Viktiga krav i ISO 27701 Klausul 6.11 förklaras
Applikationstjänster, informationssäkerhetskrav och projektledningsaktiviteter bör utvecklas tillsammans med alla organisatoriska integritetsskyddsinsatser för att säkerställa att PII och betalnings-/beställningsdata ges bästa möjliga skydd under hela applikationens och projektets livscykel.
Vad som omfattas av ISO 27701 klausul 6.11
ISO 27701 klausul 6.11 innehåller tre underklausuler som handlar om huvudelementen i systemförvärv, där varje klausul innehåller angränsande vägledning från kontroller som finns inom ISO 27002 :
- ISO 27701 6.11.1.1 – Analys och specifikation av informationssäkerhetskrav (ISO 27002 Kontroll 5.8)
- ISO 27701 6.11.1.2 – Säkra applikationstjänster på offentliga nätverk (ISO 27002 Control 8.26)
- ISO 27701 6.11.1.3 – Skydda transaktioner med applikationstjänster (ISO 27002 Kontroll 8.26)
En underklausul – 6.11.1.2 – innehåller information som är tillämpliga delar av Storbritannien GDPR lagstiftning, utan ytterligare vägledning om PIMS eller PII-relaterade ämnen.
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
ISO 27701 klausul 6.11.1.1 – Analys och specifikation av informationssäkerhetskrav
Referenser ISO 27002 Kontroll 5.8
Förfaranden för integritetsskydd bör integreras i projektledningsaktiviteter för att säkerställa att PII skyddas genomgående och att organisationens säkerhetspolicyer är anpassade.
Organisationer bör se till att:
- Integritetsskyddsrisker beaktas under hela projektets livscykel, särskilt i de tidiga stadierna.
- Framstegen med att minska risken för integritetsskydd ses regelbundet över, med fokus på att förbättra effektiviteten och motståndskraften.
- Projektkommittéer tar hänsyn till kontroller av integritetsskydd i lämpliga skeden av projektet.
- Roller och ansvar för integritetsskydd bör beskrivas i ett tidigt skede.
- Alla produkter som ska levereras som en del av projektet har en tydlig uppsättning av integritetsskyddskrav.
- Projektets livscykler (agile, vattenfall etc.) återspeglar riskkraven för nämnda projekt under varje given fas, med tonvikt på integritetsskydd.
ISO 27701 klausul 6.11.1.2 – Säkra applikationstjänster på offentliga nätverk
Referenser ISO 27002 Kontroll 8.26
Programsäkerhetsprocedurer bör utvecklas tillsammans med bredare integritetsskyddspolicyer, vanligtvis via en strukturerad riskbedömning som tar hänsyn till flera variabler.
Programsäkerhetskrav bör inkludera:
- Nivåerna av förtroende som är inneboende inom alla nätverksenheter (se ISO 27002 kontroller 5.17, 8.2 och 8.5).
- Klassificeringen av data som applikationen är konfigurerad att bearbeta (inklusive PII).
- Eventuella segregationskrav.
- Skydd mot interna och externa attacker och/eller skadlig användning.
- Alla rådande juridiska, kontraktuella eller regulatoriska krav.
- Robust skydd av konfidentiell information.
- Data som ska skyddas under transport.
- Eventuella kryptografiska krav.
- Säkra in- och utgångskontroller.
- Minimal användning av obegränsade inmatningsfält – särskilt de som har potential att lagra personuppgifter.
- Hantering av felmeddelanden, inklusive tydlig kommunikation av felkoder.
Transaktionstjänster
Transaktionstjänster som underlättar flödet av integritetsdata mellan organisationen och en tredjepartsorganisation, eller partnerorganisation, bör:
- Upprätta en lämplig nivå av förtroende mellan organisationsidentiteter.
- Inkludera mekanismer som kontrollerar förtroende mellan etablerade identiteter (t.ex. hashing och digitala signaturer).
- Beskriv robusta rutiner som styr vad anställda kan hantera viktiga transaktionsdokument.
- Innehåller dokument- och transaktionshanteringsprocedurer som täcker konfidentialitet, integritet, bevis på avsändning och mottagande av viktiga dokument och transaktioner.
- Inkludera specifik vägledning om hur man håller transaktioner konfidentiella.
Elektroniska beställnings- och betalningsapplikationer
För alla ansökningar som involverar elektronisk beställning och/eller betalning bör organisationer:
- Beskriv strikta krav för skydd av betalnings- och beställningsdata.
- Verifiera betalningsinformationen innan en beställning görs.
- Förvara transaktions- och integritetsrelaterad data säkert på ett sätt som är otillgängligt för allmänheten.
- Använd betrodda myndigheter när du implementerar digitala signaturer, med integritetsskydd i åtanke hela tiden.
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
- Artikel 32 – (1 a)
Relevanta ISO 27002-kontroller
- ISO 27002 5.17
- ISO 27002 8.2
- ISO 27002 8.5
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 klausul 6.11.1.3 – Skydda applikationstjänstertransaktioner
Referenser ISO 27002 Kontroll 8.26
Se ISO 27701 klausul 6.11.1.2
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.11.1.1 | Analys och specifikation av krav på informationssäkerhet | 5.8 – Informationssäkerhet i projektledning för ISO 27002 | Ingen |
| 6.11.1.2 | Säkra applikationstjänster på publika nätverk | 8.26 – Applikationssäkerhetskrav för ISO 27002 | Artiklar Lagring, Lagring |
| 6.11.1.3 | Skydda applikationstjänstertransaktioner | 8.26 – Applikationssäkerhetskrav för ISO 27002 | Ingen |
Hur ISMS.online hjälper
Vår allt-i-ett-plattform säkerställer att ditt integritetsarbete överensstämmer med och uppfyller behoven för varje del av ISO 27701-standarden. Och eftersom det är regleringsagnostisk kan du mappa det till vilken reglering du behöver.
- Inbyggd riskbank
- ROPA enkelt
- Säkert utrymme för DRR
Ta reda på mer av boka en demo.
