ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Forstå ISO 27701 klausul 6.11.2 Krav
Utviklingsaktiviteter spredt over flere forskjellige miljøer er viktig for organisasjoner som arbeider med ulike datakategorier, og har behov for å flytte data mellom test-, utviklings- og produksjonsmiljøer.
På hvert trinn i utviklingsprosessen må PII og personvernrelaterte eiendeler ivaretas, og gis samme nivå av beskyttelse uavhengig av miljøet de befinner seg i.
Hva dekkes av ISO 27701 klausul 6.11.2
ISO 27701 6.11.2 er en omfattende kontroll som omfatter flere aspekter av utviklings- og testoperasjoner.
ISO 27701 6.11.2 inneholder ikke mindre enn 9 separate underklausuler, som hver inneholder informasjon fra ISO 27002 som omhandler aspekter ved utviklingssikkerhet, presentert innenfor rammen av personverninformasjonshåndtering og PII-sikkerhet:
- ISO 27701 6.11.2.1 – Sikker utviklingspolitikk (ISO 27002 kontroll 8.25)
- ISO 27701 6.11.2.2 – Kontrollprosedyrer for systemendring (ISO 27002 kontroll 8.32)
- ISO 27701 6.11.2.3 – Teknisk gjennomgang av applikasjoner etter endringer i driftsplattformen (ISO 27002 Kontroll 8.32)
- ISO 27701 6.11.2.4 – Begrensninger for endringer i programvarepakker (ISO 27002 Kontroll 8.32)
- ISO 27701 6.11.2.5 – Sikre systemtekniske prinsipper (ISO 27002 kontroll 8.27)
- ISO 27701 6.11.2.6 – Sikkert utviklingsmiljø (ISO 27002 Control 8.31)
- ISO 27701 6.11.2.7 – Outsourcet utvikling (ISO 27002 Control 8.30)
- ISO 27701 6.11.2.8 – Systemsikkerhetstesting (ISO 27002 kontroll 8.29)
- ISO 27701 6.11.2.9 – Systemaksepttesting (ISO 27002 kontroll 8.29)
To underklausuler (6.11.2.1 og 6.11.2.6) inneholder veiledning som er relevant for deler av Storbritannia GDPR lovgivning – vi har gitt artiklene nedenfor, for enkelhets skyld.
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
ISO 27701 klausul 6.11.2.1 – Sikker utviklingspolicy
Referanser ISO 27002 Kontroll 8.25
Organisasjoner må sørge for at utviklingslivssyklusen er skapt med personvern i tankene.
For å oppnå dette bør organisasjoner:
- Operer med separate utviklings-, test- og utviklingsmiljøer (se ISO 27002 Kontroll 8.31).
- Publiser veiledning om personvern gjennom hele utviklingens livssyklus, inkludert metoder, retningslinjer for koding og programmeringsspråk (se ISO 27002 kontroller 8.28, 8.27 og 5.8).
- Skisser sikkerhetskrav i spesifikasjons- og designfasen (se ISO 27002 Kontroll 5.8).
- Implementere sikkerhetssjekkpunkter i alle relevante prosjekter (se ISO 27002 Kontroll 5.8).
- Foreta system- og sikkerhetstesting, inkludert kodeskanning og penetrasjonstester (se ISO 27002 kontroll 5.8).
- Tilby sikre depoter for all kildekode (se ISO 27002 kontroller 8.4 og 8.9).
- Utøv strenge versjonskontrollprosedyrer (se ISO 27002 kontroll 8.32).
- Tilby personalet personvern og opplæring i applikasjonssikkerhet (se ISO 27002 Kontroll 8.28).
- Analyser en utvikleres evne til å lokalisere, redusere og utrydde sårbarheter (se ISO 27002-kontroll 8.28).
- Dokumenter eventuelle gjeldende eller fremtidige lisensieringskrav (se ISO 27002 Kontroll 8.30).
