Hoppa till innehåll
ISMS.online

ISO 27701 – Klausul 6.11.2 – Säkerhet i utvecklings- och supportprocesser

ISO 27701 klausul 6.11.2 betonar vikten av att integrera säkerhetsåtgärder i utvecklings- och stödprocesser för att skydda personligt identifierbar information (PII), som omfattar policyer för säker utveckling, förändringskontroll och tekniska granskningar.

Författare
Toby Cane
Uppdaterad september 19, 2025
4/5 stjärnor

Förstå ISO 27701 Klausul 6.11.2 Krav

Utvecklingsaktiviteter spridda över flera distinkta miljöer är av stor betydelse för organisationer som hanterar olika datakategorier och har ett behov av att flytta data mellan test-, utvecklings- och produktionsmiljöer.

I varje skede av utvecklingsprocessen måste PII och integritetsrelaterade tillgångar skyddas och ges samma skyddsnivå oavsett i vilken miljö de befinner sig.

Vad som omfattas av ISO 27701 klausul 6.11.2

ISO 27701 6.11.2 är en omfattande kontroll som omfattar flera aspekter av utvecklings- och testverksamhet.

ISO 27701 6.11.2 innehåller inte mindre än 9 separata underklausuler, som var och en innehåller information från ISO 27002 som behandlar aspekter av utvecklingssäkerhet, presenterade inom ramen för integritetsinformationshantering och PII-säkerhet:

  • ISO 27701 6.11.2.1 – Säker utvecklingspolicy (ISO 27002 Kontroll 8.25)
  • ISO 27701 6.11.2.2 – Systemändringskontrollprocedurer (ISO 27002 Kontroll 8.32)
  • ISO 27701 6.11.2.3 – Teknisk granskning av applikationer efter byte av operativ plattform (ISO 27002 Kontroll 8.32)
  • ISO 27701 6.11.2.4 – Begränsningar av ändringar av mjukvarupaket (ISO 27002 Kontroll 8.32)
  • ISO 27701 6.11.2.5 – Säkra systemtekniska principer (ISO 27002 Kontroll 8.27)
  • ISO 27701 6.11.2.6 – Säker utvecklingsmiljö (ISO 27002 Kontroll 8.31)
  • ISO 27701 6.11.2.7 – Outsourcad utveckling (ISO 27002 Control 8.30)
  • ISO 27701 6.11.2.8 – Systemsäkerhetstestning (ISO 27002 Kontroll 8.29)
  • ISO 27701 6.11.2.9 – Systemacceptanstestning (ISO 27002 Kontroll 8.29)

Två underklausuler (6.11.2.1 och 6.11.2.6) innehåller vägledning som är relevant för delar av Storbritannien GDPR lagstiftning – vi har tillhandahållit artiklarna nedan för din bekvämlighet.

Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.



ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG


ISO 27701 Klausul 6.11.2.1 – Säker utvecklingspolicy

Referenser ISO 27002 Kontroll 8.25

Organisationer måste se till att utvecklingens livscykel skapas med integritetsskydd i åtanke.

För att uppnå detta bör organisationer:

  • Arbeta med separata utvecklings-, test- och utvecklingsmiljöer (se ISO 27002 Kontroll 8.31).
  • Publicera vägledning om integritetsskydd under hela utvecklingens livscykel, inklusive metoder, kodningsriktlinjer och programmeringsspråk (se ISO 27002 kontroller 8.28, 8.27 och 5.8).
  • Beskriv säkerhetskraven i specifikations- och designfasen (se ISO 27002 Kontroll 5.8).
  • Implementera säkerhetskontroller i alla relevanta projekt (se ISO 27002 Kontroll 5.8).
  • Genomför system- och säkerhetstester, inklusive kodskanningar och penetrationstester (se ISO 27002 Kontroll 5.8).
  • Erbjud säkra lagringsplatser för all källkod (se ISO 27002 kontroller 8.4 och 8.9).
  • Utöva stränga versionskontrollprocedurer (se ISO 27002 Kontroll 8.32).
  • Erbjud personalens integritetsskydd och utbildning i applikationssäkerhet (se ISO 27002 Kontroll 8.28).
  • Analysera utvecklarens förmåga att lokalisera, mildra och utrota sårbarheter (se ISO 27002 Kontroll 8.28).
  • Dokumentera eventuella rådande eller framtida licenskrav (se ISO 27002 Kontroll 8.30).

