Slaan oor na inhoud
ISMS.aanlyn

ISO 27701:2025 Beheer A.3.30: Uitbestede Ontwikkeling

Beheer A.3.30 vereis dat organisasies die aktiwiteite wat verband hou met die ontwikkeling van uitkontrakteerde PII-verwerkingstelsels moet rig, monitor en hersien. Hierdie gedeelde beheer verseker dat derdeparty-ontwikkelaars dieselfde privaatheids- en sekuriteitsstandaarde as interne spanne toepas.

skrywer
Max Edwards
Opgedateer Maart 27, 2026
4/5 sterre

Wat vereis beheer A.3.30?

Die organisasie moet die aktiwiteite wat verband hou met die ontwikkeling van uitkontrakteerde PII-verwerkingstelsels rig, monitor en hersien.

Hierdie beheer sit binne die Gedeelde sekuriteitskontroles aanhangsel (A.3) en spreek die realiteit aan dat baie organisasies sommige of al hul sagteware-ontwikkeling uitkontrakteer. Of kontrakteurs, agentskappe, buitelandse spanne of bestuurde diensverskaffers nou gebruik word, die organisasie bly verantwoordelik om te verseker dat uitkontrakteringsstelsels PII tot dieselfde standaard as intern ontwikkelde stelsels beskerm. Die drie werkwoorde — rig, monitor en hersien — vestig 'n volledige toesigraamwerk.

Wat sê die implementeringsriglyne van Aanhangsel B?

Aanhangsel B (afdeling B.3.30) verskaf die volgende riglyne:

  • Pas privaatheid per ontwerp en privaatheid per verstek toe — Dieselfde beginsels van privaatheid deur ontwerp en privaatheid by verstek (sien B.3.29) moet, indien van toepassing, op uitbestede inligtingstelsels toegepas word.

Die leiding is doelbewus bondig omdat die volledige stel ontwikkelingsbeginsels van A.3.29 Veilige Stelselargitektuur geld ewe veel vir uitkontrakteerde werk. Die praktiese implikasie is dat uitkontrakteerde ontwikkelingskontrakte die organisasie se veilige ingenieursbeginsels moet insluit, en die organisasie moet toesigmeganismes hê om nakoming dwarsdeur die ontwikkelingsproses te verifieer.

Hoe pas dit by die GDPR?

Beheer A.3.30 het nie 'n direkte BBP artikelkartering in Aanhangsel D. Dit ondersteun egter verskeie AVG-verpligtinge indirek:

  • Artikel 25 (1) — Databeskerming deur ontwerp geld ongeag of ontwikkeling intern of uitkontrakteer word.
  • Artikel 28 — Waar 'n uitkontrakteerde ontwikkelaar as 'n verwerker optree, is die vereistes van Artikel 28 (verwerkerkontrakte, instruksies, sekuriteitsmaatreëls) van toepassing.

Die AVG maak dit duidelik dat uitkontraktering nie verantwoordelikheid oordra nie. Die beheerder of verwerker bly aanspreeklik vir die privaatheid en sekuriteit van stelsels wat namens hom gebou is.

Wat het verander van ISO 27701:2019?

Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.

In die 2019-uitgawe is hierdie vereiste gedek deur Klousule 6.11.2.7 (uitkontraktering van ontwikkeling). Die 2025-uitgawe behou die kernvereiste as A.3.30 met die implementeringsriglyne in B.3.30 wat nou eksplisiet skakel na die privaatheid deur ontwerp en privaatheid deur verstek-beginsels in B.3.29. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.



ISMS.online se kragtige dashboard

Begin jou gratis toets

Wil jy verken?

Sluit vandag aan vir jou gratis proeftydperk en kry al die voldoeningskenmerke wat ISMS.online kan bied, in die hand

Aan die begin


Watter bewyse verwag ouditeure?

Wanneer voldoening aan A.3.30 beoordeel word, sal ouditeure tipies kyk na:

  • Ontwikkelingskontrakte met privaatheidsvereistes — Kontrakte met uitkontrakteerde ontwikkelaars wat PII-beskermingsvereistes, veilige ingenieursbeginsels, datahanteringsverpligtinge en die reg op ouditering insluit
  • Rigting- en toesigrekords — Bewyse van hoe die organisasie privaatheidsvereistes aan uitkontrakteerde ontwikkelaars kommunikeer, insluitend spesifikasies, riglyne en opleidingsmateriaal wat verskaf word
  • Moniteringsaktiwiteite — Rekords van deurlopende monitering soos kode-oorsigte, sekuriteitstoetsing, vorderingsoorsigte en voldoeningskontroles wat tydens die ontwikkelingsbetrokkenheid uitgevoer is
  • Hersienings- en aanvaardingskriteria — Gedokumenteerde hersieningsprosesse, insluitend privaatheidsgerigte aanvaardingstoetsing, sekuriteitshersieningsondertekening en verifikasie dat lewerbare items aan PII-beskermingsvereistes voldoen.
  • Datahantering tydens ontwikkeling — Bewyse dat uitkontrakteerde ontwikkelaars nie werklike PII vir toetsing gebruik nie (skakel na A.3.31 Toetsinligting) en dat enige PII-toegang behoorlik beheer en aangeteken word

Wat is die verwante kontroles?

