Hyppää sisältöön
ISMS.online

ISO 27701:2025 -standardin mukainen valvonta A.3.30: Ulkoistettu kehitys

Kontrollin A.3.30 mukaan organisaatioiden on ohjattava, valvottava ja tarkasteltava ulkoistettujen henkilötietojen käsittelyjärjestelmien kehittämiseen liittyviä toimintoja. Tämä jaettu valvonta varmistaa, että kolmannen osapuolen kehittäjät soveltavat samoja yksityisyyden ja turvallisuuden standardeja kuin yrityksen sisäiset tiimit.

kirjailija
Max Edwards
Päivitetty maaliskuu 27, 2026
4/5 tähteä

Mitä kohta A.3.30 edellyttää?

Organisaation tulee ohjata, valvoa ja tarkastella ulkoistettujen henkilötietojen käsittelyjärjestelmien kehittämiseen liittyviä toimintoja.

Tämä ohjaus sijaitsee Jaetut suojaustoiminnot liite (A.3) ja käsittelee sitä tosiasiaa, että monet organisaatiot ulkoistavat osan tai kaiken ohjelmistokehityksensä. Käytettiinpä sitten urakoitsijoita, toimistoja, ulkomaisia ​​tiimejä tai hallinnoitujen palvelujen tarjoajia, organisaatio on edelleen vastuussa siitä, että ulkoistetut järjestelmät suojaavat henkilötietoja samalla tavalla kuin sisäisesti kehitetyt järjestelmät. Kolme verbiä – ohjaa, valvo ja tarkista – muodostavat kattavan valvontakehyksen.

Mitä liitteen B täytäntöönpano-ohjeissa sanotaan?

Liitteessä B (kohta B.3.30) annetaan seuraavat ohjeet:

  • Sisäänrakennetun ja oletusarvoisen yksityisyyden suojan soveltaminen — Ulkoistettuihin tietojärjestelmiin olisi soveltuvin osin sovellettava samoja sisäänrakennetun yksityisyyden suojan ja oletusarvoisen yksityisyyden suojan periaatteita (ks. B.3.29).

Ohjeistus on tarkoituksella ytimekäs, koska kaikki kehitysperiaatteet on esitetty A.3.29 Turvallinen järjestelmäarkkitehtuuri pätee yhtä lailla ulkoistettuun työhön. Käytännössä tämä tarkoittaa, että ulkoistettujen kehityssopimusten on sisällettävä organisaation tietoturvalliset suunnitteluperiaatteet, ja organisaatiolla on oltava valvontamekanismit, joilla varmistetaan vaatimustenmukaisuus koko kehitysprosessin ajan.

Miten tämä vastaa GDPR:ää?

Ohjauksella A.3.30 ei ole suoraa vaikutusta GDPR artiklan yhdistäminen liitteessä D. Se tukee kuitenkin epäsuorasti useita GDPR-velvoitteita:

  • Article 25 (1) — Sisäänrakennettua tietosuojaa sovelletaan riippumatta siitä, tehdäänkö kehitys itse vai ulkoistetaanko
  • Artikla 28 — Kun ulkoistettu kehittäjä toimii käsittelijänä, sovelletaan 28 artiklan vaatimuksia (käsittelijän sopimukset, ohjeet, turvatoimenpiteet).

GDPR tekee selväksi, että ulkoistaminen ei siirrä vastuuta. Rekisterinpitäjä tai käsittelijä on edelleen vastuussa sen puolesta rakennettujen järjestelmien yksityisyydestä ja turvallisuudesta.

Mikä muuttui standardista ISO 27701:2019?

Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.

Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.11.2.7 (ulkoistettu kehitys). Vuoden 2025 painoksessa ydinvaatimus on säilytetty kohdassa A.3.30, ja kohdan B.3.30 täytäntöönpano-ohjeissa linkitetään nyt nimenomaisesti kohdan B.3.29 sisäänrakennetun yksityisyyden suojan ja oletusarvoisen yksityisyyden suojan periaatteisiin. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.



