ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
Forstå punkt 6.9.6: Teknisk sårbarhetshåndtering
Tekniske sårbarheter som har potensial til å påvirke PII og personvernrelaterte eiendeler er nesten umulige å fullstendig utrydde, uavhengig av budsjett, bemanningsnivå eller ekspertise.
Som sådan krever ISO at organisasjoner opererer med et robust sett med sårbarhetsstyringskontroller som både identifiserer potensielle tekniske sårbarheter, og gir klar veiledning om de utbedrende tiltakene som kreves for å redusere kommersielle, operasjonelle eller omdømmeskader.
Hva dekkes av ISO 27701 klausul 6.9.6
ISO 27001 6.9.6 inneholder to underklausuler som omhandler temaet sårbarhetshåndtering, delt mellom teknisk ledelse og hvordan organisasjoner bør vurdere programvareinstallasjoner:
- ISO 27701 6.9.6.1 – Håndtering av tekniske sårbarheter (ISO 27002 Kontroll 8.8)
- ISO 27701 6.9.6.2 – Begrensning på programvareinstallasjon (ISO 27002 kontroll 8.19)
Ingen underklausul inneholder noen PIMS- eller PII-spesifikk veiledning, og det er heller ingen UK GDPR implikasjoner å vurdere.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.9.6.1 – Håndtering av tekniske sårbarheter
Referanser ISO 27002 Kontroll 8.8
Organisasjoner bør få en oppdatert liste over alle eiendeler (se kontrollene 5.9 og 5.14) som eies og drives av organisasjonen, inkludert:
- Leverandørnavn.
- Programnavn.
- Versjonsnummer.
- Hvor programvaren er distribuert.
- Hvem er ansvarlig for driften av nevnte programvare.
Når organisasjoner identifiserer sårbarheter som har potensial til å påvirke PII og personvernbeskyttelse, bør organisasjoner:
- Skissere personellet som er ansvarlige for sårbarhetshåndtering, inkludert:
- Kapitalforvaltning.
- Risikovurdering.
- Overvåkning.
- Oppdaterer.
- Opprettholde en oppdatert oversikt over applikasjoner og ressurser som vil bli brukt til å identifisere tekniske sårbarheter.
- Kontakt leverandører og leverandører og be dem tydelig indikere sårbarheter når nye systemer og maskinvare leveres (se ISO 27002 Kontroll 5.20).
- Bruk sårbarhetsskanningsverktøy og oppdateringsfasiliteter.
- Utfør periodisk penetrasjonstesting.
- Analyser tredjeparts kodebiblioteker og/eller kildekode for underliggende sårbarheter og/eller utnyttelser (se ISO 27002 kontroll 8.28).
Offentlige aktiviteter
Organisasjoner bør utvikle retningslinjer og prosedyrer (inkludert automatiske oppdateringer) som oppdager sårbarheter på tvers av alle sine produkter og tjenester, og motta sårbarhetsvurderinger knyttet til levering av nevnte produkter og tjenester.
ISO råder organisasjoner til å gjøre en offentlig innsats for å spore opp eventuelle sårbarheter – inkludert bruk av strukturerte dusørprogrammer – og bruke fora og offentlig forskningsaktivitet for å øke bevisstheten om potensielle utnyttelser og sikkerhetsproblemer.
Hvis det etter en sikkerhetshendelse er iverksatt tiltak som på noen måte kan påvirke kundene (eller deres oppfatning av dataene som lagres), bør organisasjoner vurdere å ta kontakt med sertifiserte sikkerhetsspesialister for å distribuere informasjon om angrepsvektorer.
Evaluering av sårbarheter
Gjennom prosessen med å evaluere sårbarheter bør organisasjoner:
- Analyser eventuelle rapporter og avgjør hva som må tas, inkludert eventuelle oppdateringer eller fjerning av berørte systemer og/eller maskinvare.
- Bli enige om en oppløsning som tar hensyn til andre ISO-kontroller.
Motvirke programvaresårbarheter
Når organisasjoner adresserer sårbarheter etter at de er identifisert, bør:
- Løs alle sårbarheter på en rettidig og effektiv måte.
- Overhold organisatoriske prosedyrer for endringsledelse (se ISO 27002 Kontroll 8.32) og hendelsesrespons (se ISO 27002 Kontroll 5.26), for å sikre en enhetlig tilnærming.
- Begrens oppdateringer og oppdateringer til de fra pålitelige kilder.
- Test oppdateringer før implementering.
