ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 6.9.5: Styrking av programvaresikkerhetskontroller
Programvareimplementeringer, oppdateringer, oppdateringer og nye installasjoner har potensial til å påvirke PII og personvernrelaterte eiendeler på en myriade av måter.
Organisasjoner må utvise stor forsiktighet når de installerer applikasjoner, hjelpeprogrammer og kjørbar kode på operativsystemer.
Hva dekkes av ISO 27701 klausul 6.9.5
ISO 27701 klausul 6.9.5 inneholder kun én underklausul (ISO 27701 6.9.5.1) som utelukkende omhandler installasjon av programvare på operasjonelle systemer.
Det er ingen ekstra PIMS- eller PII-relaterte veiledningspunkter, og det er heller ingen tilknyttede UK GDPR artikler å vurdere.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.9.5.1 – Installasjon av programvare på operasjonelle systemer
Referanser ISO 27002 Kontroll 8.19
For å beskytte tilgjengeligheten og integriteten til PII, og administrere endringer, bør organisasjoner:
- Sørg for at programvareoppdateringer utføres av kompetent personell (se ISO 27002 Kontroll 8.5).
- Sørg for at koden har gått ut av utviklingsstadiet på en sikker måte, og at den er fri for feil.
- Test all programvare før oppdatering eller installasjon, for å sikre at det ikke oppstår konflikter eller feil.
- Hold et oppdatert programvarebiblioteksystem.
- Opprettholde et "konfigurasjonskontrollsystem" for å administrere operativ programvare.
- Lag en "tilbakeføringsstrategi" som gjenoppretter systemene til en tidligere fungerende tilstand, for å sikre kontinuitet i virksomheten.
- Oppretthold en grundig logg over eventuelle oppdateringer som er utført.
- Sørg for at ubrukte programvareapplikasjoner – og alt tilhørende materiale – er trygt lagret for videre bruk og analyse.
- Operer med en programvarerestriksjonspolicy, som kjører i samsvar med organisasjonens ulike roller og ansvar.
Når du bruker programvare levert fra leverandøren, bør applikasjonene holdes i god stand og i samsvar med utstederens retningslinjer.
ISO gjør det eksplisitt klart at organisasjoner bør unngå å bruke programvare som ikke støttes med mindre det er absolutt nødvendig. Organisasjoner bør søke å oppgradere eksisterende systemer, i stedet for å bruke utdaterte eller ikke-støttede eldre applikasjoner.
En leverandør kan kreve tilgang til en organisasjons nettverk for å utføre en installasjon eller oppdatering. Slike aktiviteter bør være autorisert og overvåket til enhver tid (se ISO 27002 Kontroll 5.22).
Supplerende veiledning
- Organisasjoner bør oppgradere, lappe og installere programvare i samsvar med deres publiserte prosedyrer for endringsadministrasjon.
- Patcher som fjerner sikkerhetssårbarheter eller på annen måte forbedrer organisatorisk personvern, bør alltid betraktes som en prioritert endring.
- Organisasjoner bør utvise stor forsiktighet ved bruk av åpen kildekode-programvare, og bør identifisere den siste offentlig tilgjengelige versjonen for å sikre at sikkerhetskravene oppfylles i størst mulig grad.
Støttekontroller
- ISO 27002
- ISO 27002
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.9.5.1 | Installasjon av programvare på operative systemer | 8.19 – Installasjon av programvare på operasjonelle systemer for ISO 27002 | none |
Hvordan ISMS.online hjelper
Du må opprette et Privacy Information Management System (PIMS) for å oppfylle ISO 27701-standardene. Ved å bruke våre forhåndskonfigurerte PIMS kan du raskt og enkelt organisere og administrere kunde-, leverandør- og ansattinformasjon for å oppfylle ISO 27701-standardene fullt ut.
ISMS.online kan også imøtekomme det økende antallet globale, regionale og sektorspesifikke personvernforskrifter.
Du må først bli ISO 27001 (informasjonssikkerhet) sertifisert for å oppnå ISO 27701 (personvern) sertifisering. Heldigvis kan plattformen vår hjelpe deg med begge disse sertifiseringene.
