ISO 27701 – Klousule 6.11.2 – Sekuriteit in ontwikkeling en ondersteuningsprosesse

ISO 27701 Klousule 6.11.2 beklemtoon die belangrikheid van die integrasie van sekuriteitsmaatreëls in ontwikkelings- en ondersteuningsprosesse om Persoonlik Identifiseerbare Inligting (PII) te beskerm, wat beleide vir veilige ontwikkeling, veranderingsbeheer en tegniese resensies dek.

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 25 Februarie 2025
LinkedIn Twitter Twitter

Verstaan ​​ISO 27701 Klousule 6.11.2 Vereistes

Ontwikkelingsaktiwiteite wat oor verskeie afsonderlike omgewings versprei is, verteenwoordig 'n beduidende faktor vir organisasies wat met verskillende datakategorieë te doen het, en het 'n behoefte om data tussen toets-, ontwikkeling- en produksieomgewings te verskuif.

In elke stadium van die ontwikkelingsproses moet PII en privaatheidverwante bates beskerm word, en dieselfde vlak van beskerming gebied word, ongeag die omgewing waarin hulle hulself bevind.

Wat word gedek in ISO 27701 Klousule 6.11.2

ISO 27701 6.11.2 is 'n wydlopende beheer wat verskeie aspekte van ontwikkeling en toetsbedrywighede insluit.

ISO 27701 6.11.2 bevat nie minder nie as 9 afsonderlike subklousules, wat elk inligting bevat van ISO 27002 wat handel oor aspekte van ontwikkelingsekuriteit, aangebied binne die bestek van privaatheidsinligtingbestuur en PII-sekuriteit:

  • ISO 27701 6.11.2.1 – Veilige ontwikkelingsbeleid (ISO 27002 Beheer 8.25)
  • ISO 27701 6.11.2.2 – Stelselveranderingsbeheerprosedures (ISO 27002 Beheer 8.32)
  • ISO 27701 6.11.2.3 – Tegniese hersiening van toepassings na bedryfsplatformveranderinge (ISO 27002 Beheer 8.32)
  • ISO 27701 6.11.2.4 – Beperkings van veranderinge aan sagtewarepakkette (ISO 27002 Beheer 8.32)
  • ISO 27701 6.11.2.5 – Veilige stelselingenieursbeginsels (ISO 27002 Beheer 8.27)
  • ISO 27701 6.11.2.6 – Veilige ontwikkelingsomgewing (ISO 27002 Beheer 8.31)
  • ISO 27701 6.11.2.7 – Uitgekontrakteerde ontwikkeling (ISO 27002 Beheer 8.30)
  • ISO 27701 6.11.2.8 – Stelsel sekuriteitstoetsing (ISO 27002 Beheer 8.29)
  • ISO 27701 6.11.2.9 – Stelselaanvaardingstoetsing (ISO 27002 Beheer 8.29)

Twee subklousules (6.11.2.1 en 6.11.2.6) bevat leiding wat relevant is vir elemente van VK BBP wetgewing – ons het die artikels hieronder verskaf vir u gerief.

Neem asseblief kennis dat GDPR-aanhalings slegs vir aanduidingsdoeleindes is. Organisasies moet die wetgewing onder die loep neem en hul eie oordeel maak oor watter dele van die wet op hulle van toepassing is.



Kry 'n voorsprong van 81%.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


ISO 27701 Klousule 6.11.2.1 – Veilige Ontwikkelingsbeleid

Verwysings ISO 27002 Beheer 8.25

Organisasies moet verseker dat die ontwikkelingslewensiklus geskep word met privaatheidbeskerming in gedagte.

Om dit te bereik, moet organisasies:

  • Werk met aparte ontwikkeling-, toets- en ontwikkelingsomgewings (sien ISO 27002 Beheer 8.31).
  • Publiseer leiding oor privaatheidbeskerming deur die ontwikkelingslewensiklus, insluitend metodologieë, koderingsriglyne en programmeertale (sien ISO 27002 Kontroles 8.28, 8.27 en 5.8).
  • Skets sekuriteitsvereistes in die spesifikasie- en ontwerpfase (sien ISO 27002 Beheer 5.8).
  • Implementeer sekuriteitskontrolepunte in alle relevante projekte (sien ISO 27002 Beheer 5.8).
  • Onderneem stelsel- en sekuriteitstoetse, insluitend kodeskanderings en penetrasietoetse (sien ISO 27002 Beheer 5.8).
  • Bied veilige bewaarplekke vir alle bronkode aan (sien ISO 27002 Kontroles 8.4 en 8.9).
  • Oefen streng weergawebeheerprosedures toe (sien ISO 27002 Beheer 8.32).
  • Bied personeel privaatheidbeskerming en toepassingsekuriteitsopleiding aan (sien ISO 27002 Beheer 8.28).
  • Ontleed 'n ontwikkelaar se vermoë om kwesbaarhede op te spoor, te versag en uit te roei (sien ISO 27002 Beheer 8.28).
  • Dokumenteer enige heersende of toekomstige lisensievereistes (sien ISO 27002 Beheer 8.30).

