ISO 27701 – Klousule 6.9.6 – Tegniese kwesbaarheidsbestuur

ISO 27701 Klousule 6.9.6 dek Tegniese Kwesbaarheidsbestuur, wat die behoefte beklemtoon vir organisasies om 'n opgedateerde voorraad van bates (6.9.6.1) te handhaaf en sagteware-installasies te beheer om ongemagtigde risiko's te voorkom (6.9.6.2). Dit let op geen spesifieke PIMS-, PII- of Britse GDPR-implikasies nie.

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 26 Februarie 2025
LinkedIn Twitter Twitter

Verstaan ​​Klousule 6.9.6: Tegniese Kwesbaarheidsbestuur

Tegniese kwesbaarhede wat die potensiaal het om PII en privaatheidverwante bates te beïnvloed, is byna onmoontlik om heeltemal uit te roei, ongeag die begroting, personeelvlakke of kundigheid.

As sodanig vereis ISO van organisasies om te werk met 'n robuuste stel kwesbaarheidsbestuurkontroles wat beide potensiële tegniese kwesbaarhede identifiseer, en duidelike leiding gee oor die regstellende aksie wat nodig is om enige kommersiële, operasionele of reputasieskade te versag.

Wat word gedek in ISO 27701 Klousule 6.9.6

ISO 27001 6.9.6 bevat twee subklousules wat handel oor die onderwerp van kwesbaarheidsbestuur, verdeel tussen tegniese bestuur, en hoe organisasies sagteware-installasies moet oorweeg:

  • ISO 27701 6.9.6.1 – Bestuur van tegniese kwesbaarhede (ISO 27002 Beheer 8.8)
  • ISO 27701 6.9.6.2 – Beperking op sagteware-installasie (ISO 27002 Beheer 8.19)

Geen subklousule bevat enige PIMS of PII-spesifieke leiding nie, en daar is ook geen VK BBP implikasies om te oorweeg.



Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


ISO 27701 Klousule 6.9.6.1 – Bestuur van Tegniese Kwesbaarhede

Verwysings ISO 27002 Beheer 8.8

Organisasies moet 'n bygewerkte lys kry van alle bates (sien Kontroles 5.9 en 5.14) wat deur die organisasie besit en bedryf word, insluitend:

  • Naam van die verkoper.
  • Aansoeknaam.
  • Weergawe nommers.
  • Waar die sagteware ontplooi word.
  • Wie is verantwoordelik vir die werking van genoemde sagteware.

By die identifisering van kwesbaarhede wat die potensiaal het om 'n impak op PII en privaatheidsbeskerming te hê, moet organisasies:

  1. Skets die personeel verantwoordelik vir kwesbaarheidsbestuur, insluitend:

    • Batebestuur.
    • Risikobepaling.
    • Monitering.
    • Dateer tans op.

  2. Hou 'n bygewerkte inventaris van toepassings en hulpbronne wat gebruik sal word om tegniese kwesbaarhede te identifiseer.
  3. Kontak verskaffers en verskaffers en vra hulle om kwesbaarhede duidelik aan te dui wanneer nuwe stelsels en hardeware verskaf word (sien ISO 27002 Beheer 5.20).
  4. Gebruik kwesbaarheidskanderingsinstrument en pleisterfasiliteite.
  5. Voer periodieke penetrasietoetse uit.
  6. Ontleed derdeparty-kodebiblioteke en/of bronkode vir onderliggende kwesbaarhede en/of misbruik (sien ISO 27002 Beheer 8.28).

Openbare aktiwiteite

Organisasies moet beleide en prosedures ontwikkel (insluitend outomatiese opdaterings) wat kwesbaarhede oor al sy produkte en dienste opspoor, en kwesbaarheidsbeoordelings ontvang wat verband hou met die verskaffing van genoemde produkte en dienste.

ISO raai organisasies aan om 'n openbare poging aan te wend om enige kwesbaarhede op te spoor - insluitend die gebruik van gestruktureerde oorvloedprogramme - en forums en openbare navorsingsaktiwiteite te gebruik om bewustheid van potensiële uitbuitings en sekuriteitskwessies te verhoog.

As regstellende stappe geneem is na aanleiding van 'n sekuriteitsvoorval wat klante op enige manier (of hul persepsie van die data wat gehou word) kan beïnvloed, moet organisasies dit oorweeg om met gesertifiseerde sekuriteitspesialiste te skakel om inligting oor aanvalvektore te versprei.

Evaluering van kwesbaarhede

Gedurende die proses om kwesbaarhede te evalueer, moet organisasies:

  • Ontleed enige verslae en besluit watter stappe gedoen moet word, insluitend enige opdaterings of die verwydering van geaffekteerde stelsels en/of hardeware.
  • Stem saam oor 'n resolusie wat ander ISO-kontroles in ag neem.

Bekamping van sagteware-kwesbaarhede

Wanneer kwesbaarhede aangespreek word nadat dit geïdentifiseer is, moet organisasies:

  1. Los alle kwesbaarhede op 'n tydige en doeltreffende manier op.
  2. Hou by organisatoriese prosedures oor veranderingsbestuur (sien ISO 27002 Beheer 8.32) en insidentreaksie (sien ISO 27002 Beheer 5.26), om 'n eenvormige benadering te verseker.
  3. Beperk opdaterings en regstellings tot dié van betroubare bronne.
  4. Toets opdaterings voor implementering.
  5. Identifiseer hoërisiko- en besigheidskritiese stelsels as 'n prioriteit wanneer regstellende aksies beplan word.

