ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 6.9.2: Styrke strategier for beskyttelse mot skadelig programvare
Selv innenfor de mest robuste og vanntette nettverkene kan og skjer feil og inntrenging.
Organisasjoner må anta at kritiske scenarier vil oppstå til enhver tid, og beskytte PII mot inntrenging ved siden av å garantere forretningskontinuitet med allsidige og klart forståtte BUDR-prosedyrer.
Hva dekkes av ISO 27701 klausul 6.9.2
ISO 27701 klausul 6.9.2 inneholder to underklausuler som gir veiledning om antimalware-teknikker og BUDR-funksjoner.
Begge klausulene er knyttet til informasjon i ISO 27002, med veiledning som tilbys innenfor rammen av PII og personvern:
- ISO 27701 6.9.2.1 Kontroller mot skadelig programvare (Referanser ISO 27002 kontroll 8.7)
- ISO 27701 6.9.3.1 Informasjonssikkerhetskopiering (Referanser ISO 27002 kontroll 8.13)
ISO 27701 6.9.3.1 inneholder veiledningspunkter som er relevante for flere artikler innenfor britisk GDPR-lovgivning – med et sammendrag gitt for enkelhets skyld – og omfattende tilleggsveiledning om hvordan organisasjoner bør tilnærme seg både sikkerhetskopiering og gjenoppretting av PII.
Vær oppmerksom på at GDPR-henvisninger kun er veiledende. Organisasjoner bør granske lovverket og gjøre sin egen vurdering av hvilke deler av loven som gjelder for dem.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.9.2.1 – Kontroller mot skadelig programvare
Referanser ISO 27002 Kontroll 8.7
For å beskytte PII og personvernrelaterte eiendeler, må organisasjoner distribuere en rekke antimalware-teknikker og plattformer, inkludert:
- Vedlikeholde en liste over begrenset/forbudt programvare og applikasjoner (se ISO 27002 kontroller 8.19 og 8.32).
- Bruke innholdsfiltrering for å blokkere tilgang til mistenkte nettsteder.
- Implementere "tekniske sårbarhetshåndtering"-tiltak (se ISO 27002 kontroller 8.8 og 8.19).
- Regelmessig revidere bruken av programvare og data for å oppdage eventuelle uautoriserte eller mistenkelige applikasjoner og systemer.
- Beskyttelse mot risikoen forbundet med innhenting av data og/eller applikasjoner fra eksterne og tredjepartskilder.
- Gjennomføre regelmessige skanninger mot skadelig programvare som dekker hele nettverket, inkludert e-post, nettsteder og flyttbare medier.
- Ta hensyn til hvor på nettverket antimalware-verktøy bør distribueres (f.eks. gatewaysikkerhet og fremme "forsvar i dybden".
- Overvåking av hendelser og kritiske intervensjoner for å sikre at skadevare ikke ved et uhell introduseres på nettverket i tider når standard IKT-regler omgås.
- Å operere med prosesser som gir mulighet for kritisk intervensjon mot mistenkte inntrenging, for eksempel midlertidig deaktivering av kritiske systemprosesser, inkludert en grundig begrunnelse og gjennomgangsprosedyre.
- Robuste BUDR- og forretningskontinuitetsplaner, som inkluderer deaktivering og/eller isolering av driftsmiljøer (se ISO 27002 kontroll 8.13).
- Bevissthetstrening for alle brukere (se ISO 27002 kontroll 6.3).
- Opprettholde en aktiv tilstedeværelse i antimalware-fellesskapet og holde seg à jour med de siste cybersikkerhetstrendene, inkludert virusdefinisjoner, angrepsvektorer og utbedrende handlinger.
- Sikre at all handlingsdyktig kommunikasjon angående skadelig programvare fra eksterne kilder er uavhengig verifisert og kommer fra en pålitelig kilde.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.9.3.1 – Informasjonssikkerhetskopiering
Referanser ISO 27002 Kontroll 8.13
Organisasjoner bør utarbeide temaspesifikke retningslinjer som direkte tar for seg hvordan organisasjonen sikkerhetskopierer de relevante områdene i nettverket for å sikre PII og forbedre motstandskraften mot personvernrelaterte hendelser.