Tillämpliga GDPR-artiklar

  • Artikel 25 – (1)

Relevanta ISO 27002-kontroller

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31

ISO 27701 Klausul 6.11.2.2 – Systemändringskontrollprocedurer

Referenser ISO 27002 Kontroll 8.32

Robusta förändringshanteringsprocedurer bör implementeras som garanterar konfidentialitet, integritet och tillgänglighet för PII och integritetsrelaterad information, både inom sekretessinformationsbehandlingsanläggningar och integritetsinformationssystem.

Organisatoriska förändringskontrollprocesser och -procedurer bör inkludera:

  • Grundliga konsekvensanalyser.
  • Hur ändringar godkänns.
  • Hur förändringar kommuniceras till alla berörda parter.
  • Acceptanstestning (se ISO 27002 Kontroll 8.29).
  • Ändra distributionsplaner.
  • Beredskapsplanering.
  • En grundlig registrering av all förändringsrelaterad aktivitet.
  • Uppdateringar av all stödjande användar- och driftsdokumentation, kontinuitetsplaner och BUDR-procedurer (se ISO 27002 kontroller 5.37 och 5.20).

Relevanta ISO 27002-kontroller

  • ISO 27002 5.20
  • ISO 27002 5.37
  • ISO 27002 8.29


klättring

Befria dig från ett berg av kalkylblad

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo


ISO 27701 klausul 6.11.2.3 – Teknisk granskning av applikationer efter operativa plattformsändringar

Referenser ISO 27002 Kontroll 8.32

Se ISO 27701 klausul 6.11.2.2

ISO 27701 klausul 6.11.2.4 – Begränsningar av ändringar av programvarupaket

Referenser ISO 27002 Kontroll 8.32

Se ISO 27701 klausul 6.11.2.2

ISO 27701 Klausul 6.11.2.5 – Säkra systemtekniska principer

Referenser ISO 27002 Kontroll 8.27

Organisationssystemet bör utformas, dokumenteras, implementeras och underhållas med integritetsskydd i åtanke.

Tekniska principer bör analysera:

  • Ett brett utbud av säkerhetskontroller som krävs för att skydda PII mot specifika och generaliserade hot.
  • Hur välutrustade säkerhetskontroller är för att hantera stora säkerhetshändelser.
  • Riktade kontroller som är distinkta för enskilda affärsprocesser.
  • Var på nätverket och hur säkerhetskontroller bör genomföras.
  • Hur olika kontroller fungerar i harmoni med varandra.

Tekniska principer bör ta hänsyn till:

  • Arkitektonisk integration.
  • Tekniska säkerhetsåtgärder (kryptering, IAM, DAM etc).
  • Hur väl rustad organisationen är för att implementera och underhålla den valda lösningen.
  • Riktlinjer för bästa praxis för branschen.

Säker systemteknik bör omfatta:

  • Väletablerade arkitektoniska principer i industristandard.
  • En omfattande designgranskning som lokaliserar sårbarheter och hjälper till att skapa en helhetssyn på efterlevnad.
  • Fullständig avslöjande av alla säkerhetskontroller som inte uppfyller de förväntade kraven.
  • Systemhärdning.

Organisationer bör gå in på en "noll förtroende"-strategi för säkerhet genom att:

  • Att inte förlita sig på gatewaysäkerhet isolerat.
  • Strävar ständigt efter verifiering i alla system.
  • Genomföra end-to-end-kryptering i alla relevanta system.
  • Kategorisering av varje begäran om information eller åtkomst som om den hade sitt ursprung utanför organisationen, från en icke-pålitlig källa.
  • Arbeta enligt principerna om "minsta privilegium" och använda dynamiska åtkomstkontrolltekniker (se ISO 27002 kontroller 5.15, 5.18 och 8.2).
  • Genomför alltid robusta autentiseringskontroller, inklusive MFA (se ISO 27002 Kontroll 8.5).

Där organisationen lägger ut utvecklingen på entreprenad till tredjepartsorganisationer bör ansträngningar göras för att säkerställa att partnerns säkerhetsprinciper är anpassade till organisationens egna.

