereiste wijzigingen en goedkeuring in meerdere stappen (zie ISO 27002 Controle 8.33).

Organisaties moeten grote zorg besteden aan het waarborgen van de integriteit en beschikbaarheid van PII tijdens het gehele ontwikkelings- en testproces, inclusief meerdere live productieomgevingen, trainingsomgevingen en scheiding van taken.

Relevante ISO 27002-controles

  • ISO 27002 8.29
  • ISO 27002 8.33

Ondersteunende controles van ISO 27002 en AVG

ISO 27701-clausule-identificatie ISO 27701 Clausulenaam ISO 27002-vereiste Bijbehorende AVG-artikelen
6.9.1.1 Documenteren van operationele procedures
5.37 – Gedocumenteerde operationele procedures voor ISO 27002
 		Geen
6.9.1.2 Change Management
8.32 – Wijzigingsbeheer voor ISO 27002
 		Geen
6.9.1.3 Capaciteitsmanagement
8.6 – Capaciteitsbeheer voor ISO 27002
 		Geen
6.9.1.4 Scheiding van ontwikkel-, test- en operationele omgevingen
8.31 – Scheiding van ontwikkelings-, test- en productieomgevingen voor ISO 27002
 		Geen

Hoe ISMS.online helpt

Om te voldoen aan ISO 27701 moet u een Privacy Information Management System (PIMS) opzetten. Met onze kant-en-klare PIMS kunt u klant-, leveranciers- en werknemersgegevens snel en eenvoudig beheren en ordenen om volledig aan de standaard te voldoen.

Bovendien kan ISMS.online tegemoetkomen aan het groeiende aantal mondiale, regionale en sectorspecifieke privacyregelgeving.

Voordat u ISO 27701 (privacy) gecertificeerd kunt worden, moet u eerst ISO 27001 (informatiebeveiliging) gecertificeerd zijn. Gelukkig kan ons platform u helpen beide te bereiken.

Meer informatie via een demo boeken.

Toby Cane

Partner Klantensuccesmanager

Toby Cane is Senior Partner Success Manager voor ISMS.online. Hij werkt al bijna vier jaar voor het bedrijf en heeft diverse functies vervuld, waaronder het hosten van hun webinars. Voordat hij in SaaS ging werken, was Toby docent in het voortgezet onderwijs.

LinkedIn

Volg een virtuele tour

Start nu uw gratis interactieve demo van 2 minuten en zie
ISMS.online in actie!

Probeer het nu
platform dashboard volledig in nieuwstaat

Wij zijn een leider in ons vakgebied

4 / 5 sterren
Gebruikers houden van ons
Leider - Winter 2026
Regionale leider - Winter 2026 VK
Regionale leider - Winter 2026 EU
Regionale leider - Winter 2026 Middenmarkt EU
Regionale leider - Winter 2026 EMEA
Regionale leider - Winter 2026 Middenmarkt EMEA

"ISMS.Online, uitstekende tool voor naleving van regelgeving"

— Jim M.

"Maakt externe audits een fluitje van een cent en koppelt alle aspecten van uw ISMS naadloos aan elkaar"

— Karen C.

"Innovatieve oplossing voor het beheer van ISO en andere accreditaties"

— Ben H.