ISO 27701 – Lauseke 6.9 – Käyttöturvallisuus

ISO 27701:n toimintojen suojausta koskeva lauseke 6.9 hahmottelee keskeiset toimenpiteet henkilökohtaisten tunnistetietojen (PII) suojaamiseksi, mukaan lukien tapahtumaloki, haittaohjelmasuojaus, ohjelmistojen valvonta, haavoittuvuuksien hallinta ja järjestelmätarkastukset vaatimustenmukaisuuden ja tietoturvan varmistamiseksi.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 26
LinkedIn Twitter Twitter

Ymmärtää lausekkeen 6.9: Toiminnan suojaus standardissa ISO 27701

ICT-verkon päivittäisessä toiminnassa on lukuisia sudenkuoppia, jotka voivat vaikuttaa organisaation kykyyn noudattaa lainsäädäntö-, säädös- ja sopimusvelvoitteitaan.

Operations Security on laaja-alainen aihe, joka käsittelee erilaisia ​​henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvien tietojen saatavuuteen ja eheyteen liittyviä asioita organisaation koko toiminnan aikana.

Mitä ISO 27701:n lauseke 6.9 kattaa

ISO 27701 lauseke 6.9 sisältää 4 alalausetta, joista jokainen vastaa viereistä alalauseketta ISO 27002:

  • ISO 27701 6.9.1.1 – Käyttömenettelyjen dokumentointi (ISO 27002 Control 5.37)
  • ISO 27701 6.9.1.2 – Muutoksenhallinta (ISO 27002 Control 8.32)
  • ISO 27701 6.9.1.3 – Kapasiteetin hallinta (ISO 27002 Control 8.6)
  • ISO 27701 6.9.1.4 – Kehitys-, testaus- ja käyttöympäristöjen erottaminen (ISO 27002 Control 8.31)

ISO ei anna lisäohjeita PIMS- tai PII-toimintoihin, eikä Yhdistyneessä kuningaskunnassa ole myöskään mitään GDPR huomioitavia seikkoja.



Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


ISO 27701 lauseke 6.9.1.1 – Käyttömenettelyjen dokumentointi

Viitteet ISO 27002 Control 5.37

Organisaation tulee dokumentoida perusteellisesti yksityisyyden suojaamiseen liittyvät menettelyt, mukaan lukien:

  • Toiminnot, jotka saman henkilökunnan on suoritettava useita kertoja.
  • Toiminnot, joita ei yleensä suoriteta, ja milloin seuraava tapaus todennäköisesti syntyy.
  • Uusia aktiviteetteja.
  • Vastuun siirtäminen toiselle henkilökunnalle.

Prosesseissa ja menettelyissä on määriteltävä selvästi:

  • Toiminnan toteuttamisesta vastaavat henkilöt.
  • Miten järjestelmät tulisi ottaa käyttöön.
  • Kuinka henkilökohtaisia ​​tunnistetietoja ja niihin liittyviä tietoja tulee säilyttää ja käsitellä.
  • Varmuuskopioi suunnitelmat ja liiketoiminnan joustavuus (katso ISO 27002 Control 8.13).
  • Kaikki aikatauluvaatimukset.
  • Selkeät ohjeet, joissa kerrotaan, kuinka henkilökunnan tulee käsitellä erityisolosuhteita, joita syntyy henkilökohtaisten tunnistetietojen ja yksityisyyteen liittyvien omaisuuserien, mukaan lukien apuohjelmien, suojausprosessin aikana (katso ISO 27002 Control 8.18).
  • Tallennusvälineiden käyttöönotto ja hallinta (katso ISO 27002 Controls 7.10 ja 7.14).
  • Järjestelmän palautusmenettelyt.
  • Kuinka henkilöstön tulee hallita kirjausketjuja, järjestelmä- ja tapahtumalokeja ja muita niihin liittyviä seurantajärjestelmiä (katso ISO 27002 -kontrollit 8.15, 8.17 ja 7.4).
  • Kapasiteetin, suorituskyvyn ja turvallisuuden valvonta (katso ISO 27002 -ohjaimet 8.6 ja 8.16).

Organisaatioiden tulee varmistaa, että toimintaperiaatteet ja menettelytavat tarkistetaan asianmukaisin väliajoin ja päivitetään, kun toiminnalliset tarpeet muuttuvat.

ISO suosittelee mahdollisuuksien mukaan, että järjestelmiä ylläpidetään käyttämällä samoja hallinnollisia ohjaimia ja sovelluksia.

