ISO 27701:n kohdan 6.11.2 vaatimukset ymmärtäminen
Useisiin eri ympäristöihin hajautettu kehitystoiminta on merkittävää organisaatioille, jotka käsittelevät erilaisia tietokategorioita ja joilla on tarve siirtää dataa testaus-, kehitys- ja tuotantoympäristöjen välillä.
Kehitysprosessin jokaisessa vaiheessa henkilökohtaisia tunnistetietoja ja yksityisyyteen liittyvää omaisuutta on turvattava ja niille on annettava sama suojan taso riippumatta siitä, missä ympäristössä ne ovat.
Mitä ISO 27701:n lauseke 6.11.2 kattaa
ISO 27701 6.11.2 on laaja-alainen ohjaus, joka kattaa useita kehitys- ja testaustoimintojen näkökohtia.
ISO 27701 6.11.2 sisältää vähintään 9 erillistä alalauseketta, joista jokainen sisältää tietoja ISO 27002 joka käsittelee kehitysturvallisuuden näkökohtia, esiteltynä tietosuojatiedonhallinnan ja PII-turvallisuuden piirissä:
- ISO 27701 6.11.2.1 – Turvallinen kehityspolitiikka (ISO 27002 Control 8.25)
- ISO 27701 6.11.2.2 – Järjestelmämuutosten ohjausmenettelyt (ISO 27002 Control 8.32)
- ISO 27701 6.11.2.3 – Sovellusten tekninen tarkistus käyttöympäristön muutosten jälkeen (ISO 27002 Control 8.32)
- ISO 27701 6.11.2.4 – Ohjelmistopakettien muutosten rajoitukset (ISO 27002 Control 8.32)
- ISO 27701 6.11.2.5 – Turvallisten järjestelmien suunnitteluperiaatteet (ISO 27002 Control 8.27)
- ISO 27701 6.11.2.6 – Suojattu kehitysympäristö (ISO 27002 Control 8.31)
- ISO 27701 6.11.2.7 – Ulkoistettu kehitys (ISO 27002 Control 8.30)
- ISO 27701 6.11.2.8 – Järjestelmän tietoturvatestaus (ISO 27002 Control 8.29)
- ISO 27701 6.11.2.9 – Järjestelmän hyväksyntätestaus (ISO 27002 Control 8.29)
Kaksi alalauseketta (6.11.2.1 ja 6.11.2.6) sisältävät ohjeita, jotka koskevat Yhdistyneen kuningaskunnan osia GDPR lainsäädäntö – olemme toimittaneet alla olevat artikkelit avuksesi.
Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 6.11.2.1 – Secure Development Policy
Viitteet ISO 27002 Control 8.25
Organisaatioiden on varmistettava, että kehityksen elinkaari luodaan yksityisyyden suojaa ajatellen.
Tämän saavuttamiseksi organisaatioiden tulee:
- Toimii erillisissä kehitys-, testaus- ja kehitysympäristöissä (katso ISO 27002 Control 8.31).
- Julkaise ohjeita yksityisyyden suojasta koko kehityksen elinkaaren ajan, mukaan lukien menetelmät, koodausohjeet ja ohjelmointikielet (katso ISO 27002 Controls 8.28, 8.27 ja 5.8).
- Esitä turvallisuusvaatimukset määrittely- ja suunnitteluvaiheessa (katso ISO 27002 Control 5.8).
- Ota turvatarkastuspisteet käyttöön kaikissa asiaankuuluvissa projekteissa (katso ISO 27002 Control 5.8).
- Suorita järjestelmä- ja turvatestaukset, mukaan lukien koodiskannaukset ja tunkeutumistestit (katso ISO 27002 Control 5.8).
- Tarjoa suojattuja tietovarastoja kaikelle lähdekoodille (katso ISO 27002 Controls 8.4 ja 8.9).
- Käytä tiukkoja versionhallintamenettelyjä (katso ISO 27002 Control 8.32).
- Tarjoa henkilökunnalle yksityisyyden suojan ja sovellusten tietoturvakoulutusta (katso ISO 27002 Control 8.28).
- Analysoi kehittäjien kykyä paikantaa, lieventää ja poistaa haavoittuvuuksia (katso ISO 27002 Control 8.28).
- Dokumentoi kaikki voimassa olevat tai tulevat lisenssivaatimukset (katso ISO 27002 Control 8.30).
Sovellettavat GDPR-artikkelit
- 25 artiklan 1 kohta
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.8
- ISO 27002 8.4
- ISO 27002 8.9
- ISO 27002 8.27
- ISO 27002 8.28
- ISO 27002 8.30
- ISO 27002 8.31
ISO 27701, lauseke 6.11.2.2 – Järjestelmämuutosten valvontamenettelyt
Viitteet ISO 27002 Control 8.32
Tulisi ottaa käyttöön vankat muutoksenhallintamenettelyt, jotka takaavat henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvien tietojen luottamuksellisuuden, eheyden ja saatavuuden sekä tietosuojatiedon käsittelylaitoksissa että tietosuojatietojärjestelmissä.
