Zum Inhalt
ISMS.online

ISO 27701 - Klausel 6.11.2 - Sicherheit in Entwicklungs- und Unterstützungsprozessen

Der Abschnitt 27701 der ISO 6.11.2 betont, wie wichtig es ist, Sicherheitsmaßnahmen in Entwicklungs- und Supportprozesse zu integrieren, um personenbezogene Daten (PII) zu schützen, und umfasst Richtlinien für sichere Entwicklung, Änderungskontrolle und technische Überprüfungen.

Autorin
Toby Cane
Aktualisiert September 19, 2025
4 / 5 Sterne

Grundlegendes zu den Anforderungen von ISO 27701, Abschnitt 6.11.2

Entwicklungsaktivitäten, die über mehrere unterschiedliche Umgebungen verteilt sind, stellen für Unternehmen, die mit unterschiedlichen Datenkategorien arbeiten und die Notwendigkeit haben, Daten zwischen Test-, Entwicklungs- und Produktionsumgebungen zu verschieben, eine große Bedeutung dar.

In jeder Phase des Entwicklungsprozesses müssen personenbezogene Daten und datenschutzbezogene Vermögenswerte geschützt werden und unabhängig von der Umgebung, in der sie sich befinden, das gleiche Schutzniveau erhalten.

Was in ISO 27701 Abschnitt 6.11.2 behandelt wird

ISO 27701 6.11.2 ist eine weitreichende Kontrolle, die mehrere Aspekte von Entwicklungs- und Testvorgängen umfasst.

ISO 27701 6.11.2 enthält nicht weniger als 9 separate Unterabschnitte, von denen jeder Informationen aus enthält ISO 27002 das sich mit Aspekten der Entwicklungssicherheit befasst, dargestellt im Rahmen des Datenschutzinformationsmanagements und der PII-Sicherheit:

  • ISO 27701 6.11.2.1 – Sichere Entwicklungsrichtlinie (ISO 27002 Control 8.25)
  • ISO 27701 6.11.2.2 – Systemänderungskontrollverfahren (ISO 27002 Control 8.32)
  • ISO 27701 6.11.2.3 – Technische Überprüfung von Anwendungen nach Änderungen der Betriebsplattform (ISO 27002 Control 8.32)
  • ISO 27701 6.11.2.4 – Einschränkungen von Änderungen an Softwarepaketen (ISO 27002 Control 8.32)
  • ISO 27701 6.11.2.5 – Prinzipien der sicheren Systemtechnik (ISO 27002 Control 8.27)
  • ISO 27701 6.11.2.6 – Sichere Entwicklungsumgebung (ISO 27002 Control 8.31)
  • ISO 27701 6.11.2.7 – Ausgelagerte Entwicklung (ISO 27002 Control 8.30)
  • ISO 27701 6.11.2.8 – Systemsicherheitstests (ISO 27002 Control 8.29)
  • ISO 27701 6.11.2.9 – Systemabnahmetests (ISO 27002 Control 8.29)

Zwei Unterabschnitte (6.11.2.1 und 6.11.2.6) enthalten Leitlinien, die für Elemente des Vereinigten Königreichs relevant sind Datenschutz Gesetzgebung – wir haben die folgenden Artikel für Sie bereitgestellt.

Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


ISO 27701 Abschnitt 6.11.2.1 – Richtlinie für sichere Entwicklung

Referenzen ISO 27002-Steuerung 8.25

Unternehmen müssen sicherstellen, dass der Entwicklungslebenszyklus unter Berücksichtigung des Datenschutzes erstellt wird.

Um dies zu erreichen, sollten Organisationen:

