Comprendre les exigences de la clause 27701 de la norme ISO 6.11.2
Les activités de développement réparties sur plusieurs environnements distincts représentent un défi important pour les organisations qui gèrent différentes catégories de données et ont besoin de déplacer les données entre les environnements de test, de développement et de production.
À chaque étape du processus de développement, les informations personnelles et les actifs liés à la confidentialité doivent être sauvegardés et bénéficier du même niveau de protection quel que soit l'environnement dans lequel ils se trouvent.
Ce qui est couvert par la clause 27701 de la norme ISO 6.11.2
La norme ISO 27701 6.11.2 est un contrôle étendu qui englobe de multiples aspects des opérations de développement et de test.
L'ISO 27701 6.11.2 contient pas moins de 9 sous-paragraphes distincts, chacun contenant des informations provenant de ISO 27002 qui traite des aspects de la sécurité du développement, présentés dans le cadre de la gestion des informations confidentielles et de la sécurité des informations personnelles :
- ISO 27701 6.11.2.1 – Politique de développement sécurisé (ISO 27002 Contrôle 8.25)
- ISO 27701 6.11.2.2 – Procédures de contrôle des modifications du système (ISO 27002 Control 8.32)
- ISO 27701 6.11.2.3 – Revue technique des applications après changement de plateforme d'exploitation (ISO 27002 Contrôle 8.32)
- ISO 27701 6.11.2.4 – Restrictions de modifications des progiciels (ISO 27002 Contrôle 8.32)
- ISO 27701 6.11.2.5 – Principes d'ingénierie des systèmes sécurisés (ISO 27002 Control 8.27)
- ISO 27701 6.11.2.6 – Environnement de développement sécurisé (ISO 27002 Contrôle 8.31)
- ISO 27701 6.11.2.7 – Développement externalisé (ISO 27002 Contrôle 8.30)
- ISO 27701 6.11.2.8 – Tests de sécurité du système (ISO 27002 Control 8.29)
- ISO 27701 6.11.2.9 – Tests d'acceptation du système (ISO 27002 Contrôle 8.29)
Deux sous-paragraphes (6.11.2.1 et 6.11.2.6) contiennent des indications pertinentes pour les éléments du Royaume-Uni. GDPR législation – nous avons fourni les articles ci-dessous, pour votre commodité.
Veuillez noter que les citations du RGPD sont uniquement à titre indicatif. Les organisations doivent examiner la législation et se forger leur propre jugement sur les parties de la loi qui s'appliquent à elles.
La norme ISO 27001 simplifiée
Une avance de 81 % dès le premier jour
Nous avons fait le plus gros du travail pour vous, en vous offrant une avance de 81 % dès votre connexion. Il ne vous reste plus qu'à remplir les champs.
ISO 27701 Clause 6.11.2.1 – Politique de développement sécurisé
Références ISO 27002 Contrôle 8.25
Les organisations doivent s’assurer que le cycle de vie du développement est créé en gardant à l’esprit la protection de la vie privée.
Pour y parvenir, les organisations doivent :
- Travailler avec des environnements de développement, de test et de développement distincts (voir ISO 27002 Contrôle 8.31).
- Publier des conseils sur la protection de la vie privée tout au long du cycle de vie du développement, y compris les méthodologies, les directives de codage et les langages de programmation (voir ISO 27002 Contrôles 8.28, 8.27 et 5.8).
- Décrire les exigences de sécurité dans la phase de spécification et de conception (voir ISO 27002 Contrôle 5.8).
- Mettre en œuvre des points de contrôle de sécurité dans tous les projets pertinents (voir ISO 27002 Contrôle 5.8).
- Entreprendre des tests de système et de sécurité, y compris des analyses de code et des tests d'intrusion (voir ISO 27002 Contrôle 5.8).
- Proposez des référentiels sécurisés pour tout le code source (voir ISO 27002 Controls 8.4 et 8.9).
- Appliquer des procédures strictes de contrôle de version (voir ISO 27002 Contrôle 8.32).
- Proposer au personnel une formation sur la protection de la vie privée et la sécurité des applications (voir ISO 27002 Contrôle 8.28).
- Analyser la capacité des développeurs à localiser, atténuer et éradiquer les vulnérabilités (voir ISO 27002 Control 8.28).
- Documentez toutes les exigences de licence actuelles ou futures (voir ISO 27002 Contrôle 8.30).
