Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.3.28: Toepassingsekuriteitsvereistes

Beheer A.3.28 vereis dat organisasies inligtingsekuriteitsvereistes met betrekking tot PII-verwerking identifiseer, spesifiseer en goedkeur wanneer toepassings ontwikkel of verkry word. Hierdie gedeelde beheer verseker dat PII-beskerming van die begin af in toepassingspesifikasies ingebou is.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.3.28?

Inligtingsekuriteitsvereistes met betrekking tot PII-verwerking moet geïdentifiseer, gespesifiseer en goedgekeur word wanneer toepassings ontwikkel of verkry word.

Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en vereis 'n gestruktureerde benadering tot die definisie van sekuriteitsvereistes vir toepassings wat PII hanteer. Dit geld ewe veel vir toepassings wat intern gebou is en dié wat van derde partye verkry is. Die sleutelwoord is "goedgekeur" - sekuriteitsvereistes moet nie net geïdentifiseer en gedokumenteer word nie, maar formeel onderteken word voordat ontwikkeling of verkryging voortgaan.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.3.28) verskaf die volgende riglyne:

  • Enkripsie vir onbetroubare netwerke — Die organisasie moet verseker dat PII wat oor onbetroubare data-oordragnetwerke gestuur word, geïnkripteer is vir oordrag.
  • Definisie van onbetroubare netwerke — Onvertroude netwerke kan die openbare internet en ander fasiliteite buite die operasionele beheer van die organisasie insluit
  • Praktiese beperkings — In sommige gevalle (bv. die uitruil van e-pos), kan die inherente eienskappe van onbetroubare data-oordragnetwerkstelsels vereis dat sommige kop- of verkeersdata blootgestel word vir effektiewe oordrag.
  • Sien ook A.3.29: Veilige Stelselargitektuur en Ingenieursbeginsels vir verwante vereistes
  • Sien ook A.3.30: Uitbestede Ontwikkeling vir verwante vereistes

Die riglyne fokus spesifiek op enkripsie tydens transito as 'n basiese toepassingsekuriteitsvereiste. Dit weerspieël die realiteit dat toepassings wat PII verwerk, byna altyd data oor netwerke oordra, en enkripsie is die fundamentele beskerming teen onderskepping. Die erkenning van praktiese beperkings (soos e-posopskrifte) toon 'n pragmatiese benadering – die standaard erken dat nie alle data in alle omstandighede geïnkripteer kan word nie.

Hoe pas dit by die GDPR?

Beheer A.3.28 karteer na die volgende BBP artikels:

  • Artikel 5(1)(f) — Die integriteits- en vertroulikheidsbeginsel, wat toepaslike sekuriteit van persoonlike data vereis
  • Artikel 32 (1) (a) — Die vereiste om toepaslike tegniese en organisatoriese maatreëls te implementeer, insluitend die enkripsie van persoonlike data

Beide artikels ondersteun die beginsel dat toepassings wat persoonlike data hanteer, toepaslike sekuriteitsmaatreëls van die begin af moet hê, en nie as nagedagtes bygevoeg moet word nie.

Vir die volledige GDPR-na-ISO 27701-kartering, sien GDPR-nakomingsgids.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste gedek deur Klausules 6.11.1.2 (beveiliging van toepassingsdienste op openbare netwerke) en 6.11.1.3 (beskerming van toepassingsdienstetransaksies). Die 2025-uitgawe konsolideer hierdie in A.3.28 met 'n breër omvang wat alle toepassingssekuriteitsvereistes dek, nie net openbare netwerk- en transaksiesekuriteit nie. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online se kragtige dashboard

Begin jou gratis toets

Wil jy verken?

Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand

Aan die begin


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.3.28 beoordeel word, sal ouditeure tipies kyk na:

  • Spesifikasie van sekuriteitsvereistes — Gedokumenteerde sekuriteitsvereistes vir elke toepassing wat persoonlike inligting verwerk, wat verifikasie, magtiging, enkripsie, invoervalidering, logging en datahantering dek.
  • Goedkeuringsrekords — Bewyse dat sekuriteitsvereistes formeel hersien en goedgekeur is deur 'n toepaslike owerheid (bv. sekuriteitspan, DPO of argitektuurhersieningsraad) voor ontwikkeling of verkryging
  • Enkripsie in transito — Bewyse dat alle toepassings wat PII oor onbetroubare netwerke oordra, TLS 1.2 of hoër gebruik, met sertifikate wat behoorlik gekonfigureer is.
  • Assessering van verkrygingssekuriteit — Vir verkrygde toepassings, bewys dat PII-sekuriteitsvereistes in die verkrygingskriteria ingesluit is en dat die gekose produk daaraan voldoen.
  • Veiligheidstoetsing — Bewyse dat toepassings teen hul sekuriteitsvereistes getoets is, insluitend penetrasietoetsing of sekuriteitskode-hersieningsresultate

Wat is die verwante kontroles?