  • Arbeiten Sie mit separaten Entwicklungs-, Test- und Entwicklungsumgebungen (siehe ISO 27002 Control 8.31).
  • Veröffentlichen Sie Leitlinien zum Schutz der Privatsphäre während des gesamten Entwicklungslebenszyklus, einschließlich Methoden, Codierungsrichtlinien und Programmiersprachen (siehe ISO 27002-Kontrollen 8.28, 8.27 und 5.8).
  • Skizzieren Sie Sicherheitsanforderungen in der Spezifikations- und Designphase (siehe ISO 27002 Control 5.8).
  • Implementieren Sie Sicherheitskontrollpunkte in allen relevanten Projekten (siehe ISO 27002 Control 5.8).
  • Führen Sie System- und Sicherheitstests durch, einschließlich Code-Scans und Penetrationstests (siehe ISO 27002 Control 5.8).
  • Bieten Sie sichere Repositorys für den gesamten Quellcode an (siehe ISO 27002 Controls 8.4 und 8.9).
  • Führen Sie strenge Versionskontrollverfahren durch (siehe ISO 27002 Control 8.32).
  • Bieten Sie Mitarbeitern Schulungen zum Datenschutz und zur Anwendungssicherheit an (siehe ISO 27002 Control 8.28).
  • Analysieren Sie die Fähigkeit eines Entwicklers, Schwachstellen zu lokalisieren, zu mindern und zu beseitigen (siehe ISO 27002 Control 8.28).
  • Dokumentieren Sie alle aktuellen oder zukünftigen Lizenzanforderungen (siehe ISO 27002 Control 8.30).

Anwendbare DSGVO-Artikel

  • Artikel 25 – (1)

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31

ISO 27701 Abschnitt 6.11.2.2 – Systemänderungskontrollverfahren

Referenzen ISO 27002-Steuerung 8.32

Es sollten robuste Änderungsmanagementverfahren implementiert werden, die die Vertraulichkeit, Integrität und Verfügbarkeit von PII und datenschutzbezogenen Informationen sowohl innerhalb von Einrichtungen zur Verarbeitung von Datenschutzinformationen als auch von Datenschutzinformationssystemen gewährleisten.

Prozesse und Verfahren zur organisatorischen Änderungskontrolle sollten Folgendes umfassen:

  • Gründliche Folgenabschätzungen.
  • Wie Änderungen autorisiert werden.
  • Wie Änderungen allen relevanten Parteien mitgeteilt werden.
  • Abnahmeprüfung (siehe ISO 27002 Control 8.29).
  • Bereitstellungspläne ändern.
  • Notfallplanung.
  • Eine gründliche Aufzeichnung aller veränderungsbezogenen Aktivitäten.
  • Aktualisierungen aller unterstützenden Benutzer- und Betriebsdokumentationen, Kontinuitätspläne und BUDR-Verfahren (siehe ISO 27002-Kontrollen 5.37 und 5.20).

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.20
  • ISO 27002 5.37
  • ISO 27002 8.29


Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 6.11.2.3 – Technische Überprüfung von Anwendungen nach Änderungen der Betriebsplattform

Referenzen ISO 27002-Steuerung 8.32

Siehe ISO 27701 Abschnitt 6.11.2.2

ISO 27701 Abschnitt 6.11.2.4 – Einschränkungen von Änderungen an Softwarepaketen

Referenzen ISO 27002-Steuerung 8.32

Siehe ISO 27701 Abschnitt 6.11.2.2

ISO 27701 Abschnitt 6.11.2.5 – Prinzipien der sicheren Systemtechnik

Referenzen ISO 27002-Steuerung 8.27

Das Organisationssystem sollte unter Berücksichtigung des Datenschutzes entworfen, dokumentiert, implementiert und gewartet werden.

Technische Grundsätze sollten Folgendes analysieren:

  • Eine breite Palette von Sicherheitskontrollen, die zum Schutz personenbezogener Daten vor spezifischen und allgemeinen Bedrohungen erforderlich sind.
  • Wie gut die Sicherheitskontrollen für den Umgang mit größeren Sicherheitsvorfällen ausgestattet sind.
  • Gezielte, auf einzelne Geschäftsprozesse abgestimmte Kontrollen.
  • COHO Expo bei der im Netzwerk und wie Sicherheitskontrollen sollten implementiert werden.
  • Wie verschiedene Steuerungen im Einklang miteinander arbeiten.

Technische Grundsätze sollten Folgendes berücksichtigen:

  • Architektonische Integration.
  • Technische Sicherheitsmaßnahmen (Verschlüsselung, IAM, DAM etc.).
  • Wie gut die Organisation für die Implementierung und Wartung der gewählten Lösung gerüstet ist.
  • Best-Practice-Richtlinien der Branche.

