Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.3.27: Veilige Ontwikkelingslewensiklus

Beheer A.3.27 vereis dat organisasies reëls moet vasstel en toepas vir die veilige ontwikkeling van sagteware en stelsels wat persoonlike inligting verwerk. Hierdie gedeelde beheer integreer privaatheid deur ontwerp en privaatheid by verstek in die sagteware-ontwikkelingslewensiklus.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.3.27?

Reëls vir die veilige ontwikkeling van sagteware en stelsels wat verband hou met PII-verwerking sal vasgestel en toegepas word.

Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en vereis dat organisasies PII-beskerming van die begin af in die sagteware-ontwikkelingslewensiklus integreer, eerder as om privaatheidskontroles aan te pas nadat stelsels gebou is. Dit is die praktiese implementering van die "privaatheid deur ontwerp"-beginsel: ontwikkelingspanne benodig duidelike, uitvoerbare reëls wat hulle lei in die bou van stelsels wat PII by verstek beskerm.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.3.27) verskaf gedetailleerde leiding oor die inbedding van privaatheid in ontwikkeling:

  • PII-gefokusde ontwikkelingsbeleide — Beleide vir stelselontwikkeling en -ontwerp moet leiding insluit vir die organisasie se PII-verwerkingsbehoeftes, gebaseer op verpligtinge teenoor PII-hoofde en toepaslike wetlike vereistes.
  • Privaatheid deur ontwerp en by verstek — Beleide moet die volgende aspekte in ag neem:
    • Leidraad oor PII-beskerming en die implementering van die privaatheidsbeginsels (volgens ISO/IEC 29100) in die sagteware-ontwikkelingslewensiklus
    • Privaatheids- en PII-beskermingsvereistes in die ontwerpfase, wat gebaseer kan wees op die uitset van 'n privaatheidsrisikobepaling of privaatheidsimpakbepaling
    • PII-beskermingskontrolepunte binne projekmylpale
    • Vereiste kennis van privaatheid en PII-beskerming vir ontwikkelspanne
    • Minimaliseer standaard die verwerking van PII
    • Sien ook A.3.29: Veilige Stelselargitektuur en Ingenieursbeginsels vir verwante vereistes
    • Sien ook A.3.31: Toetsinligting vir verwante vereistes

Die riglyne is gestruktureer rondom vyf aksiegebiede wat ontwikkelingspanne in hul bestaande prosesse kan integreer. Die klem op die minimalisering van PII-verwerking by verstek is veral belangrik: stelsels moet ontwerp word om slegs die PII in te samel en te verwerk wat streng noodsaaklik is vir die geïdentifiseerde doel.

Hoe pas dit by die GDPR?

Beheer A.3.27 karteer na die volgende BBP Artikel:

  • Artikel 25 (1) — Databeskerming deur ontwerp en by verstek, wat vereis dat beheerders toepaslike tegniese en organisatoriese maatreëls implementeer wat ontwerp is om databeskermingsbeginsels te implementeer en nodige waarborge in die verwerking te integreer, beide ten tyde van die bepaling van die middele vir verwerking en ten tyde van die verwerking self

Artikel 25 is een van die BBPse mees toekomsgerigte bepalings, en A.3.27 bied 'n gestruktureerde manier om voldoening te demonstreer deur privaatheidsvereistes in ontwikkelingsprosesse in te sluit.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.11.2.1 (veilige ontwikkelingsbeleid). Die 2025-uitgawe behou die kernvereistes as A.3.27 met uitgebreide implementeringsriglyne in B.3.27 wat 'n duideliker vyfpuntraamwerk bied vir die inbedding van privaatheid in ontwikkeling. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.3.27 beoordeel word, sal ouditeure tipies kyk na:

  • Veilige ontwikkelingsbeleid — ’n Gedokumenteerde beleid wat PII-spesifieke vereistes vir elke fase van die ontwikkelingslewensiklus (ontwerp, ontwikkeling, toetsing, ontplooiing, instandhouding) insluit.
  • Privaatheid impakbeoordelings — Bewyse dat PIA's of DPIA's tydens die ontwerpfase uitgevoer word vir nuwe stelsels of beduidende veranderinge aan stelsels wat PII verwerk
  • PII-beskermingskontrolepunte — Bewyse dat projekmylpale privaatheidsoorsigte of -ondertekeninge insluit, soos privaatheidspoortjies in sprintoorsigte of vrystellingskontrolelyste.
  • Ontwikkelaaropleiding — Rekords wat toon dat ontwikkelspanlede opgelei is oor PII-beskermingsvereistes, privaatheidsbeginsels en veilige koderingspraktyke
  • Bewyse van dataminimalisering — Bewyse dat stelsels ontwerp is om die minimum nodige persoonlike inligting in te samel en te verwerk, soos ontwerpdokumente wat wys watter datavelde oorweeg is en waarom elkeen vereis word

Wat is die verwante kontroles?

