ISO 27701 – Klousule 6.9 – Bedryfsekuriteit

ISO 27701 Klousule 6.9 oor Bedryfsekuriteit skets sleutelmaatreëls om Persoonlik Identifiseerbare Inligting (PII) te beskerm, insluitend gebeurtenisregistrering, wanwarebeskerming, sagtewarebeheer, kwesbaarheidsbestuur en stelseloudits om voldoening en datasekuriteit te verseker.

Ons benodig die inligting wat jy aan ons verskaf om jou te kontak oor ons dienste.
Teken enige tyd uit. Vir meer inligting, kyk asseblief na ons Privaatheidsbeleid.

skrywer
Max Edwards
Opgedateer 26 Februarie 2025
LinkedIn Twitter Twitter

Verstaan ​​klousule 6.9: Bedryfsekuriteit in ISO 27701

Die daaglikse bestuur van 'n IKT-netwerk bevat talle slaggate wat die potensiaal het om 'n impak te hê op 'n organisasie se vermoë om aan sy wetgewende, regulatoriese en kontraktuele verpligtinge te voldoen.

Bedryfsekuriteit is 'n wydlopende onderwerp wat handel oor 'n verskeidenheid aangeleenthede wat verband hou met die beskikbaarheid en integriteit van PII en privaatheidverwante inligting, oor 'n organisasie se hele bedrywighede heen.

Wat word gedek in ISO 27701 Klousule 6.9

ISO 27701 klousule 6.9 bevat 4 subklousules, wat elk ooreenstem met 'n aangrensende subklousule in ISO 27002:

  • ISO 27701 6.9.1.1 – Dokumentering van bedryfsprosedures (ISO 27002 Beheer 5.37)
  • ISO 27701 6.9.1.2 – Veranderingsbestuur (ISO 27002 Beheer 8.32)
  • ISO 27701 6.9.1.3 – Kapasiteitsbestuur (ISO 27002 Beheer 8.6)
  • ISO 27701 6.9.1.4 – Skeiding van ontwikkeling, toetsing en operasionele omgewings (ISO 27002 Beheer 8.31)

ISO verskaf geen bykomende leiding vir PIMS of PII-verwante aktiwiteite nie, en daar is ook geen VK nie BBP oorwegings om in ag te neem.



Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo


ISO 27701 Klousule 6.9.1.1 – Dokumentering van bedryfsprosedures

Verwysings ISO 27002 Beheer 5.37

Organisasies moet prosedures wat verband hou met privaatheidbeskerming deeglik dokumenteer, insluitend:

  • Aktiwiteite wat verskeie kere deur dieselfde personeel uitgevoer moet word.
  • Aktiwiteite wat nie gewoonlik uitgevoer word nie, en wanneer die volgende geval waarskynlik sal voorkom.
  • Nuwe aktiwiteite.
  • Gee verantwoordelikheid aan ander personeel oor.

Prosesse en prosedures moet duidelik spesifiseer:

  • Individue wat verantwoordelik is vir die uitvoering van die aktiwiteit.
  • Hoe stelsels geïmplementeer moet word.
  • Hoe PII en verwante inligting gestoor en hanteer moet word.
  • Rugsteunplanne en besigheidsveerkragtigheid (sien ISO 27002 Beheer 8.13).
  • Enige skeduleringsvereistes.
  • Duidelike instruksies wat uiteensit hoe personeel spesiale toestande moet hanteer wat ontstaan ​​tydens die proses om PII en privaatheidverwante bates te beskerm, insluitend nutsprogramme (sien ISO 27002 Beheer 8.18).
  • Hoe om bergingsmedia te implementeer en te administreer (sien ISO 27002 Kontroles 7.10 en 7.14).
  • Stelselherstelprosedures.
  • Hoe personeel ouditroetes, stelsel- en gebeurtenislogboeke en ander verwante moniteringstelsels moet bestuur (sien ISO 27002 Kontroles 8.15, 8.17 en 7.4).
  • Kapasiteit-, werkverrigting- en sekuriteitsmonitering (sien ISO 27002 Kontroles 8.6 en 8.16).

Organisasies moet verseker dat beleide en prosedures met gepaste tussenposes hersien word, en bygewerk word wanneer operasionele behoeftes verander.

Waar moontlik, beveel ISO aan dat stelsels onderhou moet word deur dieselfde stel administratiewe kontroles en toepassings te gebruik.

Relevante ISO 27002-kontroles

  • ISO 27002 7.4
  • ISO 27002 7.10
  • ISO 27002 7.14
  • ISO 27002 8.6
  • ISO 27002 8.13
  • ISO 27002 8.15
  • ISO 27002 8.16
  • ISO 27002 8.17
  • ISO 27002 8.18

ISO 27701 Klousule 6.9.1.2 – Veranderingsbestuur

Verwysings ISO 27002 Beheer 8.32

Wanneer 'n nuwe stelsel ingestel word, of enige groot veranderinge aan bestaande stelsels beplan word, moet organisasies voldoen aan 'n gestruktureerde stelsel wat die volgende dek:

  • Dokumentasie.
  • Die spesifikasie.
  • Toets.
  • Kwaliteitsbeheer.
  • Bestuurde implementering.