Beheer Verhoudings
A.3.27 Veilige ontwikkelingslewensiklus Toepassingssekuriteitsvereistes word in die veilige ontwikkelingsproses ingesluit
A.3.26 Gebruik van kriptografie Kriptografiese vereistes vir toepassings word deur die kriptografiebeleid beheer
A.3.23 Veilige verifikasie Verifikasie is 'n belangrike vereiste vir toepassingsekuriteit
A.3.10 Verskafferooreenkomste Aangekochte toepassings moet voldoen aan die sekuriteitsvereistes wat in verskafferooreenkomste gespesifiseer word
A.3.25 Logging Toepassingslogvereistes moet as deel van die sekuriteitspesifikasie gedefinieer word.

Op wie is hierdie beheer van toepassing?

A.3.28 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Enige organisasie wat toepassings vir PII-verwerking ontwikkel of verkry, moet sekuriteitsvereistes identifiseer en goedkeur voordat hulle voortgaan. Dit sluit in webtoepassings, mobiele toepassings, API's, interne gereedskap, SaaS-produkte en enige ander sagteware wat persoonlike data hanteer.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir toepassingssekuriteitsbestuur?

ISMS.aanlyn bied praktiese gereedskap vir die bestuur van toepassingssekuriteitsvereistes:

  • Vereistesjablone — Voorafgeboude sekuriteitsvereistesjablone vir algemene toepassingtipes, aanpasbaar volgens u organisasie se spesifieke PII-verwerkingsbehoeftes
  • Goedkeuringswerkstrome — Lei sekuriteitsvereistes deur formele hersienings- en goedkeuringsprosesse met ouditspoor en afhandelingopsporing
  • Verskaffer assessering — Beoordeel derdeparty-toepassings teen u sekuriteitsvereistes deur gestruktureerde vraelyste en puntetelling te gebruik
  • Risikobeoordelings — Voer risikobepalings op toepassingsvlak uit wat direk in jou sekuriteitsvereistes inwerk, en verseker dat die vereistes in verhouding tot die risiko is.
  • Bewysbestuur — Stoor sekuriteitstoetsresultate, goedkeuringsrekords en voldoeningsbewyse in 'n gestruktureerde, ouditgereed formaat wat aan elke toepassing gekoppel is

Vrae & Antwoorde

Watter sekuriteitsvereistes moet gespesifiseer word vir PII-verwerkingstoepassings?

Ten minste moet toepassings wat PII verwerk, vereistes hê wat die volgende dek: verifikasie en magtiging (wie kan toegang tot PII kry en op watter vlak), enkripsie in rus en tydens transito, invoervalidering en uitvoerenkodering (om inspuitingsaanvalle te voorkom), sessiebestuur, logging en ouditroetes, fouthantering (om PII-lekkasie in foutboodskappe te voorkom), databewaring en -verwyderingsvermoëns, en toestemmingsbestuur waar van toepassing. Vereistes moet proporsioneel wees tot die sensitiwiteit van die PII en die risikoprofiel van die toepassing.

Hoe is hierdie beheer van toepassing op SaaS-verkryging?

Wanneer SaaS-toepassings verkry word wat PII sal verwerk, moet die organisasie PII-sekuriteitsvereistes in die verkrygingsevalueringskriteria insluit. Dit sluit in die beoordeling van die verskaffer se enkripsiepraktyke, verifikasie-opsies, data-residensie, toegangsbeheer, loggingvermoëns en voldoeningsertifikate. Die assessering moet gedokumenteer en goedgekeur word voordat die verkrygingsbesluit geneem word. Deurlopende voldoening moet gemonitor word deur verskafferbestuursprosesse (A.3.10 Verskaffersooreenkomste).

Wat word bedoel met onbetroubare netwerke?

Onvertroude netwerke sluit die openbare internet en enige netwerkfasiliteite buite die direkte operasionele beheer van die organisasie in. Dit kan derdeparty-netwerkverskaffers, openbare Wi-Fi, mobiele datanetwerke en interperseelverbindings wat deur openbare infrastruktuur gaan, insluit. Vir PII is die veilige aanname om enige netwerk buite jou organisasie se direkte fisiese en logiese beheer as onvertroud te behandel en alle PII-oordragte dienooreenkomstig te enkripteer.

SaaS-platforms kan pasgemaakte leiding vind in ons gids vir SaaS-platforms.

Dokumenteer hierdie beheer in jou Verklaring van toepaslikheid.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.