Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.3.29: Veilige Stelselargitektuur en Ingenieursbeginsels

Beheer A.3.29 vereis dat organisasies beginsels vir die ingenieurswese van veilige stelsels wat verband hou met PII-verwerking, moet vestig, dokumenteer, onderhou en toepas. Hierdie gedeelde beheer verseker dat privaatheid deur ontwerp en privaatheid by verstek van nuuts af in die stelselargitektuur ingebed is.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.3.29?

Beginsels vir die ingenieurswese van veilige stelsels met betrekking tot die verwerking van persoonlike inligting moet vasgestel, gedokumenteer, in stand gehou en toegepas word op enige inligtingstelselontwikkelingsaktiwiteite.

Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en gaan verder as individuele ontwikkelingsprojekte om organisasiewye ingenieursbeginsels te vereis wat alle stelselontwikkeling rig. A.3.27 Veilige ontwikkelingslewensiklus dek die ontwikkelingslewensiklus en A.3.28 Toepassingsekuriteit dek toepassingsekuriteitsvereistes, A.3.29 fokus op die argitektoniese fondament: die ontwerppatrone, sekuriteitsbeginsels en privaatheidsbewuste ingenieursstandaarde wat elke stelsel wat binne die organisasie gebou of gewysig word, beïnvloed.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.3.29) verskaf die volgende riglyne:

  • Privaatheid deur ontwerp en privaatheid by verstek — Stelsels of komponente wat verband hou met die verwerking van persoonlike inligting moet ontwerp word volgens die beginsels van privaatheid deur ontwerp en privaatheid by verstek.
  • Antisipeer en fasiliteer beheermaatreëls — Stelselargitektuur moet die implementering van relevante beheermaatreëls wat in B.1 (vir PII-beheerders) en B.2 (vir PII-verwerkers) beskryf word, antisipeer en fasiliteer.
  • Minimaliseer PII-verwerking — Die insameling en verwerking van persoonlike inligting in daardie stelsels moet beperk word tot wat nodig is vir die geïdentifiseerde doeleindes van die verwerking.
  • Ontwerp vir verwydering — Byvoorbeeld, 'n organisasie wat persoonlike inligting verwerk, moet verseker dat hulle na 'n bepaalde tydperk van persoonlike inligting ontslae raak. Die stelsel wat daardie persoonlike inligting verwerk, moet so ontwerp word dat dit hierdie verwyderingsvereiste vergemaklik.
  • Sien ook A.3.30: Uitbestede Ontwikkeling vir verwante vereistes
  • Sien ook A.3.31: Toetsinligting vir verwante vereistes

Die voorbeeld van verwydering is veral leersaam: as 'n stelsel nie ontwerp is om data-uitwissing van die begin af te ondersteun nie, kan die latere aanpassing van hierdie vermoë uiters duur en tegnies kompleks wees. Dieselfde beginsel geld vir data-minimalisering, toestemmingsbestuur, data-oordraagbaarheid en elke ander privaatheidsvereiste.

Hoe pas dit by die GDPR?

Beheer A.3.29 karteer na die volgende BBP Artikel:

  • Artikel 25 (1) — Databeskerming deur ontwerp en by verstek, wat die implementering van toepaslike tegniese en organisatoriese maatreëls vereis wat ontwerp is om databeskermingsbeginsels effektief te implementeer en die nodige voorsorgmaatreëls in die verwerking te integreer

A.3.29 bied 'n praktiese raamwerk om te voldoen aan Artikel 25 se vereiste dat databeskerming op die argitektoniese vlak oorweeg word, nie net op die toepassingsvlak nie.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.11.2.5 (beginsels van veilige stelselingenieurswese). Die 2025-uitgawe behou die kernvereistes as A.3.29, met die implementeringsriglyne in B.3.29 wat 'n duideliker verband bied met die privaatheid deur ontwerp-beginsels en die spesifieke beheerder- en verwerkerkontroles wat stelselargitektuur moet verwag. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.3.29 beoordeel word, sal ouditeure tipies kyk na:

  • Gedokumenteerde ingenieursbeginsels — 'n Stel gedokumenteerde veilige stelselingenieursbeginsels wat PII-beskerming aanspreek, insluitend dataminimalisering, doelbeperking, bergingsbeperking en sekuriteit by verstek
  • Argitektuurhersieningsrekords — Bewyse dat stelselargitekture teen die gedokumenteerde beginsels hersien word voordat ontwikkeling voortgaan
  • Privaatheidsbewuste ontwerppatrone — Gedokumenteerde ontwerppatrone of verwysingsargitekture wat ontwikkelspanne as sjablone gebruik, wat PII-beskermingsvereistes insluit
  • Ontwerp vir data lewensiklus — Bewyse dat stelsels ontwerp is om die volle PII-datalewensiklus te ondersteun, insluitend die insameling, verwerking, berging, verwydering en data-onderwerpregte
  • Handhawing van beginsels — Rekords wat toon dat ingenieursbeginsels periodiek hersien en opgedateer word, of in reaksie op veranderinge in privaatheidsvereistes

Wat is die verwante kontroles?