Asiaankuuluvat ISO 27002 -säätimet

  • ISO 27002 7.4
  • ISO 27002 7.10
  • ISO 27002 7.14
  • ISO 27002 8.6
  • ISO 27002 8.13
  • ISO 27002 8.15
  • ISO 27002 8.16
  • ISO 27002 8.17
  • ISO 27002 8.18

ISO 27701, lauseke 6.9.1.2 – Muutoksenhallinta

Viitteet ISO 27002 Control 8.32

Aina kun uusi järjestelmä otetaan käyttöön tai olemassa oleviin järjestelmiin suunnitellaan suuria muutoksia, organisaatioiden tulee noudattaa jäsenneltyä järjestelmää, joka kattaa:

  • Dokumentointi.
  • Määrityksen.
  • Testaus.
  • Laadunvalvonta.
  • Hallittu toteutus.

Muutosmenettelyihin tulee kuulua:

  • Analyysi ehdotettujen muutosten vaikutuksista.
  • Valtuutusmenettelyt.
  • Muutosten levittäminen kaikille kiinnostuneille.
  • Testaus – mukaan lukien tiukat hyväksymiskriteerit.
  • Kuinka muutokset tehdään toteutusvaiheiden aikana.
  • Varasuunnitelmat, jotka kattavat kaikki muutokseen liittyvät tapahtumat toteutuksen aikana.
  • Kuinka ylläpitää riittävää kirjaa kaikesta muutokseen liittyvästä toiminnasta.
  • Päivitä kaikki asiaankuuluvat käyttöasiakirjat ja käyttöohjeet (katso ISO 27002 Control 5.37).

ISO kannattaa testausta ja kaikkea muutoksiin liittyvää toimintaa ympäristössä, joka on loogisesti (ja mahdollisesti fyysisesti) erillään toimintaympäristöstä, johon muutokset on asetettu vaikuttamaan) (katso ISO 27002 Control 8.31).

Asiaankuuluvat ISO 27002 -säätimet

  • ISO 27002 5.37
  • ISO 27002 8.31


Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


ISO 27701, lauseke 6.9.1.3 – Kapasiteetin hallinta

Viitteet ISO 27002 Control 8.6

Organisaatioiden on varmistettava, että niillä on riittävä toimintakyky päivittäisten liiketoimintojen suorittamiseen, jotta henkilökohtaisia ​​tunnistetietoja tai yksityisyyteen liittyvää materiaalia ei vaaranneta.

Organisaatioiden tulee:

  • Pidä toiminnan jatkuvuutta ja yksityisyyden suojaa ensisijaisena prioriteettina, kun toteutat kapasiteetin hallinnan valvontaa, mukaan lukien havaitsevat hallintalaitteet, jotka tuovat esiin mahdolliset ongelmat ennen niiden ilmenemistä.
  • Perusta kapasiteetinhallintatoimintansa ennakoiviin viritys- ja valvontatoimintoihin.
  • Suorita säännöllisiä stressitestejä, jotka selvittävät järjestelmän kykyä vastata yleisiin liiketoiminnan tarpeisiin ja yksityisyyden suojasäädöksiin, lakeihin ja ohjeisiin.
  • Sisällytä suunnitelmat toiminnan kaupallisesta ja teknisestä laajentamisesta (sekä fyysisestä että digitaalisesta näkökulmasta).
  • Harkitse vaihtelevia toimitusaikoja ja kustannuksia kyseessä olevan järjestelmän tai liiketoimintatoiminnon mukaan. Yksityisyyteen liittyviin resursseihin olisi kiinnitettävä enemmän huomiota niiden kohonneen riskiprofiilin vuoksi.
  • Dokumentoi ja tarkkaile yksittäisiä epäonnistumiskohtia, jotka liittyvät riippuvuuteen avainhenkilöistä, yksittäisistä resursseista ja henkilökohtaisista tiedoista.
  • Laadi ja toteuta kapasiteetin hallintasuunnitelma, joka käsittelee erityisesti yksityisyyden suojaa.

ISO kannattaa kaksitahoista lähestymistapaa kapasiteetin hallintaan, joka joko lisää kapasiteettia tai vähentää resurssin tai resurssijoukon kysyntää.

Kun organisaatiot pyrkivät lisäämään kapasiteettia, niiden tulee:

  1. Harkitse uusien työntekijöiden palkkaamista vastataksesi kasvaviin liiketoiminnan tarpeisiin.
  2. Laajenna uusiin fyysisiin paikkoihin – mukaan lukien tietojenkäsittely- ja tallennustilat.
  3. Harkitse pilviresurssien käyttöä, jotka laajenevat automaattisesti vastaamaan organisaation kasvavia tarpeita.

Pyrkiessään vähentämään kysyntää organisaatioiden tulee:

  • Poista vanhentuneet tai käyttämättömät tiedot.
  • Hävitä kaikki paperikopiot tiedoista, joita organisaatio ei enää tarvitse ja joita ei lain mukaan vaadita säilyttämään.
  • Poista käytöstä kaikki ICT-resurssit, joita ei enää tarvita.
  • Toteuta ajoitettuja ICT-tehtäviä, jotka optimoivat muistiresursseja ja minimoivat tallennustilaa.
  • Varmista, että kaikki suoritettavan koodin osat tai tietokantakyselyt on optimoitu vähentämään laskenta- ja tallennusresurssien kysyntää.
  • Rajoita Internet-yhteyttä ja estä videon/äänen suoratoisto työlaitteista.