- Identifiser høyrisiko og forretningskritiske systemer som en prioritet når du planlegger utbedringstiltak.
Hvis en oppdatering ikke kommer, og utbedrende tiltak forhindres av eksterne faktorer, bør organisasjoner:
- Rådfør deg med leverandører om løsninger.
- Deaktiver noen eller alle berørte nettverkstjenester.
- Implementer nettverkssikkerhetskontroller, inkludert trafikkregler og innholdsfiltrering.
- Øk frekvensen og varigheten av overvåkingsinnsatsen på berørte systemer.
- Distribuer informasjon om sårbarheten, og sørg for at alle berørte parter er informert – inkludert leverandører og kunder.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
Supplerende veiledning
Det bør føres et revisjonsspor for alle relevante sårbarhetshåndteringsaktiviteter, og organisasjonens sårbarhetshåndteringsprosess bør gjennomgås for å sikre at den både er egnet til formålet og møter de økende behovene til organisasjonen.
Når det gjelder skybasert programvare, bør organisasjonen sørge for at tjenesteleverandørens holdning til sårbarhetshåndtering er på linje med dens egen. Organisasjoner bør søke å få skriftlig bekreftelse på ethvert ansvar via en bindende tjenesteavtale (se ISO 27002 Kontroll 5.32).
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.9.6.2 – Begrensning på programvareinstallasjon
Referanser ISO 27002 Kontroll 8.19
For å beskytte tilgjengeligheten og integriteten til PII, og administrere endringer, bør organisasjoner:
- Sørg for at programvareoppdateringer utføres av kompetent personell (se Kontrollkontroll 8.5).
- Sørg for at koden har gått ut av utviklingsstadiet på en sikker måte, og at den er fri for feil.
- Test all programvare før oppdatering eller installasjon, for å sikre at det ikke oppstår konflikter eller feil.
- Hold et oppdatert programvarebiblioteksystem.
- Opprettholde et "konfigurasjonskontrollsystem" for å administrere operativ programvare.
- Lag en "tilbakeføringsstrategi" som gjenoppretter systemene til en tidligere fungerende tilstand, for å sikre kontinuitet i virksomheten.
- Oppretthold en grundig logg over eventuelle oppdateringer som er utført.
- Sørg for at ubrukte programvareapplikasjoner – og alt tilhørende materiale – er trygt lagret for videre bruk og analyse.
- Operer med en programvarerestriksjonspolicy, som kjører i samsvar med organisasjonens ulike roller og ansvar.
Når du bruker programvare levert fra leverandøren, bør applikasjonene holdes i god stand og i samsvar med utstederens retningslinjer.
ISO gjør det eksplisitt klart at organisasjoner bør unngå å bruke programvare som ikke støttes med mindre det er absolutt nødvendig. Organisasjoner bør søke å oppgradere eksisterende systemer, i stedet for å bruke utdaterte eller ikke-støttede eldre applikasjoner.
En leverandør kan kreve tilgang til en organisasjons nettverk for å utføre en installasjon eller oppdatering. Slike aktiviteter bør være autorisert og overvåket til enhver tid (se ISO 27002 Kontroll 5.22).
Supplerende veiledning
- Organisasjoner bør oppgradere, lappe og installere programvare i samsvar med deres publiserte prosedyrer for endringsadministrasjon.
- Patcher som fjerner sikkerhetssårbarheter eller på annen måte forbedrer organisatorisk personvern, bør alltid betraktes som en prioritert endring.
- Organisasjoner bør utvise stor forsiktighet ved bruk av åpen kildekode-programvare, og bør identifisere den siste offentlig tilgjengelige versjonen for å sikre at sikkerhetskravene oppfylles i størst mulig grad.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.9.6.1 | Håndtering av tekniske sårbarheter |
8.8 – Håndtering av tekniske sårbarheter for ISO 27002 |
none |
| 6.9.6.2 | Begrensning på programvareinstallasjon |
8.19 – Installasjon av programvare på operasjonelle systemer for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Med ISMS.online-plattformen kan du integrere en PIMS for å sikre at sikkerhetsstillingen din er alt-i-ett-sted og unngår duplisering der standarder overlapper hverandre.
Det har aldri vært enklere å overvåke, rapportere og revidere mot både ISO 27001 og ISO 27701 med PIMS umiddelbart tilgjengelig for interesserte parter.
Finn ut hvor mye tid og penger sparer du på reisen til en kombinert ISO 27001- og 27701-sertifisering ved bruk av ISMS.online.