Secure Systems Engineering sollte Folgendes umfassen:

  • Bewährte, branchenübliche Architekturprinzipien.
  • Eine umfassende Designüberprüfung, die Schwachstellen aufzeigt und dabei hilft, einen durchgängigen Ansatz zur Einhaltung zu entwickeln.
  • Vollständige Offenlegung aller Sicherheitskontrollen, die nicht den erwarteten Anforderungen entsprechen.
  • Systemhärtung.

Organisationen sollten bei der Sicherheit standardmäßig einen „Zero Trust“-Ansatz verfolgen, indem sie:

  • Verlassen Sie sich nicht isoliert auf die Gateway-Sicherheit.
  • Kontinuierliche Suche nach Verifizierung in allen Systemen.
  • Durchsetzung der Ende-zu-Ende-Verschlüsselung in allen relevanten Systemen.
  • Jede Informations- oder Zugriffsanfrage wird so kategorisiert, als käme sie von außerhalb der Organisation, also von einer nicht vertrauenswürdigen Quelle.
  • Arbeiten Sie nach den Grundsätzen der „geringsten Privilegien“ und verwenden Sie dynamische Zugriffskontrolltechniken (siehe ISO 27002-Kontrollen 5.15, 5.18 und 8.2).
  • Ständige Durchsetzung robuster Authentifizierungskontrollen, einschließlich MFA (siehe ISO 27002 Control 8.5).

Wenn die Organisation die Entwicklung an Drittorganisationen auslagert, sollten Anstrengungen unternommen werden, um sicherzustellen, dass die Sicherheitsprinzipien des Partners mit denen der Organisation übereinstimmen.

Anwendbare DSGVO-Artikel

  • Artikel 25 – (1)

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

ISO 27701 Abschnitt 6.11.2.6 – Sichere Entwicklungsumgebung

Referenzen ISO 27002-Steuerung 8.31

Um personenbezogene Daten und datenschutzbezogene Vermögenswerte zu schützen, müssen Unternehmen dies sicherstellen Entwicklung, testing und Produktion Umgebungen sind getrennt und gesichert.

Um dies zu erreichen, sollten Organisationen:

  • Trennen Sie verschiedene Umgebungen in separate Domänen.
  • Erstellen Sie Prozesse, die steuern, wie Software von der Entwicklung in die Produktion übertragen wird.
  • Nutzen Sie Test- und Staging-Umgebungen (siehe ISO 27002 Control 8.29).
  • Verhindern Sie Tests in Produktionsumgebungen.
  • Führen Sie strenge Kontrollen über die Verwendung von Dienstprogrammanwendungen in Live-Umgebungen durch.
  • Beschriften Sie jede Umgebung eindeutig über verschiedene Systeme, Assets und Anwendungen hinweg.
  • Verhindern Sie das Kopieren sensibler Daten (insbesondere PII) aus der Live-Umgebung in andere Umgebungen, ohne dass geeignete Kontrollen zum Schutz ihrer Integrität und Verfügbarkeit eingesetzt werden.

Schutz von Entwicklungs- und Testumgebungen

Um Daten in Entwicklungs- und Testumgebungen zu schützen, sollten Unternehmen:

  • Arbeiten Sie mit einer weitreichenden Patching-Richtlinie.
  • Stellen Sie sicher, dass alle Systeme und Anwendungen sicher gemäß den Best-Practice-Richtlinien konfiguriert sind.
  • Verwalten Sie den Zugriff auf Entwicklungs- und Testumgebungen sorgfältig.
  • Stellen Sie sicher, dass alle Änderungen an diesen Umgebungen überwacht werden.
  • Führen Sie eine breite Palette von BUDR-Protokollen ein.
  • Stellen Sie sicher, dass kein einzelner Mitarbeiter ohne Managementbewertung und einen gründlichen Genehmigungsprozess Änderungen an der Entwicklungs- und Produktionsumgebung vornehmen kann.

Die ISO stellt ausdrücklich klar, dass Entwicklungs- und Testmitarbeiter ein unverhältnismäßiges Risiko für PII darstellen – entweder direkt aufgrund böswilliger Handlungen oder unbeabsichtigt aufgrund von Fehlern im Entwicklungsprozess.

Es ist von entscheidender Bedeutung, dass kein einzelner Mitarbeiter die Möglichkeit hat, ohne entsprechende Genehmigung, einschließlich einer Überprüfung der erforderlichen Änderungen und einer mehrstufigen Genehmigung (siehe ISO 27002-Steuerung 8.33), Änderungen sowohl an als auch innerhalb von Entwicklungs- und Produktionsumgebungen vorzunehmen.

