Mitä kohta A.3.27 edellyttää?
Henkilötietojen käsittelyyn liittyvien ohjelmistojen ja järjestelmien turvallista kehittämistä koskevat säännöt on laadittava ja niitä on sovellettava.
Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja edellyttää organisaatioilta henkilötietojen suojauksen integrointia ohjelmistokehityksen elinkaareen alusta alkaen sen sijaan, että yksityisyydensuojan säätimet asennettaisiin jälkikäteen järjestelmien rakentamisen jälkeen. Tämä on "sisäänrakennetun yksityisyyden suojan" periaatteen käytännön toteutus: kehitystiimit tarvitsevat selkeät ja toteuttamiskelpoiset säännöt, jotka ohjaavat heitä rakentamaan järjestelmiä, jotka suojaavat henkilötietoja oletusarvoisesti.
Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?
Liite B (kohta B.3.27) sisältää yksityiskohtaisia ohjeita yksityisyyden sisällyttämisestä kehitykseen:
- PII-keskeiset kehityspolitiikat — Järjestelmän kehittämis- ja suunnittelukäytäntöihin tulisi sisältyä ohjeita organisaation henkilötietojen käsittelytarpeisiin, jotka perustuvat henkilötietojen käsittelijöihin kohdistuviin velvoitteisiin ja sovellettaviin lakisääteisiin vaatimuksiin.
- Sisäänrakennettu ja oletusarvoinen tietosuoja — Politiikoissa tulisi ottaa huomioon seuraavat näkökohdat:
- Ohjeistus henkilötietojen suojaamisesta ja yksityisyyden suojaa koskevien periaatteiden (ISO/IEC 29100 -standardin mukaisesti) toteuttamisesta ohjelmistokehityksen elinkaaressa
- Yksityisyyden ja henkilötietojen suojaa koskevat vaatimukset suunnitteluvaiheessa, jotka voivat perustua yksityisyyden riskiarvioinnin tai yksityisyyden vaikutusten arvioinnin tuloksiin
- PII-suojauksen tarkistuspisteet projektin välitavoitteiden sisällä
- Kehitystiimeiltä vaadittava yksityisyyden ja henkilötietojen suojaamisen tuntemus
- Minimoi henkilötietojen käsittely oletusarvoisesti
- Katso myös A.3.29: Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet asiaankuuluvia vaatimuksia varten
- Katso myös A.3.31: Testitiedot asiaankuuluvia vaatimuksia varten
Ohjeistus on jäsennelty viiden toimintaohjeen ympärille, jotka kehitystiimit voivat integroida olemassa oleviin prosesseihinsa. Erityisen tärkeää on minimoida henkilötietojen käsittely oletusarvoisesti: järjestelmät tulisi suunnitella keräämään ja käsittelemään vain sellaisia henkilötietoja, jotka ovat ehdottoman välttämättömiä tunnistetun tarkoituksen kannalta.
Miten tämä vastaa GDPR:ää?
Kontrolli A.3.27 vastaa seuraavaa GDPR artikkeli:
- Article 25 (1) — Sisäänrakennettu ja oletusarvoinen tietosuoja, joka edellyttää rekisterinpitäjiltä asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamista tietosuojaperiaatteiden täytäntöönpanemiseksi ja tarvittavien suojatoimien sisällyttämiseksi käsittelyyn sekä käsittelykeinojen määrittämisen että itse käsittelyn yhteydessä
Artikla 25 on yksi niistä GDPRn tulevaisuuteen suuntautuneimmat määräykset, ja A.3.27 tarjoaa jäsennellyn tavan osoittaa vaatimustenmukaisuus upottamalla yksityisyydensuojavaatimukset kehitysprosesseihin.
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.11.2.1 (turvallisen kehityksen politiikka). Vuoden 2025 painoksessa ydinvaatimukset säilytetään kohdassa A.3.27, ja niissä on laajennetut toteutusohjeet kohdassa B.3.27, joka tarjoaa selkeämmän viisikohtaisen kehyksen yksityisyyden sisällyttämiselle kehitykseen. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.27 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Turvallisen kehityksen politiikka — Dokumentoitu käytäntö, joka sisältää PII-kohtaiset vaatimukset kehityssyklin jokaiselle vaiheelle (suunnittelu, kehitys, testaus, käyttöönotto, ylläpito)
- Tietosuojavaikutusten arvioinnit — Näyttö siitä, että PIA- tai DPIA-arviointeja tehdään suunnitteluvaiheessa uusille järjestelmille tai merkittäville muutoksille järjestelmiin, jotka käsittelevät henkilötietoja
- PII-suojauksen tarkistuspisteet — Todisteet siitä, että projektin virstanpylväisiin sisältyy yksityisyyden suojan tarkistuksia tai hyväksyntöjä, kuten yksityisyyden suojan rajoitukset sprinttitarkistuksissa tai julkaisutarkistuslistoissa
- Kehittäjäkoulutus — Tiedot, jotka osoittavat, että kehitystiimin jäsenille on annettu koulutusta henkilötietojen suojausvaatimuksista, yksityisyyden suojan periaatteista ja turvallisista koodauskäytännöistä
- Tietojen minimoinnin näyttö — Todisteet siitä, että järjestelmät on suunniteltu keräämään ja käsittelemään vain tarvittavat vähimmäismäärät henkilötietoja, kuten suunnitteluasiakirjat, jotka osoittavat, mitkä tietokentät on otettu huomioon ja miksi kutakin tarvitaan
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.1.2.6 Yksityisyydensuojaa koskevien vaikutusten arviointi | PIA:t sisällyttävät yksityisyydensuojavaatimukset kehitysprosessiin |
| A.1.4.5 Henkilötietojen minimointitavoitteet | Kehityksen tulisi toteuttaa datan minimointi oletusarvoisesti |
| A.3.28 Sovelluksen tietoturvavaatimukset | Sovellusten tietoturvavaatimukset täydentävät turvallisen kehityksen sääntöjä |
| A.3.17 Tietoisuus ja koulutus | Kehittäjien tietosuojakoulutus tukee turvallista kehitystä |
| A.1.2.2 Tarkoituksen tunnistaminen ja dokumentointi | Dokumentoidut käsittelytarkoitukset määrittelevät, mitä henkilötietoja järjestelmän tulisi kerätä |
Ketä tämä valvonta koskee?