Tillämpliga GDPR-artiklar

  • Artikel 25 – (1)

Relevanta ISO 27002-kontroller

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

ISO 27701 Klausul 6.11.2.6 – Säker utvecklingsmiljö

Referenser ISO 27002 Kontroll 8.31

För att skydda PII och integritetsrelaterade tillgångar måste organisationer säkerställa det utveckling, testning och produktion miljöer är segregerade och säkrade.

För att uppnå detta bör organisationen:

  • Segregera olika miljöer i separata domäner.
  • Bygg processer som styr hur mjukvara flyttas från utveckling till produktion.
  • Använd test- och iscensättningsmiljöer (se ISO 27002 Kontroll 8.29).
  • Förhindra testning i produktionsmiljöer.
  • Utför strikta kontroller över användningen av verktygsapplikationer i levande miljöer.
  • Märk tydligt varje miljö över olika system, tillgångar och applikationer.
  • Förhindra kopiering av känslig data (särskilt PII) från den levande miljön till andra miljöer, utan användning av lämpliga kontroller för att skydda dess integritet och tillgänglighet.

Skydda utvecklings- och testmiljöer

För att skydda data i utvecklings- och testmiljöer bör organisationer:

  • Arbeta med en bred korrigeringspolicy.
  • Se till att alla system och applikationer är säkert konfigurerade enligt riktlinjerna för bästa praxis.
  • Hantera noggrant tillgången till utvecklings- och testmiljöer.
  • Se till att eventuella ändringar i nämnda miljöer övervakas.
  • Anta en bred uppsättning BUDR-protokoll.
  • Se till att ingen enskild anställd kan göra förändringar i utvecklings- och produktionsmiljöerna utan ledningsgranskning och en noggrann godkännandeprocess.

ISO gör det uttryckligen klart att utvecklings- och testpersonal utgör en oproportionerlig risk för PII – antingen direkt på grund av skadliga handlingar eller oavsiktligt på grund av misstag i utvecklingsprocessen.

Det är ytterst viktigt att ingen enskild anställd har förmågan att göra ändringar både i och inom utvecklings- och produktionsmiljöer utan korrekt auktorisation, inklusive en granskning av de nödvändiga ändringarna och flerstegsgodkännande (se ISO 27002 Kontroll 8.33).

Organisationer bör vara mycket noga med att säkerställa integriteten och tillgängligheten av PII under hela utvecklings- och testprocessen, inklusive flera levande produktionsmiljöer, utbildningsmiljöer och åtskillnad av arbetsuppgifter.

Relevanta ISO 27002-kontroller

  • ISO 27002 8.29


ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


ISO 27701 Klausul 6.11.2.7 – Utlagd utveckling

Referenser ISO 27002 Kontroll 8.30

Om behovet uppstår att lägga ut utveckling på entreprenad, måste organisationer se till att tredjeparts säkerhetspraxis är i linje med deras egen.

Organisationer bör tydligt kommunicera sina krav från början och kontinuerligt bedöma utvecklingspartnerns förmåga att göra vad som förväntas av dem.

Organisationer bör överväga:

  1. Licensiering, ägande och IP-rättigheter (se ISO 27002 Kontroll 5.32).
  2. Avtalspunkter som handlar om utformning, kodande och testning (se ISO 27002 kontroller 8.25 och 8.29).
  3. Förse tredje part med en uppdaterad hotmodell.
  4. Testkrav, både vid leverans och pågående – acceptanstestning, sårbarhetstestning, intern testning av skadlig programvara och säkerhetsrapporter (se ISO 27002 Kontroll 8.29).
  5. Källkodsskydd, till exempel en depositionstjänst som skyddar mot förlust av affärer från utvecklarens sida.
  6. Organisationens rätt att granska eventuella utvecklingsprocesser.
  7. En lista över säkerhetskrav för utvecklingsmiljön (se ISO 27002 Kontroll 8.31);
  8. Och lagstiftande, reglerande eller redan existerande avtalsförpliktelser.

Relevanta ISO 27002-kontroller

  • ISO 27002 5.32
  • ISO 27002 8.25
  • ISO 27002 8.29
  • ISO 27002 8.31

ISO 27701 Klausul 6.11.2.8 – Systemsäkerhetstestning

Referenser ISO 27002 Kontroll 8.29

Organisationer måste se till att integritetsskydd behandlas som en prioritet när kod distribueras och/eller flyttas på något sätt från en utvecklingsmiljö till livemiljön och att PII skyddas mot förlust av integritet eller tillgänglighet.