Unternehmen sollten während des gesamten Entwicklungs- und Testprozesses, einschließlich mehrerer Live-Produktionsumgebungen, Schulungsumgebungen und Aufgabentrennung, große Sorgfalt darauf verwenden, die Integrität und Verfügbarkeit personenbezogener Daten sicherzustellen.

Relevante ISO 27002-Kontrollen

  • ISO 27002 8.29


ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Verwalten Sie Ihre gesamte Compliance an einem Ort

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo


ISO 27701 Abschnitt 6.11.2.7 – Ausgelagerte Entwicklung

Referenzen ISO 27002-Steuerung 8.30

Wenn die Notwendigkeit besteht, die Entwicklung auszulagern, müssen Unternehmen sicherstellen, dass die Sicherheitspraktiken Dritter mit ihren eigenen übereinstimmen.

Organisationen sollten ihre Anforderungen von Anfang an klar kommunizieren und kontinuierlich die Fähigkeit des Entwicklungspartners bewerten, das zu tun, was von ihm erwartet wird.

Organisationen sollten Folgendes berücksichtigen:

  1. Lizenzierung, Eigentum und IP-Rechte (siehe ISO 27002 Control 5.32).
  2. Vertragspunkte, die sich damit befassen Design, Verschlüsselung und testing (siehe ISO 27002-Kontrollen 8.25 und 8.29).
  3. Bereitstellung eines aktuellen Bedrohungsmodells für Dritte.
  4. Testanforderungen, sowohl bei Lieferung als auch im laufenden Betrieb – Abnahmetests, Schwachstellentests, interne Malware-Tests und Sicherheitsberichte (siehe ISO 27002 Control 8.29).
  5. Schutzmaßnahmen für den Quellcode, beispielsweise ein Treuhandservice, der den Entwickler vor Geschäftsverlusten schützt.
  6. Das Recht der Organisation, alle Entwicklungsprozesse zu prüfen.
  7. Eine Liste von Sicherheitsanforderungen für die Entwicklungsumgebung (siehe ISO 27002 Control 8.31);
  8. Und gesetzliche, behördliche oder bereits bestehende vertragliche Verpflichtungen.

Relevante ISO 27002-Kontrollen

  • ISO 27002 5.32
  • ISO 27002 8.25
  • ISO 27002 8.29
  • ISO 27002 8.31

ISO 27701 Abschnitt 6.11.2.8 – Systemsicherheitstests

Referenzen ISO 27002-Steuerung 8.29

Organisationen müssen sicherstellen, dass bei der Bereitstellung und/oder Verschiebung von Code aus einer Entwicklungsumgebung in die Live-Umgebung der Schutz der Privatsphäre Priorität hat und personenbezogene Daten vor Verlust der Integrität oder Verfügbarkeit geschützt sind.

Die Tests sollten Folgendes umfassen:

  • Standardisierte Netzwerksicherheitsfunktionen (z. B. Benutzeranmeldung, Verschlüsselung) (siehe ISO 27002 Controls 8.5, 8.3 und 8.24).
  • Sichere Codierung.
  • Sichere Konfigurationen über alle Netzwerkgeräte und Sicherheitskomponenten hinweg (siehe ISO 27002 Controls 8.9, 8.20 und 8.22).

Testpläne

Alle Testpläne sollten direkt proportional zum System sein, das sie testen, und zum Umfang der Änderung oder des Datensatzes, auf den sie abzielen.

Testpläne sollten eine Reihe von Automatisierungstools umfassen und Folgendes umfassen:

  • Ein umfassender Testplan.
  • Erwartete Ergebnisse unter verschiedenen Bedingungen.
  • Prüfkriterien für Bewertungszwecke.
  • Folgemaßnahmen, basierend auf erwarteten oder anormalen Ergebnissen.

Interne Entwicklungstests sollten immer von einem externen Spezialisten überprüft werden. Solche Tests sollten Folgendes umfassen:

  • Identifizierung von Sicherheitslücken (Codeüberprüfungen usw.).
  • Scannen von Schwachstellen.
  • Strukturierte Penetrationstests.