Toepaslike GDPR-artikels

  • Artikel 25 – (1)

Relevante ISO 27002-kontroles

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31

ISO 27701 Klousule 6.11.2.2 – Stelselveranderingsbeheerprosedures

Verwysings ISO 27002 Beheer 8.32

Robuuste veranderingsbestuurprosedures moet geïmplementeer word wat die vertroulikheid, integriteit en beskikbaarheid van PII en privaatheidverwante inligting waarborg, beide binne privaatheidinligtingverwerkingsfasiliteite en privaatheidinligtingstelsels.

Organisatoriese veranderingsbeheerprosesse en -prosedures moet die volgende insluit:

  • Deeglike impakbeoordelings.
  • Hoe veranderinge gemagtig word.
  • Hoe veranderinge aan alle relevante partye gekommunikeer word.
  • Aanvaardingstoetsing (sien ISO 27002 Beheer 8.29).
  • Verander ontplooiingsplanne.
  • Gebeurlikheidsbeplanning.
  • 'n Deeglike rekord van alle veranderingsverwante aktiwiteite.
  • Opdaterings van alle ondersteunende gebruikers- en bedryfsdokumentasie, kontinuïteitsplanne en BUDR-prosedures (sien ISO 27002 Kontroles 5.37 en 5.20).

Relevante ISO 27002-kontroles

  • ISO 27002 5.20
  • ISO 27002 5.37
  • ISO 27002 8.29


Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


ISO 27701 Klousule 6.11.2.3 – Tegniese oorsig van toepassings na bedryfsplatformveranderings

Verwysings ISO 27002 Beheer 8.32

Sien ISO 27701 Klousule 6.11.2.2

ISO 27701 Klousule 6.11.2.4 – Beperkings van veranderinge aan sagtewarepakkette

Verwysings ISO 27002 Beheer 8.32

Sien ISO 27701 Klousule 6.11.2.2

ISO 27701 Klousule 6.11.2.5 – Veilige Stelselingenieursbeginsels

Verwysings ISO 27002 Beheer 8.27

Organisatoriese stelsel moet ontwerp, gedokumenteer, geïmplementeer en onderhou word met privaatheidbeskerming in gedagte.

Ingenieursbeginsels moet ontleed:

  • 'n Wye reeks sekuriteitskontroles wat nodig is om PII teen spesifieke en algemene bedreigings te beskerm.
  • Hoe goed toegerus sekuriteitskontroles is om groot sekuriteitsgebeurtenisse te hanteer.
  • Geteikende kontroles wat onderskei word van individuele besigheidsprosesse.
  • Waar op die netwerk en hoe sekuriteitskontroles geïmplementeer moet word.
  • Hoe verskeie kontroles in harmonie met mekaar werk.

Ingenieursbeginsels moet in ag neem:

  • Argitektoniese integrasie.
  • Tegniese sekuriteitsmaatreëls (enkripsie, IAM, DAM, ens.).
  • Hoe goed toegerus die organisasie is om die gekose oplossing te implementeer en in stand te hou.
  • Bedryfsriglyne vir beste praktyke.

Veilige stelselingenieurswese moet die volgende insluit:

  • Goed gevestigde industriestandaard argitektoniese beginsels.
  • 'n Wye ontwerpoorsig wat kwesbaarhede uitwys en help om 'n end-tot-end-benadering tot nakoming te vorm.
  • Volledige openbaarmaking van enige sekuriteitskontroles wat nie aan die verwagte vereistes voldoen nie.
  • Stelsel verharding.

Organisasies behoort 'n 'nul vertroue'-benadering tot sekuriteit te gee, deur:

  • Nie staatmaak op gateway-sekuriteit in isolasie nie.
  • Soek voortdurend verifikasie oor alle stelsels.
  • Die afdwing van end-tot-end-enkripsie oor alle relevante stelsels.
  • Kategorisering van elke versoek om inligting of toegang asof dit van buite die organisasie afkomstig is, van 'n nie-betroubare bron.
  • Werk volgens die beginsels van 'minste voorreg', en gebruik dinamiese toegangsbeheertegnieke (sien ISO 27002 Kontroles 5.15, 5.18 en 8.2).
  • Dwing altyd robuuste verifikasiekontroles af, insluitend MFA (sien ISO 27002 Beheer 8.5).

Waar die organisasie ontwikkeling aan derdeparty-organisasies uitkontrakteer, moet pogings aangewend word om te verseker dat die vennoot se sekuriteitsbeginsels in lyn is met die organisasie se eie.