Articles applicables du RGPD
- Article 25 – (1)
Contrôles ISO 27002 pertinents
- ISO 27002 5.8
- ISO 27002 8.4
- ISO 27002 8.9
- ISO 27002 8.27
- ISO 27002 8.28
- ISO 27002 8.30
- ISO 27002 8.31
ISO 27701 Clause 6.11.2.2 – Procédures de contrôle des modifications du système
Références ISO 27002 Contrôle 8.32
Des procédures robustes de gestion des changements doivent être mises en œuvre pour garantir la confidentialité, l'intégrité et la disponibilité des informations personnelles et des informations liées à la confidentialité, à la fois au sein des installations de traitement des informations confidentielles et des systèmes d'informations confidentielles.
Les processus et procédures de contrôle des changements organisationnels doivent inclure :
- Des évaluations d’impact approfondies.
- Comment les changements sont autorisés.
- Comment les changements sont communiqués à toutes les parties concernées.
- Tests d'acceptation (voir ISO 27002 Contrôle 8.29).
- Modifier les plans de déploiement.
- La planification d'urgence.
- Un enregistrement complet de toutes les activités liées au changement.
- Mises à jour de toute la documentation d'utilisation et d'exploitation, des plans de continuité et des procédures BUDR (voir ISO 27002 Contrôles 5.37 et 5.20).
Contrôles ISO 27002 pertinents
- ISO 27002 5.20
- ISO 27002 5.37
- ISO 27002 8.29
Libérez-vous d'une montagne de feuilles de calcul
Intégrez, développez et faites évoluer votre conformité, sans complications. IO vous offre la résilience et la confiance nécessaires pour croître en toute sécurité.
ISO 27701 Clause 6.11.2.3 – Examen technique des applications après des modifications de la plate-forme d'exploitation
Références ISO 27002 Contrôle 8.32
Voir la norme ISO 27701, article 6.11.2.2.
ISO 27701 Clause 6.11.2.4 – Restrictions de modifications des progiciels
Références ISO 27002 Contrôle 8.32
Voir la norme ISO 27701, article 6.11.2.2.
ISO 27701 Clause 6.11.2.5 – Principes d'ingénierie des systèmes sécurisés
Références ISO 27002 Contrôle 8.27
Le système organisationnel doit être conçu, documenté, mis en œuvre et maintenu en gardant à l’esprit la protection de la vie privée.
Les principes d’ingénierie doivent analyser :
- Un large éventail de contrôles de sécurité nécessaires pour protéger les informations personnelles contre des menaces spécifiques et généralisées.
- Dans quelle mesure les contrôles de sécurité sont-ils bien équipés pour faire face aux événements de sécurité majeurs.
- Contrôles ciblés distincts des processus métier individuels.
- Où sur le réseau et how des contrôles de sécurité doivent être mis en œuvre.
- Comment les différentes commandes fonctionnent en harmonie les unes avec les autres.
Les principes d'ingénierie doivent prendre en compte :
- Intégration architecturale.
- Mesures techniques de sécurité (chiffrement, IAM, DAM etc).
- Dans quelle mesure l’organisation est-elle équipée pour mettre en œuvre et maintenir la solution choisie.
- Lignes directrices sur les meilleures pratiques de l’industrie.
L’ingénierie des systèmes sécurisés doit englober :
- Principes architecturaux bien établis et conformes aux normes de l’industrie.
- Une revue de conception approfondie qui identifie les vulnérabilités et aide à élaborer une approche de bout en bout en matière d’adhésion.
- Divulgation complète de tout contrôle de sécurité qui ne répond pas aux exigences attendues.
- Durcissement du système.
Les organisations devraient par défaut adopter une approche « confiance zéro » en matière de sécurité, en :
- Ne pas compter sur la sécurité de la passerelle de manière isolée.
- Rechercher continuellement une vérification sur tous les systèmes.
- Appliquer le cryptage de bout en bout sur tous les systèmes concernés.
- Catégoriser chaque demande d'information ou d'accès comme si elle provenait de l'extérieur de l'organisation, d'une source non fiable.
- Fonctionnant selon les principes du « moindre privilège » et utilisant des techniques de contrôle d'accès dynamique (voir ISO 27002 Contrôles 5.15, 5.18 et 8.2).
- Appliquer toujours des contrôles d'authentification robustes, y compris MFA (voir ISO 27002 Control 8.5).
Lorsque l'organisation sous-traite le développement à des organisations tierces, des efforts doivent être faits pour garantir que les principes de sécurité du partenaire sont alignés sur ceux de l'organisation.