ISO 27701 lauseke 6.9.1.4 – Kehitys-, testaus- ja käyttöympäristöjen erottaminen

Viitteet ISO 27002 Control 8.31

ISO tunnistaa kolme erillistä testausympäristöä, jotka on erotettava toisistaan:

  • Kehitys
  • Testaus
  • Tuotanto

Varmistaakseen, että henkilökohtaisia ​​tunnistetietoja suojataan kaikissa kolmessa ympäristössä (erityisesti koko tuotantoympäristössä), organisaatioiden tulee:

  • Käytä tuotanto- ja kehitysjärjestelmiä selvästi eri aloilla (fyysinen ja virtuaalinen).
  • Määrittele tiukasti, miten ohjelmisto toteutetaan kehitysvaiheesta tuotantovaiheeseen.
  • Testaa tuotantojärjestelmiin tehdyt muutokset perusteellisesti testausympäristössä ennen niiden käyttöönottoa live-ympäristössä (katso ISO 27002 Control 8.29).
  • Estä testaus live-tuotantoympäristöissä, lukuun ottamatta erityistapauksia, jotka ovat saaneet ennakkoluvan.
  • Varmista, että kehitystyökalut eivät ole käytettävissä live-tuotantoympäristöistä, ellei sitä nimenomaisesti vaadita.
  • Merkitse järjestelmät ja resurssit selvästi, mihin ympäristöön ne kuuluvat.
  • Estä yksityisyyteen liittyvien tietojen kopioiminen tuotantoympäristöstä mihin tahansa muuhun ympäristöön, ellei kyseisiin tietoihin sovelleta samoja suojaustoimia kaikkialla, mihin ne kopioidaan.

Kehitys- ja testausympäristöjä tulee suojata:

  1. KAIKKIEN kehitystyökalujen päivitys ja korjaus.
  2. Parhaiden käytäntöjen kokoonpanot.
  3. Ympäristössä tapahtuvien muutosten auditointi ja seuranta.
  4. Vahvat BUDR-suunnitelmat.

ISO tekee selkeästi selväksi, että kehitys- ja testaushenkilöstö muodostaa suhteettoman riskin henkilökohtaisille tietoihin – joko suoraan haitallisten toimien vuoksi tai vahingossa kehitysprosessin virheiden vuoksi.

On elintärkeää, että kukaan yksittäinen työntekijä ei voi tehdä muutoksia sekä kehitys- ja tuotantoympäristöihin että niiden sisällä ilman asianmukaista valtuutusta, mukaan lukien vaadittujen muutosten tarkastelu ja monivaiheinen hyväksyntä (katso ISO 27002 Control 8.33).

Organisaatioiden tulee varmistaa henkilökohtaisten tunnistetietojen eheys ja saatavuus koko kehitys- ja testausprosessin ajan, mukaan lukien useat live-tuotantoympäristöt, koulutusympäristöt ja tehtävien eriyttäminen.

Asiaankuuluvat ISO 27002 -säätimet

  • ISO 27002 8.29
  • ISO 27002 8.33

Tuetut säätimet ISO 27002:sta ja GDPR:stä

ISO 27701 -lausekkeen tunnisteISO 27701 -lausekkeen nimiISO 27002 -vaatimusAsiaan liittyvät GDPR-artikkelit
6.9.1.1Käyttöohjeiden dokumentointi
5.37 – ISO 27002:n dokumentoidut käyttömenettelyt
Ei eristetty
6.9.1.2Muutoksen hallinta
8.32 – Muutoksenhallinta ISO 27002:lle
Ei eristetty
6.9.1.3Kapasiteetin hallinta
8.6 – Kapasiteetin hallinta ISO 27002:lle
Ei eristetty
6.9.1.4Kehitys-, testaus- ja käyttöympäristöjen erottaminen toisistaan
8.31 – ISO 27002 -standardin kehitys-, testaus- ja tuotantoympäristöjen erottaminen
Ei eristetty

Miten ISMS.online auttaa

ISO 27701 -standardin noudattamiseksi sinun on luotava Privacy Information Management System (PIMS). Esirakennetun PIMS:n avulla voit nopeasti ja helposti hallita ja järjestää asiakas-, toimittaja- ja työntekijätietoja täysin standardin mukaiseksi.

Lisäksi ISMS.online voi mukautua kasvavaan määrään maailmanlaajuisia, alueellisia ja alakohtaisia ​​tietosuojamääräyksiä.

Ennen kuin saat ISO 27701 (tietoturva) -sertifioinnin, sinun on ensin hankittava ISO 27001 (tietoturvallisuus) -sertifiointi. Onneksi alustamme voi auttaa sinua saavuttamaan molemmat.

Lisätietoja: varata demo.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!