ISO empfiehlt, dass alle Tests in einer Umgebung durchgeführt werden sollten, die die Produktionsumgebung so weit wie möglich widerspiegelt, um eine genaue und praktische Reihe von Ergebnissen zu gewährleisten, anhand derer die Leistung gemessen werden kann (siehe ISO 27002 Control 8.31).

Relevante ISO 27002-Kontrollen

  • ISO 27002 8.3
  • ISO 27002 8.5
  • ISO 27002 8.9
  • ISO 27002 8.20
  • ISO 27002 8.22
  • ISO 27002 8.24
  • ISO 27002 8.31

ISO 27701 Abschnitt 6.11.2.9 – Systemabnahmetests

Referenzen ISO 27002-Steuerung 8.29

Siehe ISO 27701 Abschnitt 6.11.2.8

Unterstützende Kontrollen von ISO 27002 und DSGVO

ISO 27701-Klauselkennung Name der ISO 27701-Klausel ISO 27002-Anforderung Zugehörige DSGVO-Artikel
6.11.2.1 Richtlinie für sichere Entwicklung 8.25 – Sicherer Entwicklungslebenszyklus für ISO 27002 Artikel (25)
6.11.2.2 Systemänderungskontrollverfahren 8.32 – Änderungsmanagement für ISO 27002 Keine Präsentation
6.11.2.3 Technische Überprüfung von Anwendungen nach Änderungen der Betriebsplattform 8.32 – Änderungsmanagement für ISO 27002 Keine Präsentation
6.11.2.4 Einschränkungen bei Änderungen an Softwarepaketen 8.32 – Änderungsmanagement für ISO 27002 Keine Präsentation
6.11.2.5 Prinzipien der sicheren Systemtechnik 8.27 – Sichere Systemarchitektur und technische Prinzipien für ISO 27002 Artikel (25)
6.11.2.6 Sichere Entwicklungsumgebung 8.31 – Trennung von Entwicklungs-, Test- und Produktionsumgebungen für ISO 27002 Keine Präsentation
6.11.2.7 Ausgelagerte Entwicklung 8.30 Uhr – Ausgelagerte Entwicklung für ISO 27002 Keine Präsentation
6.11.2.8 Systemsicherheitstests 8.29 – Sicherheitstests in der Entwicklung und Akzeptanz für ISO 27002 Keine Präsentation
6.11.2.9 Systemabnahmetests 8.29 – Sicherheitstests in der Entwicklung und Akzeptanz für ISO 27002 Keine Präsentation

Wie ISMS.online hilft

Um ISO 27701 zu erreichen, müssen Sie ein Privacy Information Management System (PIMS) aufbauen. Mit unserem vorkonfigurierten PIMS können Sie Kunden-, Lieferanten- und Mitarbeiterinformationen schnell und einfach organisieren und verwalten, um vollständig der ISO 27701 zu entsprechen.

Sie können auch die wachsende Zahl globaler, regionaler und branchenspezifischer Datenschutzbestimmungen berücksichtigen, die wir auf der ISMS.online-Plattform unterstützen.

Um eine Zertifizierung nach ISO 27701 (Datenschutz) zu erhalten, müssen Sie zunächst eine Zertifizierung nach ISO 27001 (Informationssicherheit) erreichen. Die gute Nachricht ist, dass unsere Plattform Ihnen dabei helfen kann, beides zu tun.

‌Erfahren Sie mehr unter Buchen Sie eine praktische Demo.

Toby Cane

Partner Customer Success Manager

Toby Cane ist Senior Partner Success Manager bei ISMS.online. Er arbeitet seit fast vier Jahren für das Unternehmen und hat dort verschiedene Aufgaben wahrgenommen, unter anderem als Moderator von Webinaren. Vor seiner Tätigkeit im SaaS-Bereich war Toby Sekundarschullehrer.

LinkedIn

ISO 27701-Klauseln

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter – Winter 2026
Regionalleiter – Winter 2026 (Großbritannien)
Regionalleiter – Winter 2026 EU
Regionalleiter – Winter 2026, Mittelstand EU
Regionalleiter – Winter 2026 EMEA
Regionalleiter – Winter 2026, Mittelstand EMEA

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Mint

Bereit, um loszulegen?

Kontakt