ISO 27701:n kohdan 6.11 keskeiset vaatimukset selitetty
Sovelluspalveluita, tietoturvavaatimuksia ja projektinhallintatoimia tulisi kehittää kaikkien organisaation yksityisyyden suojatoimenpiteiden ohella sen varmistamiseksi, että henkilökohtaiset tunnistetiedot ja maksu-/tilaustiedot ovat mahdollisimman suojattuja koko sovelluksen ja projektin elinkaaren ajan.
Mitä ISO 27701:n lauseke 6.11 kattaa
ISO 27701 lauseke 6.11 sisältää kolme alalauseketta, jotka käsittelevät järjestelmien hankinnan pääelementtejä, ja jokainen lauseke sisältää oheisia ohjeita ISO 27002:
- ISO 27701 6.11.1.1 – Tietoturvavaatimusten analyysi ja määrittely (ISO 27002 Control 5.8)
- ISO 27701 6.11.1.2 – Sovelluspalvelujen turvaaminen julkisissa verkoissa (ISO 27002 Control 8.26)
- ISO 27701 6.11.1.3 – Sovelluspalvelutapahtumien suojaaminen (ISO 27002 Control 8.26)
Yksi alalauseke – 6.11.1.2 – sisältää tietoja, jotka ovat sovellettavia Yhdistyneen kuningaskunnan osia GDPR PIMS- tai PII-aiheisiin liittyvistä lisäohjeista.
Huomaa, että GDPR-viitteet ovat vain ohjeellisia. Organisaatioiden tulee tutkia lainsäädäntöä ja tehdä omat arvionsa siitä, mitä lain osia niihin sovelletaan.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 lauseke 6.11.1.1 – Tietoturvavaatimusten analyysi ja määrittely
Viitteet ISO 27002 Control 5.8
Yksityisyyden suojamenettelyt tulisi integroida projektinhallintatoimintoihin, jotta varmistetaan, että henkilökohtaiset tiedot on suojattu kaikkialla ja organisaation turvallisuuskäytännöt ovat yhdenmukaisia.
Organisaatioiden tulee varmistaa, että:
- Yksityisyyden suojan riskit huomioidaan koko projektin elinkaaren ajan, erityisesti alkuvaiheessa.
- Yksityisyyden suojan riskien vähentämisen edistymistä tarkastellaan määräajoin keskittyen tehokkuuden ja sietokyvyn parantamiseen.
- Projektikomiteat ottavat huomioon yksityisyyden suojan säädöt projektin asianmukaisissa vaiheissa.
- Yksityisyyden suojan roolit ja vastuut tulisi hahmotella varhaisessa vaiheessa.
- Kaikilla tuotteilla, jotka toimitetaan osana projektia, on selkeät yksityisyyden suojavaatimukset.
- Projektin elinkaaret (ketteri, vesiputous jne.) heijastavat kyseisen projektin riskivaatimuksia missä tahansa vaiheessa, painottaen yksityisyyden suojaa.
ISO 27701 -lauseke 6.11.1.2 – Sovelluspalvelujen turvaaminen julkisissa verkoissa
Viitteet ISO 27002 Control 8.26
Sovellusten turvamenettelyjä tulisi kehittää laajempien yksityisyyden suojakäytäntöjen rinnalla, yleensä useat muuttujat huomioon ottavan jäsennellyn riskiarvioinnin avulla.
Sovelluksen turvallisuusvaatimusten tulee sisältää:
- Kaikille verkkokokonaisuuksille ominaiset luottamustasot (katso ISO 27002 Controls 5.17, 8.2 ja 8.5).
- Niiden tietojen luokitus, joita sovellus on määritetty käsittelemään (mukaan lukien henkilötiedot).
- Kaikki erotteluvaatimukset.
- Suojaus sisäisiä ja ulkoisia hyökkäyksiä ja/tai haitallista käyttöä vastaan.
- Kaikki voimassa olevat laki-, sopimus- tai sääntelyvaatimukset.
- Luottamuksellisten tietojen tehokas suoja.
- Tiedot, jotka on ro suojattu siirron aikana.
- Kaikki salausvaatimukset.
- Suojatut tulo- ja lähtöohjaimet.
- Rajoittamattomien syöttökenttien vähäinen käyttö – erityisesti sellaisia, joihin voidaan tallentaa henkilötietoja.
- Virheilmoitusten käsittely, mukaan lukien virhekoodien selkeä kommunikointi.
Transaktiopalvelut
Tapahtumapalveluiden, jotka helpottavat tietosuojatietojen kulkua organisaation ja kolmannen osapuolen organisaation tai kumppaniorganisaation välillä, tulee:
- Luo sopiva luottamustaso organisaatioidentiteettien välille.
- Sisällytä mekanismeja, jotka tarkistavat vakiintuneiden henkilöllisyyksien välisen luottamuksen (esim. hajautus ja digitaaliset allekirjoitukset).
- Esittele vankat menettelyt, jotka ohjaavat sitä, mitä työntekijät voivat hallita keskeisiä tapahtumaasiakirjoja.
- Sisältävät asiakirjojen ja tapahtumien hallintamenettelyt, jotka kattavat keskeisten asiakirjojen ja tapahtumien luottamuksellisuuden, eheyden, lähettämisen ja vastaanottamisen.
- Sisällytä erityiset ohjeet liiketoimien pitämisestä luottamuksellisina.
Sähköiset tilaus- ja maksusovellukset
Kaikkien sähköistä tilaamista ja/tai maksamista koskevien sovellusten osalta organisaatioiden tulee:
- Esitä tiukat vaatimukset maksu- ja tilaustietojen suojalle.
- Tarkista maksutiedot ennen tilauksen tekemistä.
- Säilytä tapahtumatietoja ja yksityisyyteen liittyviä tietoja turvallisesti tavalla, johon yleisö ei pääse käsiksi.
- Käytä luotettavia viranomaisia, kun otat käyttöön digitaalisia allekirjoituksia, ja muista aina yksityisyyden suoja.
Sovellettavat GDPR-artikkelit
- 5 artikla – 1 kohdan f alakohta
- 32 artikla – 1 kohdan a alakohta
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.17
- ISO 27002 8.2
- ISO 27002 8.5
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
ISO 27701 -lauseke 6.11.1.3 – Sovelluspalvelutapahtumien suojaaminen
Viitteet ISO 27002 Control 8.26
Katso ISO 27701 lauseke 6.11.1.2
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.11.1.1 | Tietoturvavaatimusten analyysi ja määrittely | 5.8 – Tietoturva projektinhallinnassa ISO 27002:lle | Ei eristetty |
| 6.11.1.2 | Sovelluspalvelujen turvaaminen julkisissa verkoissa | 8.26 – Sovelluksen suojausvaatimukset ISO 27002:lle | Tavarat (5), (32) |
| 6.11.1.3 | Sovelluspalvelutapahtumien suojaaminen | 8.26 – Sovelluksen suojausvaatimukset ISO 27002:lle | Ei eristetty |
Miten ISMS.online auttaa
All-in-one-alustamme varmistaa, että tietosuojatyösi vastaa ISO 27701 -standardin kunkin osan tarpeita. Ja koska se on säätelyagnostikko, voit yhdistää sen mihin tahansa sääntöön, jota tarvitset.
- Sisäänrakennettu riskipankki
- ROPA on tehty helpoksi
- Turvallinen tila DRR:lle
Lisätietoja: varata demo.
Hyppää aiheeseen