ISMS.onlinen tehokas kojelauta

Aloita ilmainen kokeilu

Haluatko tutkia?

Rekisteröidy ilmaiseen kokeilujaksoon tänään ja pääset käyttämään kaikkia ISMS.onlinen tarjoamia yhteensopivuusominaisuuksia

Aloita


Mitä todisteita tilintarkastajat odottavat?

Arvioidessaan kohdan A.3.30 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:

  • Kehityssopimukset, joissa on yksityisyyden suojaa koskevia vaatimuksia — Ulkoistettujen kehittäjien kanssa tehdyt sopimukset, jotka sisältävät henkilötietojen suojaamista koskevat vaatimukset, turvalliset suunnitteluperiaatteet, tietojenkäsittelyvelvoitteet ja oikeuden tarkastuksiin
  • Ohjaus- ja valvontarekisterit — Todiste siitä, miten organisaatio viestii yksityisyydensuojavaatimuksista ulkoistetuille kehittäjille, mukaan lukien annetut eritelmät, ohjeet ja koulutusmateriaalit
  • Toimien seuranta — Jatkuvan valvonnan, kuten koodikatselmusten, tietoturvatestauksen, edistymiskatsausten ja vaatimustenmukaisuustarkastusten, tiedot kehitystyön aikana
  • Arviointi- ja hyväksymiskriteerit — Dokumentoidut tarkastusprosessit, mukaan lukien yksityisyyteen keskittyvä hyväksymistestaus, tietoturvatarkastuksen hyväksyntä ja sen varmennus, että toimitettavat tuotteet täyttävät henkilötietojen suojausvaatimukset
  • Tiedonkäsittely kehityksen aikana — Todisteet siitä, että ulkoistetut kehittäjät eivät käytä testaukseen todellisia henkilötietoja (linkitys A.3.31 Testitiedot) ja että henkilötietoihin pääsyä valvotaan ja kirjataan asianmukaisesti

Mitä asiaan liittyviä ohjausobjekteja on?

Valvonta: Yhteys
A.3.29 Turvallinen järjestelmäarkkitehtuuri Ulkoistetun kehityksen on noudatettava samoja suunnitteluperiaatteita
A.3.10 Toimittajasopimukset Kehitysulkoistussopimusten on sisällettävä henkilötietojen suojaa koskevia lausekkeita
A.3.27 Turvallinen kehityssykli Ulkoistettujen kehittäjien tulee noudattaa organisaation SDLC-vaatimuksia.
A.3.31 Testitiedot Ulkoistettu kehitys ei saa käyttää todellisia henkilötietoja testauksessa
A.3.18 Salassapitosopimukset Ulkoistettujen kehittäjien on allekirjoitettava henkilötietoja koskevat salassapitosopimukset

Ketä tämä valvonta koskee?

A.3.30 on jaettu hallinta Tämä koskee sekä henkilötietojen rekisterinpitäjiä että käsittelijöitä. Organisaation, joka ulkoistaa henkilötietoja käsittelevien järjestelmien kehittämisen, on johdettava, valvottava ja arvioitava ulkoistettua kehitystoimintaa. Tämä koskee kokonaisvaltaisia ​​ulkoistamisjärjestelyjä, yksittäisiä urakoitsijoita, kehitystoimistoja ja kaikkia muita kolmansien osapuolten kehityshankkeita.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Miksi valita ISMS.online ulkoistettua kehitysvalvontaa varten?