A.3.27 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Kaikkien organisaatioiden, jotka kehittävät tai tilaavat ohjelmistoja ja järjestelmiä henkilötietojen käsittelyyn, on laadittava ja sovellettava turvallisia kehityssääntöjä. Tämä koskee sisäisiä kehitystiimejä, sopimuskehittäjiä ja räätälöityjen integraatioiden tai mukautusten parissa työskenteleviä tiimejä. Ulkoistetun kehityksen osalta katso myös hallinta. A.3.30 Ulkoistettu kehitys.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miksi valita ISMS.online turvallisen kehityksen vaatimustenmukaisuuden varmistamiseksi?
ISMS.online tarjoaa käytännön työkaluja yksityisyyden suojaamiseen kehitysprosesseissasi:
- DPIA-työnkulut — Sisäänrakennetut tietosuojan vaikutustenarviointimallit, jotka integroituvat kehitysprosessiisi ja varmistavat, että yksityisyydensuojavaatimukset otetaan huomioon suunnitteluvaiheessa
- Politiikan hallinta — Julkaise turvalliset kehityskäytännöt versionhallintaan, henkilöstön kuittauksiin ja tarkistusten aikataulutukseen sisältyvine tietoineen
- Koulutuksen hallinta — Seuraa kehittäjien tietosuojakoulutuksen suorittamista automaattisilla muistutuksilla myöhästyneistä tai vanhenevista sertifikaateista
- Projektin virstanpylväiden seuranta — Luo henkilötietojen suojauksen tarkistuspisteitä projektisuunnitelmiin ja käytä yksityisyysporttien hyväksyntätyönkulkuja
- Vaatimustenmukaisuustodistus — Kerää ja järjestä turvallista kehitystodisteita, mukaan lukien PIA:t, suunnittelukatselmukset, koodikatselmusten tiedot ja testaustulokset auditointivalmiutta varten
UKK
Mitä oletusarvoinen yksityisyys tarkoittaa käytännössä?
Oletusarvoinen tietosuoja tarkoittaa, että kun järjestelmä otetaan käyttöön tai käyttäjä luo tilin, oletusasetusten tulisi tarjota korkein mahdollinen yksityisyyden suojan taso. Käyttäjien tulisi voida aktiivisesti suostua lisätietojen jakamiseen sen sijaan, että heidän tarvitsisi kieltäytyä tiedonkeruusta. Esimerkiksi järjestelmän tulisi kerätä vain ydintoiminnon edellyttämät vähimmäismäärä henkilötietoja, ja lisätietojen kerääminen tulisi olla oletusarvoisesti poistettu käytöstä ja käytössä vain, jos käyttäjä nimenomaisesti päättää antaa ne.
Mitä ovat henkilötietojen suojauksen tarkistuspisteet?
Henkilötietojen suojauksen tarkistuspisteet ovat projektin elinkaaren määriteltyjä kohtia, joissa yksityisyydensuojavaatimukset tarkistetaan ja varmennetaan. Esimerkkejä ovat yksityisyyden tarkistus arkkitehtuurisuunnittelun aikana, koodin tarkistuksen tarkistuspiste, joka tarkistaa henkilötietojen käsittelyn vaatimustenmukaisuuden, julkaisua edeltävä yksityisyyden hyväksyntä ja käyttöönoton jälkeinen yksityisyyden varmennus. Nämä tarkistuspisteet tulisi dokumentoida kehitysprosessissa ja niillä tulisi olla selkeät kriteerit hyväksymiselle tai hylkäämiselle.
Koskeeko tämä valvonta myös valmiita ohjelmistoja?
A.3.27 koskee ensisijaisesti organisaation kehittämiä tai tilaamia ohjelmistoja ja järjestelmiä. Valmiiden ohjelmistojen osalta organisaation tulisi arvioida hankinta- ja konfigurointivaiheissa, täyttääkö ohjelmisto henkilötietojen suojausvaatimukset (katso A.3.28 Sovelluksen tietoturva). Kaikkien henkilötietojen käsittelyyn vaikuttavien valmiiden ohjelmistojen mukautusten, integrointien tai konfigurointien tulisi kuitenkin noudattaa A.3.27 kohdassa vahvistettuja turvallisen kehityksen sääntöjä.
SaaS-organisaatioiden tulisi myös lukea opas SaaS-alustoille kehityskohtaisia yksityisyydensuojavaatimuksia varten.
Tekoälyyn liittyviä kehitysnäkökohtia varten katso Tekoälyn yksityisyyden hallinta opas.