Beheer Verhoudings
A.3.29 Veilige stelselargitektuur Uitkontraktering van ontwikkeling moet dieselfde ingenieursbeginsels volg
A.3.10 Verskafferooreenkomste Ontwikkelingsuitkontrakteringskontrakte moet PII-beskermingsklousules insluit
A.3.27 Veilige ontwikkelingslewensiklus Uitkontrakteerde ontwikkelaars moet die organisasie se SDLC-vereistes volg.
A.3.31 Toetsinligting Uitkontraktering van ontwikkeling mag nie werklike persoonlike inligting (PII) vir toetsing gebruik nie.
A.3.18 Vertroulikheidsooreenkomste Uitkontrakteringsontwikkelaars moet vertroulikheidsooreenkomste onderteken wat persoonlike inligting dek

Op wie is hierdie beheer van toepassing?

A.3.30 is 'n gedeelde beheer dit geld vir beide PII-beheerders en PII-verwerkers. Enige organisasie wat die ontwikkeling van stelsels wat PII sal verwerk, uitkontrakteer, moet die uitkontrakteringsaktiwiteite rig, monitor en hersien. Dit geld vir volledige uitkontrakteringsreëlings, individuele kontrakteurs, ontwikkelingsagentskappe en enige ander derdeparty-ontwikkelingsbetrokkenheid.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


Hoekom kies ISMS.aanlyn vir uitbestede ontwikkelings toesig?

ISMS.aanlyn bied praktiese gereedskap vir die bestuur van uitkontrakteringsverhoudings:

  • Verskaffersbestuur — Volg uitkontrakteringsverskaffers met kontraktrekords, voldoeningsstatus, risikobepalings en hersieningskedules op een plek.
  • Vereiste kommunikasie — Deel privaatheidsvereistes en veilige ingenieursbeginsels met uitkontrakteerde ontwikkelaars deur die platform, met erkenningsopsporing
  • Hersien werkvloeie — Skep gestruktureerde hersieningswerkvloeie vir kodehersienings, sekuriteitsassesserings en aanvaardingstoetsing met aftekeningopsporing
  • Risikobeoordelings — Voer risikobepalings spesifiek uit vir uitkontrakteringscenario's, insluitend datatoegangsrisiko's, kodekwaliteitsrisiko's en subkontrakteurrisiko's
  • Ouditspoor — Handhaaf 'n volledige ouditspoor van alle toesigaktiwiteite, kommunikasie en hersieningsuitkomste vir voldoeningsbewyse

Vrae & Antwoorde

Wat moet in 'n uitkontrakteringskontrak vir ontwikkeling ingesluit word?

Die kontrak moet die volgende insluit: vereistes vir die beskerming van persoonlike inligting (PII) en die organisasie se beginsels vir veilige ingenieurswese; verpligtinge vir datahantering (insluitend beperkings op die gebruik van werklike PII vir toetsing); vertroulikheidsverpligtinge; die reg om kode en sekuriteitspraktyke te oudit; vereistes vir sekuriteitstoetsing; verpligtinge vir voorvalkennisgewing; bepalings vir intellektuele eiendom en kode-eienaarskap; en vereistes vir datavernietiging aan die einde van die betrokkenheid. Waar die ontwikkelaar toegang tot PII sal hê, moet die kontrak ook die verwerkingsvereistes van Artikel 28 van die AVG aanspreek.

Hoe moet organisasies uitkontrakteerde ontwikkeling monitor?

Monitering moet die volgende insluit: gereelde kode-oorsigte wat fokus op die hantering van persoonlike inligting; sekuriteitstoetsing (SAST, DAST, penetrasietoetsing) by gedefinieerde mylpale; vorderingsoorsigte wat voldoening aan privaatheidsvereistes insluit; verifikasie dat toetsomgewings nie werklike persoonlike inligting bevat nie; hersiening van toegangslogboeke vir enige ontwikkelingsomgewing wat persoonlike inligting bevat; en periodieke assessering van die ontwikkelaar se eie sekuriteitspraktyke. Die vlak van monitering moet proporsioneel wees tot die sensitiwiteit van die persoonlike inligting en die kritieke aard van die stelsel.

Is hierdie beheer van toepassing op die gebruik van oopbronkomponente?

A.3.30 dek spesifiek uitkontraktering van ontwikkelingsverhoudings waar 'n derde party stelsels namens die organisasie ontwikkel. Oopbronkomponente val meer natuurlik onder A.3.28 Toepassingsekuriteit (toepassingsekuriteitsvereistes) waar die organisasie die sekuriteitsgeskiktheid van derdeparty-komponente moet assesseer. Indien 'n organisasie egter 'n derde party opdrag gee om 'n oopbronkomponent vir PII-verwerking te ontwikkel of aan te pas, val daardie betrokkenheid binne die bestek van A.3.30.

SaaS-platforms kan pasgemaakte leiding vind in ons gids vir SaaS-platforms.

Dokumenteer hierdie beheer in jou Verklaring van toepaslikheid.

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Lente 2026
Hoë Presteerder - Lente 2026 Klein Besigheid VK
Streeksleier - Lente 2026 EU
Streekleier - Lente 2026 EMEA
Streeksleier - Lente 2026 VK
Hoë Presteerder - Lente 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.