As 'n opdatering nie beskikbaar is nie, en regstellende stappe word deur eksterne faktore verhoed, moet organisasies:

  • Raadpleeg verskaffers oor oplossings.
  • Deaktiveer enige of alle geaffekteerde netwerkdienste.
  • Implementeer netwerksekuriteitskontroles, insluitend verkeersreëls en inhoudfiltrering.
  • Verhoog die frekwensie en duur van moniteringspogings op geaffekteerde stelsels.
  • Versprei inligting oor die kwesbaarheid, en verseker dat alle geaffekteerde partye ingelig is – insluitend verskaffers en kliënte.

Relevante ISO 27002-kontroles

  • ISO 27002 5.14
  • ISO 27002 5.20
  • ISO 27002 5.9
  • ISO 27002 8.20
  • ISO 27002 8.22
  • ISO 27002 8.28

Aanvullende leiding

'n Ouditspoor moet gehou word van alle relevante kwesbaarheidsbestuuraktiwiteite, en die organisasie se kwesbaarheidsbestuursproses moet hersiening wees om te verseker dat dit beide geskik is vir die doel en aan die groeiende behoeftes van die organisasie voldoen.

Wat wolkgebaseerde sagteware betref, moet die organisasie verseker dat die diensverskaffer se standpunt teenoor kwesbaarheidsbestuur in lyn is met sy eie. Organisasies moet poog om skriftelike bevestiging van enige verantwoordelikhede te verkry via 'n bindende diensooreenkoms (sien ISO 27002 Beheer 5.32).



Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


ISO 27701 Klousule 6.9.6.2 – Beperking op sagteware-installasie

Verwysings ISO 27002 Beheer 8.19

Om die beskikbaarheid en integriteit van PII te beskerm en verandering te administreer, moet organisasies:

  • Verseker dat sagteware-opdaterings deur bevoegde personeel uitgevoer word (sien Beheerbeheer 8.5).
  • Maak seker dat die kode veilig die ontwikkelingstadium verlaat het en vry is van enige foute.
  • Toets alle sagteware voor opdatering of installasie om te verseker dat geen konflikte of foute sal ontstaan ​​nie.
  • Hou 'n op datum sagteware biblioteek stelsel.
  • Handhaaf 'n 'konfigurasiebeheerstelsel' om operasionele sagteware te administreer.
  • Stel 'n 'terugrolstrategie' op wat stelsels na 'n voorheen werkende toestand herstel om besigheidskontinuïteit te verseker.
  • Hou 'n deeglike logboek van enige opdaterings wat uitgevoer word.
  • Maak seker dat ongebruikte sagtewaretoepassings – en al hul geassosieerde materiaal – veilig gestoor word vir verdere gebruik en ontleding.
  • Werk met 'n sagtewarebeperkingsbeleid wat in ooreenstemming met die organisasie se verskillende rolle en verantwoordelikhede werk.

Wanneer sagteware wat deur die verskaffer verskaf word, gebruik word, moet toepassings in 'n goeie werkende toestand gehou word en in ooreenstemming met die uitreikersriglyne.

ISO maak dit uitdruklik duidelik dat organisasies die gebruik van nie-ondersteunde sagteware moet vermy tensy dit absoluut noodsaaklik is. Organisasies moet poog om gevestigde stelsels op te gradeer, eerder as om verouderde of nie-ondersteunde erfenistoepassings te gebruik.

'n Verkoper kan toegang tot 'n organisasie se netwerk vereis om 'n installasie of opdatering uit te voer. Sulke aktiwiteite moet te alle tye gemagtig en gemonitor word (sien ISO 27002 Beheer 5.22).

Aanvullende leiding

  1. Organisasies moet sagteware opgradeer, regmaak en installeer in ooreenstemming met hul gepubliseerde veranderingsbestuursprosedures.
  2. Regstellings wat sekuriteitskwesbaarhede uitwis of andersins organisatoriese privaatheidbeskerming verbeter, moet altyd as 'n prioriteitsverandering beskou word.
  3. Organisasies moet baie versigtig wees met die gebruik van oopbronsagteware, en moet die nuutste publiek beskikbare weergawe identifiseer om te verseker dat daar ten volle aan sekuriteitsvereistes voldoen word.

Relevante ISO 27002-kontroles

  • ISO 27002 5.22
  • ISO 27002 8.5

Ondersteunende kontroles vanaf ISO 27002 en GDPR

ISO 27701 Klousule IdentifiseerderISO 27701 Klousule NaamISO 27002-vereisteGeassosieerde GDPR-artikels
6.9.6.1Bestuur van Tegniese Kwesbaarhede
8.8 – Bestuur van tegniese kwesbaarhede vir ISO 27002
Geen
6.9.6.2Beperking op sagteware-installasie
8.19 – Installering van sagteware op bedryfstelsels vir ISO 27002
Geen

Hoe ISMS.online help

Met die ISMS.online platform kan jy 'n PIMS integreer om te verseker dat jou sekuriteitsposisie alles-in-een-plek is en duplisering vermy waar standaarde oorvleuel.

Dit was nog nooit so maklik om te monitor, rapporteer en oudit teen beide ISO 27001 en ISO 27701 met jou PIMS wat onmiddellik toeganklik is vir belangstellendes nie.

Vind uit hoeveel tyd en geld wat jy op jou reis sal bespaar na 'n gekombineerde ISO 27001- en 27701-sertifisering met behulp van ISMS.online.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!