Toepaslike GDPR-artikels

  • Artikel 25 – (1)

Relevante ISO 27002-kontroles

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

ISO 27701 Klousule 6.11.2.6 – Veilige Ontwikkelingsomgewing

Verwysings ISO 27002 Beheer 8.31

Om PII en privaatheidverwante bates te beskerm, moet organisasies verseker dat ontwikkeling, toets en produksie omgewings is geskei en beveilig.

Om dit te bereik, moet organisasies:

  • Skei verskillende omgewings in aparte domeine.
  • Bou prosesse wat bepaal hoe sagteware van ontwikkeling na produksie verskuif word.
  • Gebruik toets- en opstelomgewings (sien ISO 27002 Beheer 8.29).
  • Voorkom toetsing in produksie-omgewings.
  • Hanteer streng beheer oor die gebruik van nutstoepassings in lewendige omgewings.
  • Benoem elke omgewing duidelik oor verskeie stelsels, bates en toepassings.
  • Voorkom die kopiëring van sensitiewe data (veral PII) van die lewendige omgewing na ander omgewings, sonder die gebruik van behoorlike kontroles om die integriteit en beskikbaarheid daarvan te beskerm.

Beskerming van ontwikkeling en toetsomgewings

Om data in ontwikkeling- en toetsomgewings te beskerm, moet organisasies:

  • Werk met 'n wye pleisterbeleid.
  • Maak seker dat alle stelsels en toepassings veilig gekonfigureer is volgens die beste praktykriglyne.
  • Bestuur toegang tot ontwikkeling- en toetsomgewings noukeurig.
  • Maak seker dat enige veranderinge aan genoemde omgewings gemonitor word.
  • Stel 'n wye reeks BUDR-protokolle in.
  • Verseker dat geen enkele werknemer in staat is om veranderinge aan die ontwikkeling- en produksieomgewings aan te bring sonder bestuursoorsig en 'n deeglike goedkeuringsproses nie.

ISO maak dit uitdruklik duidelik dat ontwikkelings- en toetspersoneel 'n buitensporige risiko vir PII inhou – hetsy direk as gevolg van kwaadwillige optrede, of per ongeluk as gevolg van foute in die ontwikkelingsproses.

Dit is uiters belangrik dat geen enkele werknemer die vermoë het om wysigings aan sowel as binne ontwikkelings- en produksieomgewings aan te bring sonder behoorlike magtiging nie, insluitend 'n hersiening van die vereiste veranderinge en multi-stap goedkeuring (sien ISO 27002 Beheer 8.33).

Organisasies moet baie versigtig wees om die integriteit en beskikbaarheid van PII deur die hele ontwikkelings- en toetsproses te verseker, insluitend veelvuldige lewendige produksie-omgewings, opleidingsomgewings en skeiding van pligte.

Relevante ISO 27002-kontroles

  • ISO 27002 8.29


Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


ISO 27701 Klousule 6.11.2.7 – Uitgekontrakteerde Ontwikkeling

Verwysings ISO 27002 Beheer 8.30

As die behoefte ontstaan ​​om ontwikkeling uit te kontrakteer, moet organisasies verseker dat die derdeparty-sekuriteitspraktyke in ooreenstemming is met hul eie.

Organisasies moet van die begin af duidelik hul vereistes kommunikeer, en voortdurend die ontwikkelingsvennoot se vermoë om te doen wat van hulle verwag word, te assesseer.

Organisasies moet oorweeg:

  1. Lisensiëring, eienaarskap en IE-regte (sien ISO 27002 Beheer 5.32).
  2. Kontraktuele punte wat handel oor ontwerp, kodering en toets (sien ISO 27002 Kontroles 8.25 en 8.29).
  3. Voorsien derde partye van 'n bygewerkte bedreigingsmodel.
  4. Toetsvereistes, beide by aflewering en deurlopend – aanvaardingstoetsing, kwesbaarheidstoetsing, interne wanware-toetsing en sekuriteitsversekeringsverslae (sien ISO 27002 Beheer 8.29).
  5. Bronkode-beveiligingsmaatreëls, soos 'n borgdiens wat teen verlies van besigheid aan die kant van die ontwikkelaar beskerm.
  6. Die organisasie se reg om enige ontwikkelingsprosesse te oudit.
  7. 'n Lys van sekuriteitsvereistes vir die ontwikkelingsomgewing (sien ISO 27002 Beheer 8.31);
  8. En wetgewende, regulatoriese of voorafbestaande kontraktuele verpligtinge.

Relevante ISO 27002-kontroles

  • ISO 27002 5.32
  • ISO 27002 8.25
  • ISO 27002 8.29
  • ISO 27002 8.31

ISO 27701 Klousule 6.11.2.8 – Stelselveiligheidstoetsing

Verwysings ISO 27002 Beheer 8.29

Organisasies moet verseker dat, wanneer kode ontplooi en/of op enige manier van 'n ontwikkelingsomgewing na die lewendige omgewing geskuif word, privaatheidbeskerming as 'n prioriteit behandel word en PII beskerm word teen enige verlies aan integriteit of beskikbaarheid.