Veranderingsprosedures moet die volgende insluit:

  • 'n Ontleding van die impak van enige voorgestelde veranderinge.
  • Magtigingsprosedures.
  • Verspreiding van veranderinge aan alle belanghebbende partye.
  • Toetsing – insluitend rigiede aanvaardingskriteria.
  • Hoe veranderinge aangebring word tydens implementeringsfases.
  • Gebeurlikheidsplanne wat enige veranderingsverwante voorvalle tydens implementering dek.
  • Hoe om voldoende rekords van alle veranderingsverwante aktiwiteite te hou.
  • Opdatering van alle relevante bedryfsdokumente en gebruikersinstruksies (sien ISO 27002 Beheer 5.37).

ISO bepleit toetsing en van enige veranderingverwante aktiwiteit in 'n omgewing wat logies (en potensieel fisies) apart is van die operasionele omgewing waarop die veranderinge 'n impak sal hê (sien ISO 27002 Beheer 8.31).

Relevante ISO 27002-kontroles

  • ISO 27002 5.37
  • ISO 27002 8.31


Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo


ISO 27701 Klousule 6.9.1.3 – Kapasiteitsbestuur

Verwysings ISO 27002 Beheer 8.6

Organisasies moet verseker dat hulle voldoende bedryfskapasiteit het om daaglikse besigheidsfunksies uit te voer, sodat PII of privaatheidverwante materiaal nie in die gedrang kom nie.

Organisasies moet:

  • Oorweeg besigheidskontinuïteit en privaatheidbeskerming as 'n topprioriteit wanneer kapasiteitbestuurskontroles geïmplementeer word, insluitend speurbeheermaatreëls wat potensiële kwessies uitlig voordat dit voorkom.
  • Baseer hul kapasiteitsbestuur op die proaktiewe funksies van instemming en monitering.
  • Voer gereelde strestoetse uit wat 'n stelsel se vermoë ondersoek om in algehele besigheidsbehoeftes en privaatheidsbeskermingsregulasies, wette en riglyne te voorsien.
  • Sluit planne vir kommersiële en tegniese uitbreiding (beide vanuit 'n fisiese en digitale perspektief) van die operasie in.
  • Oorweeg wisselende deurlooptye en koste, afhangende van die betrokke stelsel of besigheidsfunksie. Privaatheidsverwante hulpbronne moet meer aandag gegee word, gegewe hul verhoogde risikoprofiel.
  • Dokumenteer en let op enkele punte van mislukking wat verband hou met 'n afhanklikheid van sleutelpersoneel, individuele hulpbronne en PII.
  • Stel 'n kapasiteitsbestuursplan op en implementeer dit wat spesifiek oor privaatheidbeskerming handel.

ISO pleit vir 'n dubbelfrontbenadering tot kapasiteitsbestuur wat óf kapasiteit verhoog óf die vraag na 'n hulpbron of stel hulpbronne verminder.

Wanneer organisasies probeer om kapasiteit te verhoog, moet organisasies:

  1. Oorweeg om nuwe werknemers aan te stel om aan groeiende besigheidsvereistes te voldoen.
  2. Brei uit na nuwe fisiese liggings – insluitend dataverwerking en bergingsfasiliteite.
  3. Oorweeg dit om wolkhulpbronne te gebruik wat outomaties uitbrei om aan die groeiende behoeftes van die organisasie te voldoen.

Wanneer organisasies probeer om aanvraag te verminder, moet organisasies:

  • Vee verouderde of ongebruikte data uit.
  • Raak weg van enige harde kopieë van inligting wat die organisasie nie meer nodig het nie, en nie wetlik verplig is om te hou nie.
  • Stel enige IKT-hulpbronne uit wat nie meer benodig word nie.
  • Implementeer geskeduleerde IKT-take wat geheuehulpbronne optimaliseer en stoorspasie tot die minimum beperk.
  • Maak seker dat enige stukkies uitvoerbare kode, of databasisnavrae, geoptimaliseer is om die vraag na rekenaar- en bergingshulpbronne te verminder.
  • Beperk internettoegang en verbied video-/klankstroming vanaf werktoestelle.