Gjeldende GDPR-artikler
- Artikkel 25 – (1)
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
ISO 27701 klausul 6.11.2.2 – Kontrollprosedyrer for systemendring
Referanser ISO 27002 Kontroll 8.32
Robuste endringshåndteringsprosedyrer bør implementeres som garanterer konfidensialitet, integritet og tilgjengelighet til PII og personvernrelatert informasjon, både innenfor behandlingsfasiliteter for personverninformasjon og personverninformasjonssystemer.
Organisatoriske endringskontrollprosesser og prosedyrer bør omfatte:
- Grundige konsekvensutredninger.
- Hvordan endringer er autorisert.
- Hvordan endringer kommuniseres til alle relevante parter.
- Aksepttesting (se ISO 27002 kontroll 8.29).
- Endre distribusjonsplaner.
- Beredskapsplanlegging.
- En grundig oversikt over all endringsrelatert aktivitet.
- Oppdateringer av all støttende bruker- og driftsdokumentasjon, kontinuitetsplaner og BUDR-prosedyrer (se ISO 27002 kontroller 5.37 og 5.20).
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.11.2.3 – Teknisk gjennomgang av applikasjoner etter endringer i driftsplattformen
Referanser ISO 27002 Kontroll 8.32
Se ISO 27701 klausul 6.11.2.2
ISO 27701 klausul 6.11.2.4 – Begrensninger for endringer i programvarepakker
Referanser ISO 27002 Kontroll 8.32
Se ISO 27701 klausul 6.11.2.2
ISO 27701 klausul 6.11.2.5 – Secure Systems Engineering Principles
Referanser ISO 27002 Kontroll 8.27
Organisasjonssystemet bør utformes, dokumenteres, implementeres og vedlikeholdes med tanke på personvern.
Tekniske prinsipper bør analysere:
- Et bredt spekter av sikkerhetskontroller som kreves for å beskytte PII mot spesifikke og generaliserte trusler.
- Hvor godt utstyrt sikkerhetskontroller er for å håndtere store sikkerhetshendelser.
- Målrettede kontroller som er forskjellige for individuelle forretningsprosesser.
- Hvor på nettverket og hvordan sikkerhetskontroller bør implementeres.
- Hvordan ulike kontroller fungerer i harmoni med hverandre.
Tekniske prinsipper bør ta hensyn til:
- Arkitektonisk integrasjon.
- Tekniske sikkerhetstiltak (kryptering, IAM, DAM etc).
- Hvor godt rustet organisasjonen er til å implementere og vedlikeholde den valgte løsningen.
- Bransje retningslinjer for beste praksis.
Sikker systemutvikling bør omfatte:
- Veletablerte industristandard arkitektoniske prinsipper.
- En omfattende designgjennomgang som påviser sårbarheter og bidrar til å danne en ende-til-ende-tilnærming til overholdelse.
- Full avsløring av eventuelle sikkerhetskontroller som ikke oppfyller de forventede kravene.
- Systemherding.
Organisasjoner bør standard mot en "null tillit"-tilnærming til sikkerhet, ved å:
- Ikke stole på gateway-sikkerhet isolert sett.
- Søker kontinuerlig verifisering på tvers av alle systemer.
- Håndheve ende-til-ende-kryptering på tvers av alle relevante systemer.
- Kategorisering av hver forespørsel om informasjon eller tilgang som om den hadde sin opprinnelse utenfor organisasjonen, fra en ikke-klarert kilde.
- Å operere etter prinsippene om 'minste privilegium', og bruke dynamiske tilgangskontrollteknikker (se ISO 27002 kontroller 5.15, 5.18 og 8.2).
- Håndhev alltid robuste autentiseringskontroller, inkludert MFA (se ISO 27002 kontroll 8.5).
Der organisasjonen outsourcer utvikling til tredjepartsorganisasjoner, bør det arbeides for å sikre at partnerens sikkerhetsprinsipper er i tråd med organisasjonens egne.