ISMS.online tarjoaa käytännön työkaluja ulkoistettujen kehityssuhteiden hallintaan:

  • Toimittajien hallinta — Seuraa ulkoistettujen kehitystoimittajien sopimustietoja, vaatimustenmukaisuuden tilaa, riskinarviointeja ja tarkistusaikatauluja yhdessä paikassa
  • Vaatimusten viestintä — Jaa yksityisyysvaatimukset ja turvalliset suunnitteluperiaatteet ulkoistettujen kehittäjien kanssa alustan kautta ja käytä kuittausten seurantaa
  • Tarkista työnkulut — Luo strukturoituja tarkistustyönkulkuja koodikatselmuksille, tietoturva-arvioinneille ja hyväksymistestaukselle hyväksynnän seurannalla
  • Riskianalyysit — Suorittaa ulkoistettujen kehitysskenaarioiden erityisiä riskinarviointeja, mukaan lukien datan käyttöoikeusriskit, koodin laaturiskit ja alihankkijariskit
  • Tarkastusrata — Ylläpidä täydellistä tarkastusketjua kaikista valvontatoimista, viestinnästä ja tarkastusten tuloksista vaatimustenmukaisuuden osoittamiseksi

UKK

Mitä ulkoistetun kehityssopimuksen tulisi sisältää?

Sopimuksen tulisi sisältää: henkilötietojen suojaamista koskevat vaatimukset ja organisaation tietoturvalliset suunnitteluperiaatteet; tietojenkäsittelyvelvoitteet (mukaan lukien rajoitukset aitojen henkilötietojen käytölle testauksessa); luottamuksellisuusvelvoitteet; oikeus auditoida koodia ja tietoturvakäytäntöjä; tietoturvatestausvaatimukset; poikkeamailmoitusvelvoitteet; immateriaalioikeuksia ja koodin omistusoikeutta koskevat määräykset; sekä tietojen tuhoamisvaatimukset toimeksiannon lopussa. Jos kehittäjällä on pääsy henkilötietoihin, sopimuksessa tulisi käsitellä myös GDPR:n 28 artiklan mukaisia ​​​​käsittelijää koskevia vaatimuksia.

Miten organisaatioiden tulisi seurata ulkoistettua kehitystä?

Seurannan tulisi sisältää: säännölliset koodikatselmukset, joissa keskitytään henkilötietojen käsittelyyn; tietoturvatestaus (SAST, DAST, penetraatiotestaus) määritellyissä virstanpylväissä; edistymiskatselmukset, joihin sisältyy tietosuojavaatimusten noudattaminen; sen varmistaminen, että testiympäristöt eivät sisällä todellisia henkilötietoja; henkilötietoja sisältävien kehitysympäristöjen käyttölokien tarkastelu; ja kehittäjän omien tietoturvakäytäntöjen säännöllinen arviointi. Seurannan tason tulisi olla oikeassa suhteessa henkilötietojen arkaluontoisuuteen ja järjestelmän kriittisyyteen.

Koskeeko tämä rajoitus avoimen lähdekoodin komponenttien käyttöä?

A.3.30 kattaa erityisesti ulkoistetut kehityssuhteet, joissa kolmas osapuoli kehittää järjestelmiä organisaation puolesta. Avoimen lähdekoodin komponentit kuuluvat luonnollisemmin tähän ryhmään. A.3.28 Sovelluksen tietoturva (sovellusturvallisuusvaatimukset), joissa organisaation tulisi arvioida kolmannen osapuolen komponenttien turvallisuuskelpoisuutta. Jos organisaatio kuitenkin tilaa kolmannelta osapuolelta avoimen lähdekoodin komponentin kehittämisen tai mukauttamisen henkilötietojen käsittelyä varten, kyseinen toimeksianto kuuluu A.3.30 kohdan piiriin.

SaaS-alustat voivat löytää räätälöityä ohjausta opas SaaS-alustoille.

Dokumentoi tämä kontrolli omaan Ilmoitus soveltuvuudesta.

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta täysin uudenveroinen

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - kevät 2026
Huippusuorittaja - kevät 2026 Pienyritykset Isossa-Britanniassa
Aluejohtaja - kevät 2026 EU
Aluejohtaja - kevät 2026 EMEA
Aluejohtaja - kevät 2026, Iso-Britannia
Huippusuorittaja - kevät 2026, keskikokoinen markkina-alue EMEA-alueella

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.