ISO 27701 Abschnitt 6.9.5: Stärkung der Software-Sicherheitskontrollen
Softwareimplementierungen, Patches, Updates und Neuinstallationen können sich auf vielfältige Weise auf personenbezogene Daten und datenschutzbezogene Vermögenswerte auswirken.
Unternehmen müssen bei der Installation von Anwendungen, Dienstprogrammen und ausführbarem Code auf Betriebssystemen große Sorgfalt walten lassen.
Was in ISO 27701 Abschnitt 6.9.5 behandelt wird
ISO 27701 Abschnitt 6.9.5 enthält nur einen Unterabschnitt (ISO 27701 6.9.5.1), der sich ausschließlich mit der Installation von Software auf Betriebssystemen befasst.
Es gibt keine zusätzlichen PIMS- oder PII-bezogenen Orientierungspunkte, noch gibt es ein damit verbundenes Vereinigtes Königreich Datenschutz Artikel, die es zu berücksichtigen gilt.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.9.5.1 – Installation von Software auf Betriebssystemen
Referenzen ISO 27002-Steuerung 8.19
Um die Verfügbarkeit und Integrität personenbezogener Daten zu schützen und Änderungen zu verwalten, sollten Organisationen:
- Stellen Sie sicher, dass Software-Updates von kompetentem Personal durchgeführt werden (siehe ISO 27002 Kontrolle 8.5).
- Stellen Sie sicher, dass der Code die Entwicklungsphase sicher verlassen hat und frei von Fehlern ist.
- Testen Sie die gesamte Software vor dem Update oder der Installation, um sicherzustellen, dass keine Konflikte oder Fehler auftreten.
- Halten Sie ein Software-Bibliothekssystem auf dem neuesten Stand.
- Pflegen Sie ein „Konfigurationskontrollsystem“ zur Verwaltung der Betriebssoftware.
- Entwerfen Sie eine „Rollback-Strategie“, die Systeme in einen zuvor funktionierenden Zustand zurückversetzt, um die Geschäftskontinuität sicherzustellen.
- Führen Sie ein gründliches Protokoll aller durchgeführten Aktualisierungen.
- Stellen Sie sicher, dass ungenutzte Softwareanwendungen – und das gesamte zugehörige Material – zur weiteren Verwendung und Analyse sicher gespeichert werden.
- Arbeiten Sie mit einer Softwareeinschränkungsrichtlinie, die in Übereinstimmung mit den verschiedenen Rollen und Verantwortlichkeiten der Organisation ausgeführt wird.
Bei der Verwendung von Software eines Anbieters müssen die Anwendungen in einwandfreiem Zustand und in Übereinstimmung mit den Richtlinien des Herausgebers gehalten werden.
Die ISO stellt ausdrücklich klar, dass Unternehmen den Einsatz nicht unterstützter Software vermeiden sollten wenn nicht unbedingt notwendig. Unternehmen sollten versuchen, bestehende Systeme zu aktualisieren, anstatt veraltete oder nicht unterstützte Legacy-Anwendungen zu verwenden.
Ein Anbieter benötigt möglicherweise Zugriff auf das Netzwerk einer Organisation, um eine Installation oder ein Update durchzuführen. Solche Aktivitäten sollten jederzeit genehmigt und überwacht werden (siehe ISO 27002 Control 5.22).
Ergänzende Anleitung
- Organisationen sollten Software gemäß ihren veröffentlichten Änderungsmanagementverfahren aktualisieren, patchen und installieren.
- Patches, die Sicherheitslücken beseitigen oder den Datenschutz des Unternehmens auf andere Weise verbessern, sollten immer als vorrangige Änderung betrachtet werden.
- Organisationen sollten bei der Verwendung von Open-Source-Software große Sorgfalt walten lassen und die neueste öffentlich verfügbare Version ermitteln, um sicherzustellen, dass die Sicherheitsanforderungen in vollem Umfang erfüllt werden.
Unterstützende Kontrollen
- ISO 27002 5.22
- ISO 27002 8.5
Unterstützende Kontrollen gemäß ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.9.5.1 | Installation von Software auf Betriebssystemen | 8.19 – Installation von Software auf Betriebssystemen für ISO 27002 | Keine Präsentation |
Wie ISMS.online hilft
Sie müssen ein Datenschutzinformationsmanagementsystem (PIMS) erstellen, um die ISO 27701-Standards zu erfüllen. Mit unserem vorkonfigurierten PIMS können Sie Kunden-, Lieferanten- und Mitarbeiterinformationen schnell und einfach organisieren und verwalten, um die ISO 27701-Standards vollständig zu erfüllen.
ISMS.online kann auch der wachsenden Zahl globaler, regionaler und branchenspezifischer Datenschutzbestimmungen gerecht werden.
Sie müssen sich zunächst nach ISO 27001 (Informationssicherheit) zertifizieren lassen, um die ISO 27701-Zertifizierung (Datenschutz) zu erhalten. Glücklicherweise kann unsere Plattform Sie bei beiden Zertifizierungen unterstützen.