Gjeldende GDPR-artikler
- Artikkel 25 – (1)
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
ISO 27701 klausul 6.11.2.6 – Sikkert utviklingsmiljø
Referanser ISO 27002 Kontroll 8.31
For å sikre PII og personvernrelaterte eiendeler, må organisasjoner sørge for det utvikling, testing og produksjon miljøer er adskilt og sikret.
For å oppnå dette bør organisasjoner:
- Segreger ulike miljøer i separate domener.
- Bygg prosesser som styrer hvordan programvare flyttes fra utvikling til produksjon.
- Bruk test- og iscenesettelsesmiljøer (se ISO 27002 kontroll 8.29).
- Forhindre testing i produksjonsmiljøer.
- Utfør strenge kontroller over bruken av verktøyapplikasjoner i levende miljøer.
- Merk hvert miljø tydelig på tvers av ulike systemer, eiendeler og applikasjoner.
- Forhindre kopiering av sensitive data (spesielt PII) fra det levende miljøet til andre miljøer, uten bruk av riktige kontroller for å sikre integriteten og tilgjengeligheten.
Beskyttelse av utviklings- og testmiljøer
For å sikre data i utviklings- og testmiljøer bør organisasjoner:
- Bruk en omfattende oppdateringspolicy.
- Sørg for at alle systemer og applikasjoner er sikkert konfigurert til retningslinjer for beste praksis.
- Administrer tett tilgang til utviklings- og testmiljøer.
- Sørg for at eventuelle endringer i nevnte miljøer overvåkes.
- Vedta et bredt sett med BUDR-protokoller.
- Sikre at ingen enkelt ansatt er i stand til å gjøre endringer i utviklings- og produksjonsmiljøene uten ledelsens gjennomgang og en grundig godkjenningsprosess.
ISO gjør det eksplisitt klart at utviklings- og testpersonell utgjør en uforholdsmessig risiko for PII – enten direkte på grunn av ondsinnede handlinger, eller utilsiktet på grunn av feil i utviklingsprosessen.
Det er svært viktig at ingen enkelt ansatt har evnen til å gjøre endringer både i og innenfor utviklings- og produksjonsmiljøer uten riktig autorisasjon, inkludert en gjennomgang av nødvendige endringer og flertrinnsgodkjenning (se ISO 27002 Kontroll 8.33).
Organisasjoner bør passe på å sikre integriteten og tilgjengeligheten til PII gjennom hele utviklings- og testprosessen, inkludert flere levende produksjonsmiljøer, opplæringsmiljøer og oppgaveseparering.
Relevante ISO 27002 kontroller
- ISO 27002
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.11.2.7 – Utkontraktert utvikling
Referanser ISO 27002 Kontroll 8.30
Hvis det oppstår behov for å sette ut utvikling, må organisasjoner sørge for at tredjeparts sikkerhetspraksis er i samsvar med deres egen.
Organisasjoner bør tydelig kommunisere sine krav fra første stund, og kontinuerlig vurdere utviklingspartnerens evne til å gjøre det som forventes av dem.
Organisasjoner bør vurdere:
- Lisensering, eierskap og IP-rettigheter (se ISO 27002 Kontroll 5.32).
- Kontraktspunkter som omhandler utforming, koding og testing (se ISO 27002 kontroller 8.25 og 8.29).
- Gi tredjeparter en oppdatert trusselmodell.
- Testkrav, både ved levering og pågående – aksepttesting, sårbarhetstesting, intern malware-testing og sikkerhetsrapporter (se ISO 27002 Kontroll 8.29).
- Kildekodesikringer, for eksempel en deponeringstjeneste som beskytter mot tap av virksomhet fra utviklerens side.
- Organisasjonens rett til å revidere eventuelle utviklingsprosesser.
- En liste over sikkerhetskrav for utviklingsmiljøet (se ISO 27002 Kontroll 8.31);
- Og lovgivende, regulatoriske eller allerede eksisterende kontraktsforpliktelser.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
ISO 27701 klausul 6.11.2.8 – Systemsikkerhetstesting
Referanser ISO 27002 Kontroll 8.29
Organisasjoner må sikre at når kode blir distribuert og/eller flyttet på noen måte fra et utviklingsmiljø til live-miljøet, behandles personvern som en prioritet og PII sikres mot tap av integritet eller tilgjengelighet.