Beheer Verhoudings
A.1.2.6 Impakbepaling vir privaatheid PIA's voer privaatheidsvereistes in die ontwikkelingsproses in
A.1.4.5 PII-minimaliseringsdoelwitte Ontwikkeling moet data-minimalisering by verstek implementeer
A.3.28 Toepassingssekuriteitsvereistes Sekuriteitsvereistes vir toepassings vul veilige ontwikkelingsreëls aan
A.3.17 Bewustheid en opleiding Opleiding vir ontwikkelaars se privaatheid ondersteun veilige ontwikkelingspraktyke
A.1.2.2 Identifiseer en dokumenteer doel Gedokumenteerde verwerkingsdoeleindes definieer watter PII die stelsel moet insamel

Op wie is hierdie beheer van toepassing?

A.3.27 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Enige organisasie wat sagteware en stelsels vir PII-verwerking ontwikkel of in gebruik neem, moet veilige ontwikkelingsreëls vasstel en toepas. Dit sluit in interne ontwikkelingspanne, gekontrakteerde ontwikkelaars en spanne wat aan pasgemaakte integrasies of aanpassings werk. Vir uitkontraktering van ontwikkeling, sien ook beheer A.3.30 Uitgekontrakteerde Ontwikkeling.



ISMS.online se kragtige dashboard

Begin maklik met 'n persoonlike produkdemonstrasie

Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir veilige ontwikkelingsnakoming?

ISMS.aanlyn bied praktiese gereedskap vir die inbedding van privaatheid in jou ontwikkelingsprosesse:

  • DPIA-werkvloeie — Ingeboude sjablone vir die assessering van databeskermingsimpak wat met jou ontwikkelingspyplyn integreer, wat verseker dat privaatheidsvereistes reeds in die ontwerpfase vasgelê word
  • Beleidsbestuur — Publiseer veilige ontwikkelingsbeleide met weergawebeheer, personeelerkenning en hersieningskedulering
  • Opleidingsbestuur — Volg die voltooiing van privaatheidsopleiding vir ontwikkelaars, met outomatiese herinneringe vir agterstallige of vervalde sertifikate
  • Projek mylpaal dophou — Skep PII-beskermingskontrolepunte binne projekplanne, met afhandelingswerkvloeie vir privaatheidspoorte
  • Bewyse van voldoening — Versamel en organiseer veilige ontwikkelingsbewyse, insluitend PIA's, ontwerpresensies, kode-resensierekords en toetsresultate vir ouditgereedheid

Vrae & Antwoorde

Wat beteken privaatheid by verstek in die praktyk?

Privaatheid by verstek beteken dat wanneer 'n stelsel ontplooi word of 'n gebruiker 'n rekening skep, die verstek-instellings die hoogste vlak van privaatheidsbeskerming moet bied. Gebruikers moet aktief kies om bykomende data te deel, eerder as om uit te teken van data-insameling. Byvoorbeeld, 'n stelsel moet slegs die minimum PII-velde insamel wat vir die kernfunksie vereis word, met bykomende data-insameling by verstek gedeaktiveer en slegs geaktiveer as die gebruiker eksplisiet kies om dit te verskaf.

Wat is PII-beskermingskontrolepunte?

PII-beskermingskontrolepunte is gedefinieerde punte in die projeklewensiklus waar privaatheidsvereistes hersien en geverifieer word. Voorbeelde sluit in 'n privaatheidsoorsig tydens argitektuurontwerp, 'n kode-oorsigkontrolepunt wat voldoening aan PII-hantering nakom, 'n privaatheidsondertekening voor vrystelling en 'n privaatheidsverifikasie na ontplooiing. Hierdie kontrolepunte moet in die ontwikkelingsproses gedokumenteer word en duidelike kriteria vir slaag of misluk hê.

Is hierdie beheer van toepassing op sagteware wat van die rak af beskikbaar is?

A.3.27 is hoofsaaklik van toepassing op sagteware en stelsels wat deur die organisasie ontwikkel of in opdrag gegee word. Vir gereedgemaakte sagteware moet die organisasie bepaal of die sagteware aan die vereistes vir persoonlike inligtingsbeskerming voldoen tydens die verkrygings- en konfigurasiefases (sien A.3.28 ToepassingsekuriteitEnige aanpassing, integrasie of konfigurasie van gereedgemaakte sagteware wat PII-verwerking beïnvloed, moet egter die veilige ontwikkelingsreëls volg wat onder A.3.27 vasgestel is.

SaaS-organisasies moet ook ons gids vir SaaS-platforms vir ontwikkelingspesifieke privaatheidsvereistes.

Vir KI-spesifieke ontwikkelingsoorwegings, sien ons KI-privaatheidsbestuur lei.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.