Toetsing moet die volgende insluit:

  • Gestandaardiseerde netwerksekuriteitsfunksies (bv. gebruikersaanmelding, enkripsie) (sien ISO 27002 Kontroles 8.5, 8.3 en 8.24).
  • Veilige kodering.
  • Veilige konfigurasies oor alle netwerktoestelle en sekuriteitskomponente (sien ISO 27002 Kontroles 8.9, 8.20 en 8.22).

Toets Planne

Alle toetsplanne moet direk eweredig wees aan die stelsel wat hulle toets, en die omvang van die verandering of datastel waarop hulle gerig is.

Toetsplanne moet 'n reeks outomatiseringsinstrumente insluit en bestaan ​​uit:

  • 'n Omvattende toetsskedule.
  • Verwagte resultate oor 'n verskeidenheid toestande.
  • Toetskriteria, vir evalueringsdoeleindes.
  • Opvolgaksies, gebaseer op verwagte of onreëlmatige resultate.

Interne ontwikkelingstoetse moet altyd deur 'n derdeparty-spesialis geverifieer word. Sulke toetse moet die volgende insluit:

  • Sekuriteitsfout identifikasie (kode resensies ens).
  • Kwesbaarheidskandering.
  • Gestruktureerde penetrasietoetse.

ISO beveel aan dat alle toetse uitgevoer moet word in 'n omgewing wat die produksie-omgewing op soveel maniere as moontlik weerspieël, om 'n akkurate en praktiese reeks uitsette te verseker waarmee prestasie gepeil kan word (sien ISO 27002 Beheer 8.31).

Relevante ISO 27002-kontroles

  • ISO 27002 8.3
  • ISO 27002 8.5
  • ISO 27002 8.9
  • ISO 27002 8.20
  • ISO 27002 8.22
  • ISO 27002 8.24
  • ISO 27002 8.31

ISO 27701 Klousule 6.11.2.9 – Stelselaanvaardingstoetsing

Verwysings ISO 27002 Beheer 8.29

Sien ISO 27701 Klousule 6.11.2.8

Ondersteunende kontroles vanaf ISO 27002 en GDPR

ISO 27701 Klousule Identifiseerder ISO 27701 Klousule Naam ISO 27002-vereiste Geassosieerde GDPR-artikels
6.11.2.1 Veilige ontwikkelingsbeleid 8.25 – Veilige ontwikkelingslewensiklus vir ISO 27002 Artikel (25)
6.11.2.2 Stelselveranderingsbeheerprosedures 8.32 – Veranderingsbestuur vir ISO 27002 Geen
6.11.2.3 Tegniese oorsig van toepassings na bedryfsplatformveranderings 8.32 – Veranderingsbestuur vir ISO 27002 Geen
6.11.2.4 Beperkings van veranderinge aan sagtewarepakkette 8.32 – Veranderingsbestuur vir ISO 27002 Geen
6.11.2.5 Veilige Stelselingenieurswese-beginsels 8.27 – Veilige stelselargitektuur en ingenieursbeginsels vir ISO 27002 Artikel (25)
6.11.2.6 Veilige ontwikkelingsomgewing 8.31 – Skeiding van ontwikkeling-, toets- en produksie-omgewings vir ISO 27002 Geen
6.11.2.7 Uitgekontrakteerde Ontwikkeling 8.30 – Uitgekontrakteerde ontwikkeling vir ISO 27002 Geen
6.11.2.8 Stelselveiligheidstoetsing 8.29 – Sekuriteitstoetsing in ontwikkeling en aanvaarding vir ISO 27002 Geen
6.11.2.9 Stelselaanvaardingstoetsing 8.29 – Sekuriteitstoetsing in ontwikkeling en aanvaarding vir ISO 27002 Geen

Hoe ISMS.online help

Om ISO 27701 te bereik, moet u 'n privaatheidsinligtingbestuurstelsel (PIMS) bou. Met ons vooraf gekonfigureerde PIMS kan jy vinnig en maklik klante-, verskaffer- en personeelinligting organiseer en bestuur om ten volle aan ISO 27701 te voldoen.

Jy kan ook die groeiende aantal globale, streeks- en sektorspesifieke privaatheidsregulasies wat ons ondersteun op die ISMS.aanlyn-platform akkommodeer.

Om sertifisering volgens ISO 27701 (privaatheid) te behaal, moet jy eers sertifisering volgens ISO 27001 (inligtingsekuriteit) behaal. Die goeie nuus is dat ons platform jou kan help om albei te doen.

Kom meer te wete deur bespreek 'n praktiese demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!