Testing bør inkludere:
- Standardiserte nettverkssikkerhetsfunksjoner (f.eks. brukerinnlogging, kryptering) (se ISO 27002 kontroller 8.5, 8.3 og 8.24).
- Sikker koding.
- Sikre konfigurasjoner på tvers av alle nettverksenheter og sikkerhetskomponenter (se ISO 27002 kontroller 8.9, 8.20 og 8.22).
Testplaner
Alle testplaner bør være direkte proporsjonale med systemet de tester, og omfanget av endringen eller datasettet de er målrettet mot.
Testplaner bør inkludere en rekke automatiseringsverktøy og bestå av:
- En omfattende testplan.
- Forventede resultater over en rekke forhold.
- Testkriterier, for evalueringsformål.
- Oppfølgingstiltak, basert på forventede eller unormale resultater.
Intern utviklingstesting skal alltid verifiseres av en tredjepartsspesialist. Slike tester bør omfatte:
- Identifikasjon av sikkerhetsfeil (kodegjennomganger osv.).
- Sårbarhetsskanning.
- Strukturerte penetrasjonstester.
ISO anbefaler at all testing bør utføres i et miljø som gjenspeiler produksjonsmiljøet på så mange måter som mulig, for å sikre en nøyaktig og praktisk serie med utdata som man kan måle ytelsen på (se ISO 27002 Kontroll 8.31).
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
ISO 27701 klausul 6.11.2.9 – Systemaksepttesting
Referanser ISO 27002 Kontroll 8.29
Se ISO 27701 klausul 6.11.2.8
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.11.2.1 | Sikker utviklingspolitikk | 8.25 – Sikker utviklingslivssyklus for ISO 27002 | Artikkel (25) |
| 6.11.2.2 | Kontrollprosedyrer for systemendring | 8.32 – Endringsledelse for ISO 27002 | none |
| 6.11.2.3 | Teknisk gjennomgang av applikasjoner etter endringer i driftsplattformen | 8.32 – Endringsledelse for ISO 27002 | none |
| 6.11.2.4 | Begrensninger for endringer i programvarepakker | 8.32 – Endringsledelse for ISO 27002 | none |
| 6.11.2.5 | Sikre systemtekniske prinsipper | 8.27 – Sikker systemarkitektur og ingeniørprinsipper for ISO 27002 | Artikkel (25) |
| 6.11.2.6 | Sikkert utviklingsmiljø | 8.31 – Separasjon av utviklings-, test- og produksjonsmiljøer for ISO 27002 | none |
| 6.11.2.7 | Utkontraktert utvikling | 8.30 – Outsourcet utvikling for ISO 27002 | none |
| 6.11.2.8 | Systemsikkerhetstesting | 8.29 – Sikkerhetstesting i utvikling og aksept for ISO 27002 | none |
| 6.11.2.9 | Systemaksepttesting | 8.29 – Sikkerhetstesting i utvikling og aksept for ISO 27002 | none |
Hvordan ISMS.online hjelper
For å oppnå ISO 27701 må du bygge et Privacy Information Management System (PIMS). Med vår forhåndskonfigurerte PIMS kan du raskt og enkelt organisere og administrere kunde-, leverandør- og personalinformasjon for å overholde ISO 27701 fullt ut.
Du kan også imøtekomme det økende antallet globale, regionale og sektorspesifikke personvernforskrifter vi støtter på ISMS.online-plattformen.
For å oppnå sertifisering til ISO 27701 (personvern) må du først oppnå sertifisering til ISO 27001 (informasjonssikkerhet). Den gode nyheten er at plattformen vår kan hjelpe deg å gjøre begge deler.
Finn ut mer ved å bestille en praktisk demo.
