Erläuterung der wichtigsten Anforderungen der ISO 27701, Abschnitt 6.11
Anwendungsdienste, Informationssicherheitsanforderungen und Projektmanagementaktivitäten sollten parallel zu den Datenschutzbemühungen der Organisation entwickelt werden, um sicherzustellen, dass personenbezogene Daten und Zahlungs-/Bestelldaten während des gesamten Anwendungs- und Projektlebenszyklus den größtmöglichen Schutz genießen.
Was in ISO 27701 Abschnitt 6.11 behandelt wird
ISO 27701 Abschnitt 6.11 enthält drei Unterabschnitte, die sich mit den Hauptelementen des Systemerwerbs befassen, wobei jeder Abschnitt angrenzende Anleitungen zu den darin enthaltenen Kontrollen enthält ISO 27002 :
- ISO 27701 6.11.1.1 – Analyse und Spezifikation der Informationssicherheitsanforderungen (ISO 27002 Control 5.8)
- ISO 27701 6.11.1.2 – Absicherung von Anwendungsdiensten in öffentlichen Netzwerken (ISO 27002 Control 8.26)
- ISO 27701 6.11.1.3 – Schutz von Anwendungsdiensttransaktionen (ISO 27002 Control 8.26)
Ein Unterabschnitt – 6.11.1.2 – enthält Informationen zu anwendbaren Elementen des Vereinigten Königreichs Datenschutz Es werden keine weiteren Leitlinien zu PIMS- oder PII-bezogenen Themen angeboten.
Bitte beachten Sie, dass DSGVO-Zitate nur zu Informationszwecken dienen. Organisationen sollten die Gesetzgebung prüfen und selbst beurteilen, welche Teile des Gesetzes für sie gelten.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
ISO 27701 Abschnitt 6.11.1.1 – Analyse und Spezifikation der Informationssicherheitsanforderungen
Referenzen ISO 27002-Steuerung 5.8
Datenschutzverfahren sollten in die Projektmanagementaktivitäten integriert werden, um sicherzustellen, dass personenbezogene Daten durchgehend geschützt sind und die Sicherheitsrichtlinien der Organisation aufeinander abgestimmt sind.
Organisationen sollten Folgendes sicherstellen:
- Datenschutzrisiken werden während des gesamten Projektlebenszyklus berücksichtigt, insbesondere in den frühen Phasen.
- Der Fortschritt bei der Risikominderung im Datenschutz wird regelmäßig überprüft, wobei der Schwerpunkt auf der Verbesserung der Wirksamkeit und Belastbarkeit liegt.
- Projektausschüsse berücksichtigen Datenschutzkontrollen in geeigneten Phasen des Projekts.
- Rollen und Verantwortlichkeiten für den Datenschutz sollten frühzeitig festgelegt werden.
- Für alle Produkte, die im Rahmen des Projekts geliefert werden sollen, gelten klare Datenschutzanforderungen.
- Projektlebenszyklen (agil, Wasserfall usw.) spiegeln die Risikoanforderungen des Projekts in jeder Phase wider, wobei der Schwerpunkt auf dem Schutz der Privatsphäre liegt.
ISO 27701 Abschnitt 6.11.1.2 – Sicherung von Anwendungsdiensten in öffentlichen Netzwerken
Referenzen ISO 27002-Steuerung 8.26
Anwendungssicherheitsverfahren sollten parallel zu umfassenderen Datenschutzrichtlinien entwickelt werden, in der Regel über eine strukturierte Risikobewertung, die mehrere Variablen berücksichtigt.
Zu den Anforderungen an die Anwendungssicherheit sollten Folgendes gehören:
- Das allen Netzwerkeinheiten innewohnende Vertrauensniveau (siehe ISO 27002-Kontrollen 5.17, 8.2 und 8.5).
- Die Klassifizierung der Daten, für deren Verarbeitung die Anwendung konfiguriert ist (einschließlich personenbezogener Daten).