BUDR-prosedyrer bør utarbeides for å oppnå hovedmålet om å sikre det alle forretningskritiske data, programvare og systemer kan gjenopprettes følgende Data Loss, inntrenging, forretningsavbrudd og kritiske feil.
Som en prioritet bør BUDR-planer:
- Skisser gjenopprettingsprosedyrer som dekker alle kritiske systemer og tjenester.
- Kunne produsere brukbare kopier av alle systemer, data eller applikasjoner som inngår i en sikkerhetskopijobb.
- Tjener de kommersielle og operasjonelle kravene til organisasjonen (se ISO 27002 kontroll 5.30).
- Lagre sikkerhetskopier på et miljøbeskyttet sted som er fysisk atskilt fra kildedataene (se ISO 27002 kontroll 8.1).
- Test og vurder sikkerhetskopieringsjobber regelmessig mot organisasjonens pålagte gjenopprettingstider, for å garantere datatilgjengelighet.
- Krypter alle PII-relaterte sikkerhetskopieringsdata.
- Dobbeltsjekk for tap av data før du utfører en sikkerhetskopijobb.
- Følg et rapporteringssystem som varsler personalet om statusen til backupjobber.
- Søk å inkorporere data fra skybaserte plattformer som ikke er direkte administrert av organisasjonen, i interne sikkerhetskopieringsjobber.
- Lagre sikkerhetskopier i samsvar med en passende PII-oppbevaringspolicy (se ISO 27002 kontroll 8.10).
Ytterligere PII-spesifikk veiledning
Organisasjoner må utvikle separate prosedyrer som utelukkende omhandler PII (riktignok inneholdt i deres hoved-BUDR-plan).
Regionale avvik i PII BUDR-standarder (kontraktsmessige, juridiske og regulatoriske) bør tas i betraktning når en ny jobb opprettes, jobber endres eller nye PII-data legges til BUDR-rutinen.
Når det oppstår behov for å gjenopprette PII etter en BUDR-hendelse, bør organisasjoner være nøye med å returnere PII til sin opprinnelige tilstand, og gjennomgå gjenopprettingsaktiviteter for å løse eventuelle problemer med de nye dataene.
Organisasjoner bør føre en logg over gjenopprettingsaktivitet, inkludert alt personell som er involvert i gjenopprettingen, og en beskrivelse av PII som er gjenopprettet.
Organisasjoner bør sjekke med eventuelle lovgivende eller regulatoriske byråer og sikre at deres PII-gjenopprettingsprosedyrer er i samsvar med det som forventes av dem som PII-behandler og kontroller.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
Gjeldende GDPR-artikler
- Artikkel 5 – (1)(f)
- Artikkel 32 – (1)(c)
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.9.2.1 | Kontroller mot skadelig programvare |
8.7 – Beskyttelse mot skadelig programvare for ISO 27002 |
none |
| 6.9.3.1 | Sikkerhetskopiering av informasjon |
8.13 – Informasjonssikkerhetskopiering for ISO 27002 |
Artikler (5), (32) |
Hvordan ISMS.online hjelper
For å oppnå ISO 27701 må du bygge et styringssystem for personverninformasjon. Med vår forhåndskonfigurerte PIMS kan du raskt og enkelt organisere og administrere kunde-, leverandør- og personalinformasjon for å overholde ISO 27701 fullt ut.
Du kan også imøtekomme det økende antallet globale, regionale og sektorspesifikke personvernforskrifter vi støtter på ISMS.online-plattformen.
For å oppnå sertifisering til ISO 27701 (personvern) må du først oppnå sertifisering til ISO 27001 (informasjonssikkerhet). Den gode nyheten er at plattformen vår kan hjelpe deg å gjøre begge deler uten problemer!
Finn ut mer av bestille en demo.