Organisaatiomuutosten ohjausprosessien ja -menettelyjen tulee sisältää:
- Perusteelliset vaikutustenarvioinnit.
- Miten muutokset ovat sallittuja.
- Miten muutoksista tiedotetaan kaikille osapuolille.
- Hyväksymistestaus (katso ISO 27002 Control 8.29).
- Muuta käyttöönottosuunnitelmia.
- Varautumissuunnitelma.
- Kattava kirjaa kaikesta muutoksiin liittyvästä toiminnasta.
- Päivitykset kaikkiin tukeviin käyttäjä- ja käyttödokumentaatioihin, jatkuvuussuunnitelmiin ja BUDR-menettelyihin (katso ISO 27002 Controls 5.37 ja 5.20).
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.20
- ISO 27002 5.37
- ISO 27002 8.29
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 -lauseke 6.11.2.3 – Sovellusten tekninen tarkistus käyttöympäristön muutosten jälkeen
Viitteet ISO 27002 Control 8.32
Katso ISO 27701 lauseke 6.11.2.2
ISO 27701 lauseke 6.11.2.4 – Ohjelmistopakettien muutosten rajoitukset
Viitteet ISO 27002 Control 8.32
Katso ISO 27701 lauseke 6.11.2.2
ISO 27701, lauseke 6.11.2.5 – Secure Systems Engineering Principles
Viitteet ISO 27002 Control 8.27
Organisaatiojärjestelmä tulee suunnitella, dokumentoida, toteuttaa ja ylläpitää yksityisyyden suojaa ajatellen.
Suunnitteluperiaatteiden tulisi analysoida:
- Laaja valikoima suojaustoimintoja, joita tarvitaan henkilökohtaisten tunnistetietojen suojaamiseen erityisiltä ja yleisiltä uhilta.
- Kuinka hyvin varustetut turvatarkastukset ovat suuria turvallisuustapahtumia varten.
- Kohdennettuja ohjaustoimintoja, jotka eroavat yksittäisistä liiketoimintaprosesseista.
- Missä verkossa ja miten turvatarkastukset olisi toteutettava.
- Kuinka eri säätimet toimivat sopusoinnussa keskenään.
Suunnitteluperiaatteissa tulee ottaa huomioon:
- Arkkitehtoninen integraatio.
- Tekniset turvatoimenpiteet (salaus, IAM, DAM jne.).
- Kuinka hyvin organisaatiolla on valmiudet toteuttaa ja ylläpitää valittua ratkaisua.
- Alan parhaita käytäntöjä koskevat ohjeet.
Turvallisen järjestelmäsuunnittelun tulee sisältää:
- Vakiintuneet alan standardit arkkitehtoniset periaatteet.
- Laaja-alainen suunnittelukatsaus, joka paikantaa haavoittuvuudet ja auttaa muodostamaan kokonaisvaltaisen lähestymistavan noudattamiseen.
- Täydellinen paljastaminen kaikista turvatoimista, jotka eivät täytä odotettuja vaatimuksia.
- Järjestelmän kovettuminen.
Organisaation tulisi oletuksena siirtyä "nollaluottamus" -lähestymistapaan turvallisuuteen seuraavasti:
- Ei luota yhdyskäytävän turvallisuuteen yksinään.
- Etsitään jatkuvasti vahvistusta kaikista järjestelmistä.
- Päästä päähän -salauksen pakottaminen kaikissa asiaankuuluvissa järjestelmissä.
- Luokittelemalla jokaisen tieto- tai käyttöoikeuspyynnön ikään kuin se olisi peräisin organisaation ulkopuolelta, ei-luotetusta lähteestä.
- Toimii "pienimmän etuoikeuden" periaatteiden mukaisesti ja hyödyntää dynaamisia kulunvalvontatekniikoita (katso ISO 27002 Controls 5.15, 5.18 ja 8.2).
- Pakottaa aina vankat todennussäädöt, mukaan lukien MFA (katso ISO 27002 Control 8.5).
Kun organisaatio ulkoistaa kehitystyön ulkopuolisille organisaatioille, tulee pyrkiä varmistamaan, että kumppanin turvallisuusperiaatteet ovat linjassa organisaation omien turvallisuusperiaatteiden kanssa.
Sovellettavat GDPR-artikkelit
- 25 artiklan 1 kohta
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.15
- ISO 27002 5.18
- ISO 27002 8.2
- ISO 27002 8.5
ISO 27701, lauseke 6.11.2.6 – Suojattu kehitysympäristö
Viitteet ISO 27002 Control 8.31
Suojatakseen henkilökohtaisia tunnistetietoja ja yksityisyyteen liittyvää omaisuutta organisaatioiden on varmistettava tämä kehitys, testaus ja tuotanto ympäristöt ovat erillään ja suojattuja.