- Eventuelle Trennungsanforderungen.
- Schutz vor internen und externen Angriffen und/oder böswilliger Nutzung.
- Alle geltenden gesetzlichen, vertraglichen oder behördlichen Anforderungen.
- Robuster Schutz vertraulicher Informationen.
- Daten, die während der Übertragung geschützt werden sollen.
- Alle kryptografischen Anforderungen.
- Sichere Ein- und Ausgabekontrollen.
- Minimaler Einsatz uneingeschränkter Eingabefelder – insbesondere solcher, die das Potenzial zur Speicherung personenbezogener Daten bergen.
- Der Umgang mit Fehlermeldungen, einschließlich klarer Kommunikation von Fehlercodes.
Transaktionsdienste
Transaktionsdienste, die den Fluss von Datenschutzdaten zwischen der Organisation und einer Drittorganisation oder Partnerorganisation erleichtern, sollten:
- Stellen Sie ein angemessenes Maß an Vertrauen zwischen den Identitäten der Organisation her.
- Integrieren Sie Mechanismen, die die Vertrauenswürdigkeit zwischen etablierten Identitäten prüfen (z. B. Hashing und digitale Signaturen).
- Skizzieren Sie robuste Verfahren, die regeln, welche Mitarbeiter wichtige Transaktionsdokumente verwalten dürfen.
- Enthalten Dokumenten- und Transaktionsmanagementverfahren, die die Vertraulichkeit, Integrität, Versand- und Empfangsnachweise wichtiger Dokumente und Transaktionen abdecken.
- Fügen Sie spezifische Anleitungen zur Wahrung der Vertraulichkeit von Transaktionen hinzu.
Elektronische Bestell- und Zahlungsanwendungen
Für alle Anwendungen, die elektronische Bestellungen und/oder Zahlungen beinhalten, sollten Organisationen:
- Legen Sie strenge Anforderungen an den Schutz von Zahlungs- und Bestelldaten fest.
- Überprüfen Sie die Zahlungsinformationen, bevor Sie eine Bestellung aufgeben.
- Speichern Sie transaktions- und datenschutzbezogene Daten sicher und für die Öffentlichkeit unzugänglich.
- Nutzen Sie bei der Implementierung digitaler Signaturen vertrauenswürdige Autoritäten und achten Sie stets auf den Schutz der Privatsphäre.
Anwendbare DSGVO-Artikel
- Artikel 5 – (1)(f)
- Artikel 32 – (1)(a)
Relevante ISO 27002-Kontrollen
- ISO 27002 5.17
- ISO 27002 8.2
- ISO 27002 8.5
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Klausel 6.11.1.3 – Schutz von Anwendungsdiensttransaktionen
Referenzen ISO 27002-Steuerung 8.26
Siehe ISO 27701 Abschnitt 6.11.1.2
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.11.1.1 | Analyse und Spezifikation der Informationssicherheitsanforderungen | 5.8 – Informationssicherheit im Projektmanagement für ISO 27002 | Keine Präsentation |
| 6.11.1.2 | Anwendungsdienste in öffentlichen Netzwerken sichern | 8.26 – Anwendungssicherheitsanforderungen für ISO 27002 | Artikel (5), (32) |
| 6.11.1.3 | Schutz von Anwendungsdiensttransaktionen | 8.26 – Anwendungssicherheitsanforderungen für ISO 27002 | Keine Präsentation |
Wie ISMS.online hilft
Unsere All-in-One-Plattform stellt sicher, dass Ihre Datenschutzarbeit mit den Anforderungen jedes Abschnitts der Norm ISO 27701 übereinstimmt und diese erfüllt. Und weil es regulierungsunabhängig ist, können Sie es auf jede Regulierung abbilden, die Sie benötigen.
- Eingebaute Risikobank
- ROPA leicht gemacht
- Sicherer Platz für DRR
Erfahren Sie mehr von eine Demo buchen.