Beheer Verhoudings
A.3.27 Veilige ontwikkelingslewensiklus Ontwikkelingsprosesse moet die ingenieursbeginsels implementeer
A.3.28 Toepassingssekuriteitsvereistes Toepassingsvereistes moet ooreenstem met die argitektoniese beginsels
A.1.2.6 Impakbepaling vir privaatheid PIA's identifiseer privaatheidsrisiko's wat ingenieursbeginsels moet aanspreek
A.1.4.5 PII-minimaliseringsdoelwitte Stelselargitektuur moet data-minimalisering by verstek afdwing
A.1.4.6 De-identifikasie en verwydering Stelsels moet argitektonies in staat wees om verwyderingsvereistes te ondersteun

Op wie is hierdie beheer van toepassing?

A.3.29 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Enige organisasie wat inligtingstelsels vir PII-verwerking ontwikkel, moet ingenieursbeginsels vasstel en handhaaf. Die beheer vereis dat hierdie beginsels toegepas word op "enige inligtingstelselontwikkelingsaktiwiteite", wat beteken dat dit nie opsionele riglyne is nie, maar verpligte standaarde vir alle ontwikkelingswerk.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Hoekom kies ISMS.aanlyn vir veilige stelselargitektuur-nakoming?

ISMS.aanlyn bied praktiese gereedskap vir die bestuur van u veilige ingenieursbeginsels:

  • Beginselsregister — Dokumenteer en onderhou u veilige ingenieursbeginsels in 'n sentrale, weergaweregister waarna ontwikkelingspanne kan verwys
  • Argitektuurhersieningswerkvloeie — Skep hersieningswerkvloeie wat vereis dat stelselontwerpe teen jou ingenieursbeginsels beoordeel word voordat ontwikkeling begin
  • DPIA-integrasie — Koppel privaatheidsimpakbeoordelings aan stelselargitektuurbesluite, en verseker dat privaatheidsrisiko's wat in die DPIA geïdentifiseer is, in die ontwerp aangespreek word.
  • Nakomingskartering — Koppel jou ingenieursbeginsels aan ISO 27701-kontroles, BBP Artikel 25 en ander vereistes vir die privaatheidsraamwerk
  • Hersien skedulering — Beplan periodieke hersienings van u ingenieursbeginsels met outomatiese herinneringe en weergawebeheer

Vrae & Antwoorde

Wat is die verskil tussen A.3.27 Veilige Ontwikkelingslewensiklus en A.3.29?

A.3.27 Veilige ontwikkelingslewensiklus dek die veilige ontwikkelingslewensiklus — die proses en prosedures wat ontwikkelspanne volg. A.3.29 dek die ingenieursbeginsels — die argitektoniese standaarde en ontwerppatrone wat lei hoe stelsels moet lyk. Dink aan A.3.27 Veilige ontwikkelingslewensiklus as “hoe ons bou” en A.3.29 as “waarna ons bou.” Beide werk saam: ontwikkelingsprosesse (A.3.27 Veilige ontwikkelingslewensiklus) behoort die toepassing van ingenieursbeginsels af te dwing (A.3.29).

Wat is voorbeelde van veilige ingenieursbeginsels vir PII?

Voorbeelde sluit in: versamel slegs die PII-velde wat vir die genoemde doel benodig word; enkripteer PII in rus en onderweg by verstek; ontwerp databasisskemas om die gedetailleerde verwydering van individuele rekords te ondersteun; implementeer toestemmingsbestuur op die datalaag, nie net die UI-laag nie; teken alle PII-toegangsgebeurtenisse aan; gebruik rolgebaseerde toegangsbeheer om PII-toegang tot gemagtigde personeel te beperk; ontwerp API's om slegs die minimum PII terug te gee wat vir elke gebruiksgeval benodig word; en bou dataretensie-outomatisering vanaf die bekendstelling in die stelsel in.

Hoe gereeld moet ingenieursbeginsels hersien word?

Ingenieursbeginsels moet ten minste jaarliks ​​hersien word, asook wanneer daar beduidende veranderinge aan privaatheidswetgewing, organisatoriese PII-verwerkingsaktiwiteite, tegnologiestapel of bedreigingslandskap is. Die hersiening moet bepaal of die beginsels steeds huidig, effektief en in lyn is met die organisasie se privaatheidsverpligtinge. Enige opdaterings moet aan ontwikkelspanne gekommunikeer word en in argitektuurhersieningskontrolelyste weerspieël word.

SaaS-platforms kan pasgemaakte leiding vind in ons gids vir SaaS-platforms.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.