ISO 27701 Klousule 6.9.1.4 – Skeiding van ontwikkeling, toetsing en bedryfsomgewings

Verwysings ISO 27002 Beheer 8.31

ISO identifiseer drie afsonderlike toetsomgewings wat van mekaar geskei moet word:

  • Ontwikkeling
  • toets
  • produksie

Om te verseker dat PII oor al drie omgewings (veral regdeur die produksie-omgewing) beskerm word, moet organisasies:

  • Bedryf produksie- en ontwikkelingstelsels in duidelik verskillende domeine (fisies en virtueel).
  • Definieer streng hoe sagteware vanaf die ontwikkelingstadium tot die produksiestadium geïmplementeer word.
  • Toets enige veranderinge aan produksiestelsels deeglik in 'n toetsomgewing, voordat dit in 'n lewendige omgewing toegepas word (sien ISO 27002 Beheer 8.29).
  • Verbied toetsing in lewendige produksie-omgewings, afgesien van spesiale gevalle wat vooraf goedkeuring ontvang het.
  • Maak seker dat ontwikkelingsinstrumente nie toeganklik is vanaf lewendige produksie-omgewings nie, tensy dit uitdruklik vereis word.
  • Benoem stelsels en bates om duidelik aan te dui aan watter omgewing hulle behoort.
  • Voorkom die kopiëring van privaatheidverwante inligting vanaf die produksie-omgewing na enige ander omgewing, tensy genoemde data onderhewig is aan dieselfde stel sekuriteitskontroles waarheen dit ook al gekopieer word.

Ontwikkeling en toets omgewings moet beskerm word deur:

  1. Opdatering en pleister van ALLE ontwikkelingsinstrumente.
  2. Beste praktyk konfigurasies.
  3. Oudit en monitering van enige veranderinge aan die omgewing.
  4. Robuuste BUDR-planne.

ISO maak dit uitdruklik duidelik dat ontwikkelings- en toetspersoneel 'n buitensporige risiko vir PII inhou – hetsy direk as gevolg van kwaadwillige optrede, of per ongeluk as gevolg van foute in die ontwikkelingsproses.

Dit is uiters belangrik dat geen enkele werknemer die vermoë het om wysigings aan sowel as binne ontwikkelings- en produksieomgewings aan te bring sonder behoorlike magtiging nie, insluitend 'n hersiening van die vereiste veranderinge en multi-stap goedkeuring (sien ISO 27002 Beheer 8.33).

Organisasies moet baie versigtig wees om die integriteit en beskikbaarheid van PII deur die hele ontwikkelings- en toetsproses te verseker, insluitend veelvuldige lewendige produksie-omgewings, opleidingsomgewings en skeiding van pligte.

Relevante ISO 27002-kontroles

  • ISO 27002 8.29
  • ISO 27002 8.33

Ondersteunende kontroles vanaf ISO 27002 en GDPR

ISO 27701 Klousule IdentifiseerderISO 27701 Klousule NaamISO 27002-vereisteGeassosieerde GDPR-artikels
6.9.1.1Dokumentering van bedryfsprosedures
5.37 – Gedokumenteerde bedryfsprosedures vir ISO 27002
Geen
6.9.1.2Veranderings bestuur
8.32 – Veranderingsbestuur vir ISO 27002
Geen
6.9.1.3Kapasiteitsbestuur
8.6 – Kapasiteitsbestuur vir ISO 27002
Geen
6.9.1.4Skeiding van ontwikkeling, toetsing en bedryfsomgewings
8.31 – Skeiding van ontwikkeling-, toets- en produksie-omgewings vir ISO 27002
Geen

Hoe ISMS.online help

Om aan ISO 27701 te voldoen, moet jy 'n Privaatheidsinligtingbestuurstelsel (PIMS) skep. Met ons voorafgeboude PIMS kan jy vinnig en eenvoudig kliënt-, verskaffer- en werknemerdata bestuur en organiseer om ten volle aan die standaard te voldoen.

Verder kan ISMS.online die groeiende aantal globale, streeks- en sektorspesifieke privaatheidsregulasies akkommodeer.

Voordat jy ISO 27701 (privaatheid) gesertifiseer word, moet jy eers ISO 27001 (inligtingsekuriteit) gesertifiseer word. Gelukkig kan ons platform jou help om albei te bereik.

Vind meer uit deur bespreek 'n demo.

Spring na onderwerp

Max Edwards

Max werk as deel van die ISMS.aanlyn-bemarkingspan en verseker dat ons webwerf opgedateer word met nuttige inhoud en inligting oor alles oor ISO 27001, 27002 en voldoening.

ISMS-platformtoer

Stel jy belang in 'n ISMS.online platform toer?

Begin nou jou gratis 2-minute interaktiewe demonstrasie en ervaar die magie van ISMS.online in aksie!

Probeer dit gratis

Ons is 'n leier in ons veld

Gebruikers is lief vir ons
Leier Winter 2025
Leier Winter 2025 Verenigde Koninkryk
Beste ROI Winter 2025
Vinnigste implementering Winter 2025
Mees implementeerbare Winter 2025

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

-Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

- Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

- Ben H.

DORA is hier! Verhoog jou digitale veerkragtigheid vandag met ons kragtige nuwe oplossing!