Tämän saavuttamiseksi organisaation tulee:
- Erottele eri ympäristöt eri toimialueille.
- Rakenna prosesseja, jotka ohjaavat ohjelmistojen siirtämistä kehitysvaiheesta tuotantoon.
- Käytä testaus- ja lavastusympäristöjä (katso ISO 27002 Control 8.29).
- Estä testaus tuotantoympäristöissä.
- Hallitse tiukkaa apusovellusten käyttöä live-ympäristöissä.
- Merkitse selkeästi jokainen ympäristö eri järjestelmissä, resursseissa ja sovelluksissa.
- Estä arkaluonteisten tietojen (erityisesti henkilökohtaisten tunnistetietojen) kopioiminen elävästä ympäristöstä muihin ympäristöihin ilman asianmukaisten hallintalaitteiden käyttöä sen eheyden ja saatavuuden turvaamiseksi.
Kehitys- ja testausympäristöjen suojaaminen
Tietojen turvaamiseksi kehitys- ja testausympäristöissä organisaatioiden tulee:
- Käytä laajaa korjauskäytäntöä.
- Varmista, että kaikki järjestelmät ja sovellukset on määritetty turvallisesti parhaiden käytäntöjen mukaisesti.
- Hallitse tiiviisti pääsyä kehitys- ja testausympäristöihin.
- Varmista, että kaikkia muutoksia mainittuihin ympäristöihin valvotaan.
- Ota käyttöön laaja valikoima BUDR-protokollia.
- Varmista, ettei yksikään työntekijä voi tehdä muutoksia kehitys- ja tuotantoympäristöihin ilman johdon tarkastusta ja perusteellista hyväksymisprosessia.
ISO tekee selkeästi selväksi, että kehitys- ja testaushenkilöstö muodostaa suhteettoman riskin henkilökohtaisille tietoihin – joko suoraan haitallisten toimien vuoksi tai vahingossa kehitysprosessin virheiden vuoksi.
On elintärkeää, että kukaan yksittäinen työntekijä ei voi tehdä muutoksia sekä kehitys- ja tuotantoympäristöihin että niiden sisällä ilman asianmukaista valtuutusta, mukaan lukien vaadittujen muutosten tarkastelu ja monivaiheinen hyväksyntä (katso ISO 27002 Control 8.33).
Organisaatioiden tulee varmistaa henkilökohtaisten tunnistetietojen eheys ja saatavuus koko kehitys- ja testausprosessin ajan, mukaan lukien useat live-tuotantoympäristöt, koulutusympäristöt ja tehtävien eriyttäminen.
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 8.29
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701 lauseke 6.11.2.7 – Ulkoistettu kehitys
Viitteet ISO 27002 Control 8.30
Mikäli tarvetta ulkoistaa kehitystyötä ilmenee, organisaatioiden tulee varmistaa, että kolmansien osapuolten tietoturvakäytännöt ovat linjassa oman käytäntönsä kanssa.
Organisaatioiden tulee alusta alkaen viestiä selkeästi vaatimuksensa ja jatkuvasti arvioida kehityskumppanin kykyä tehdä mitä heiltä odotetaan.
Organisaatioiden tulee harkita:
- Lisenssi-, omistus- ja IP-oikeudet (katso ISO 27002 Control 5.32).
- Sopimuskohdat, jotka käsittelevät suunnittelu, koodaus ja testaus (katso ISO 27002 -säätimet 8.25 ja 8.29).
- Ajantasaisen uhkamallin tarjoaminen kolmansille osapuolille.
- Testausvaatimukset, sekä toimituksen yhteydessä että jatkuvassa – hyväksymistestaus, haavoittuvuustestaus, sisäinen haittaohjelmien testaus ja suojausraportit (katso ISO 27002 Control 8.29).
- Lähdekoodisuojat, kuten sulkupalvelu, joka suojaa kehittäjän liiketoiminnan menettämiseltä.
- Organisaation oikeus tarkastaa kaikki kehitysprosessit.
- Luettelo kehitysympäristön tietoturvavaatimuksista (katso ISO 27002 Control 8.31);
- Lainsäädäntö-, sääntely- tai aikaisemmat sopimusvelvoitteet.
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.32
- ISO 27002 8.25
- ISO 27002 8.29
- ISO 27002 8.31
ISO 27701, lauseke 6.11.2.8 – Järjestelmän turvatestaus
Viitteet ISO 27002 Control 8.29
Organisaatioiden on varmistettava, että kun koodia otetaan käyttöön ja/tai siirretään millä tahansa tavalla kehitysympäristöstä live-ympäristöön, yksityisyyden suojaa pidetään ensisijaisena ja henkilökohtaisia tunnistetietoja suojataan eheyden tai saatavuuden menettämiseltä.