Testning bör inkludera:

  • Standardiserade nätverkssäkerhetsfunktioner (t.ex. användarinloggning, kryptering) (se ISO 27002 kontroller 8.5, 8.3 och 8.24).
  • Säker kodning.
  • Säkra konfigurationer över alla nätverksenheter och säkerhetskomponenter (se ISO 27002 kontroller 8.9, 8.20 och 8.22).

Testplaner

Alla testplaner bör vara direkt proportionella mot systemet de testar och omfattningen av förändringen eller datauppsättningen de är inriktade på.

Testplaner bör innehålla en rad automationsverktyg och bestå av:

  • Ett omfattande testschema.
  • Förväntade resultat under en mängd olika förhållanden.
  • Testkriterier, för utvärderingsändamål.
  • Uppföljningsåtgärder, baserade på förväntade eller onormala resultat.

Internt utvecklingstest ska alltid verifieras av en tredjepartsspecialist. Sådana tester bör inkludera:

  • Identifiering av säkerhetsbrister (kodgranskning etc).
  • Sårbarhetsskanning.
  • Strukturerade penetrationstester.

ISO rekommenderar att all testning bör utföras i en miljö som speglar produktionsmiljön på så många sätt som möjligt, för att säkerställa en korrekt och praktisk serie av utdata att mäta prestanda på (se ISO 27002 Kontroll 8.31).

Relevanta ISO 27002-kontroller

  • ISO 27002 8.3
  • ISO 27002 8.5
  • ISO 27002 8.9
  • ISO 27002 8.20
  • ISO 27002 8.22
  • ISO 27002 8.24
  • ISO 27002 8.31

ISO 27701 Klausul 6.11.2.9 – Systemacceptanstestning

Referenser ISO 27002 Kontroll 8.29

Se ISO 27701 klausul 6.11.2.8

Stödjande kontroller från ISO 27002 och GDPR

ISO 27701 Klausulidentifierare ISO 27701 Klausulnamn ISO 27002-krav Tillhörande GDPR-artiklar
6.11.2.1 Säker utvecklingspolicy 8.25 – Säker utvecklingslivscykel för ISO 27002 Artikeln Lagring
6.11.2.2 Systemändringskontrollprocedurer 8.32 – Change Management för ISO 27002 Ingen
6.11.2.3 Teknisk granskning av applikationer efter operativa plattformsändringar 8.32 – Change Management för ISO 27002 Ingen
6.11.2.4 Begränsningar av ändringar av programvarupaket 8.32 – Change Management för ISO 27002 Ingen
6.11.2.5 Säkra systemtekniska principer 8.27 – Säker systemarkitektur och tekniska principer för ISO 27002 Artikeln Lagring
6.11.2.6 Säker utvecklingsmiljö 8.31 – Separation av utvecklings-, test- och produktionsmiljöer för ISO 27002 Ingen
6.11.2.7 Outsourcad utveckling 8.30 – Outsourcad utveckling för ISO 27002 Ingen
6.11.2.8 Systemsäkerhetstestning 8.29 – Säkerhetstestning i utveckling och acceptans för ISO 27002 Ingen
6.11.2.9 Systemacceptanstestning 8.29 – Säkerhetstestning i utveckling och acceptans för ISO 27002 Ingen

Hur ISMS.online hjälper

För att uppnå ISO 27701 måste du bygga ett Privacy Information Management System (PIMS). Med vår förkonfigurerade PIMS kan du snabbt och enkelt organisera och hantera kund-, leverantörs- och personalinformation för att helt uppfylla ISO 27701.

Du kan också hantera det växande antalet globala, regionala och sektorspecifika integritetsbestämmelser som vi stödjer på ISMS.online-plattformen.

För att uppnå certifiering enligt ISO 27701 (sekretess) måste du först uppnå certifiering enligt ISO 27001 (informationssäkerhet). Den goda nyheten är att vår plattform kan hjälpa dig att göra båda.

Ta reda på mer genom boka en praktisk demo.

Toby Cane

Partner Customer Success Manager

Toby Cane är Senior Partner Success Manager för ISMS.online. Han har arbetat för företaget i nästan fyra år och har haft en rad olika roller, bland annat som värd för deras webbseminarier. Innan han började arbeta med SaaS var Toby gymnasielärare.

LinkedIn

ISO 27701 klausuler

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Klar att komma igång?

Boka demo