Testauksen tulee sisältää:
- Standardoidut verkon suojaustoiminnot (esim. käyttäjän sisäänkirjautuminen, salaus) (katso ISO 27002 Controls 8.5, 8.3 ja 8.24).
- Turvallinen koodaus.
- Suojatut kokoonpanot kaikissa verkkolaitteissa ja suojauskomponenteissa (katso ISO 27002 -ohjaimet 8.9, 8.20 ja 8.22).
Testisuunnitelmat
Kaikkien testisuunnitelmien tulee olla suoraan verrannollisia testattavaan järjestelmään ja sen muutoksen tai tietojoukon laajuuteen, johon ne on kohdistettu.
Testaussuunnitelmien tulee sisältää valikoima automaatiotyökaluja, ja niiden tulee sisältää:
- Kattava testausaikataulu.
- Odotetut tulokset erilaisissa olosuhteissa.
- Testauskriteerit arviointitarkoituksiin.
- Jatkotoimet, jotka perustuvat odotettuihin tai poikkeaviin tuloksiin.
Kolmannen osapuolen asiantuntijan tulee aina varmistaa sisäisen kehitystestauksen tekeminen. Tällaisten testien tulisi sisältää:
- Turvavirheiden tunnistaminen (kooditarkistukset jne.).
- Haavoittuvuuden skannaus.
- Strukturoidut läpäisytestit.
ISO suosittelee, että kaikki testaukset tulisi suorittaa ympäristössä, joka peilaa tuotantoympäristöä mahdollisimman monella tavalla, jotta varmistetaan tarkka ja käytännöllinen tulossarja, jonka avulla voidaan mitata suorituskykyä (katso ISO 27002 Control 8.31).
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 8.3
- ISO 27002 8.5
- ISO 27002 8.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.24
- ISO 27002 8.31
ISO 27701, lauseke 6.11.2.9 – Järjestelmän hyväksyntätestaus
Viitteet ISO 27002 Control 8.29
Katso ISO 27701 lauseke 6.11.2.8
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.11.2.1 | Turvallinen kehityspolitiikka | 8.25 – Turvallisen kehityksen elinkaari ISO 27002:lle | Artikkeli (25) |
| 6.11.2.2 | Järjestelmän muutoksen valvontamenettelyt | 8.32 – Muutoksenhallinta ISO 27002:lle | Ei eristetty |
| 6.11.2.3 | Sovellusten tekninen katsaus käyttöympäristön muutosten jälkeen | 8.32 – Muutoksenhallinta ISO 27002:lle | Ei eristetty |
| 6.11.2.4 | Ohjelmistopakettien muutosten rajoitukset | 8.32 – Muutoksenhallinta ISO 27002:lle | Ei eristetty |
| 6.11.2.5 | Secure Systems Engineering -periaatteet | 8.27 – ISO 27002:n suojatun järjestelmäarkkitehtuurin ja suunnittelun periaatteet | Artikkeli (25) |
| 6.11.2.6 | Turvallinen kehitysympäristö | 8.31 – ISO 27002 -standardin kehitys-, testaus- ja tuotantoympäristöjen erottaminen | Ei eristetty |
| 6.11.2.7 | Ulkoistettu kehitys | 8.30 – Ulkoistettu ISO 27002 -kehitys | Ei eristetty |
| 6.11.2.8 | Järjestelmän turvallisuuden testaus | 8.29 – Turvatestaus ISO 27002:n kehittämisessä ja hyväksymisessä | Ei eristetty |
| 6.11.2.9 | Järjestelmän hyväksyntätestaus | 8.29 – Turvatestaus ISO 27002:n kehittämisessä ja hyväksymisessä | Ei eristetty |
Miten ISMS.online auttaa
ISO 27701:n saavuttamiseksi sinun on rakennettava Privacy Information Management System (PIMS). Esikonfiguroidun PIMS:n avulla voit nopeasti ja helposti järjestellä ja hallita asiakas-, toimittaja- ja henkilöstötietoja täysin ISO 27701 -standardin mukaisiksi.
Voit myös mukautua kasvavaan määrään maailmanlaajuisia, alueellisia ja alakohtaisia tietosuojasäännöksiä, joita tuemme ISMS.online-alustalla.
ISO 27701 (tietosuoja) -sertifikaatin saavuttamiseksi sinun on ensin saatava ISO 27001 (tietoturva) -sertifikaatti. Hyvä uutinen on, että alustamme voi auttaa sinua molemmissa.
Katso lisää osoitteesta varata käytännön demo.
Hyppää aiheeseen