Articles applicables du RGPD
- Article 25 – (1)
Contrôles ISO 27002 pertinents
- ISO 27002 5.15
- ISO 27002 5.18
- ISO 27002 8.2
- ISO 27002 8.5
ISO 27701 Clause 6.11.2.6 – Environnement de développement sécurisé
Références ISO 27002 Contrôle 8.31
Pour protéger les informations personnelles et les actifs liés à la confidentialité, les organisations doivent s'assurer que développant, vers les tests et production les environnements sont séparés et sécurisés.
Pour y parvenir, l'organisation doit :
- Séparez les différents environnements dans des domaines distincts.
- Créez des processus qui régissent la manière dont les logiciels passent du développement à la production.
- Utiliser des environnements de test et de préparation (voir ISO 27002 Control 8.29).
- Empêchez les tests dans les environnements de production.
- Appliquez des contrôles stricts sur l’utilisation des applications utilitaires dans les environnements réels.
- Étiquetez clairement chaque environnement sur divers systèmes, actifs et applications.
- Empêchez la copie de données sensibles (en particulier les données personnelles) de l'environnement réel vers d'autres environnements, sans utiliser de contrôles appropriés pour protéger leur intégrité et leur disponibilité.
Protection des environnements de développement et de test
Pour protéger les données dans les environnements de développement et de test, les organisations doivent :
- Opérez avec une politique de correctifs étendue.
- Assurez-vous que tous les systèmes et applications sont configurés en toute sécurité conformément aux directives des meilleures pratiques.
- Gérez étroitement l’accès aux environnements de développement et de test.
- Assurez-vous que toute modification apportée auxdits environnements est surveillée.
- Adoptez un large éventail de protocoles BUDR.
- Assurez-vous qu'aucun employé n'est en mesure d'apporter des modifications aux environnements de développement et de production sans un examen de la direction et un processus d'approbation approfondi.
L'ISO indique clairement que le personnel de développement et de test présente un risque disproportionné pour les informations personnelles – soit directement en raison d'actions malveillantes, soit par inadvertance en raison d'erreurs dans le processus de développement.
Il est d'une importance vitale qu'aucun employé n'ait la capacité d'apporter des modifications aux et au sein des environnements de développement et de production sans autorisation appropriée, y compris un examen des modifications requises et une approbation en plusieurs étapes (voir ISO 27002 Contrôle 8.33).
Les organisations doivent veiller particulièrement à garantir l'intégrité et la disponibilité des informations personnelles tout au long du processus de développement et de test, y compris dans plusieurs environnements de production en direct, dans les environnements de formation et dans la séparation des tâches.
Contrôles ISO 27002 pertinents
- ISO 27002 8.29
Gérez toute votre conformité, en un seul endroit
ISMS.online prend en charge plus de 100 normes et réglementations, vous offrant une plate-forme unique pour tous vos besoins de conformité.
ISO 27701 Clause 6.11.2.7 – Développement externalisé
Références ISO 27002 Contrôle 8.30
Si le besoin s’en fait sentir d’externaliser le développement, les organisations doivent s’assurer que les pratiques de sécurité des tiers sont alignées sur les leurs.
Les organisations doivent communiquer clairement leurs exigences dès le départ et évaluer continuellement la capacité du partenaire de développement à faire ce que l'on attend d'eux.
Les organisations devraient considérer :
- Licences, propriété et droits de propriété intellectuelle (voir ISO 27002 Contrôle 5.32).
- Points contractuels qui traitent unique, Coding et vers les tests (voir ISO 27002 Contrôles 8.25 et 8.29).
- Fournir aux tiers un modèle de menace à jour.
- Exigences en matière de tests, à la fois lors de la livraison et en continu : tests d'acceptation, tests de vulnérabilité, tests internes de logiciels malveillants et rapports d'assurance de sécurité (voir ISO 27002 Contrôle 8.29).
- Protections du code source, telles qu'un service de dépôt fiduciaire qui protège contre la perte d'activité de la part du développeur.
- Le droit de l’organisation d’auditer tout processus de développement.
- Une liste d'exigences de sécurité pour l'environnement de développement (voir ISO 27002 Contrôle 8.31) ;
- Et les obligations législatives, réglementaires ou contractuelles préexistantes.
Contrôles ISO 27002 pertinents
- ISO 27002 5.32
- ISO 27002 8.25
- ISO 27002 8.29
- ISO 27002 8.31
ISO 27701 Clause 6.11.2.8 – Tests de sécurité du système
Références ISO 27002 Contrôle 8.29
Les organisations doivent s'assurer que, lorsque le code est déployé et/ou déplacé de quelque manière que ce soit d'un environnement de développement vers l'environnement réel, la protection de la vie privée est traitée comme une priorité et les informations personnelles sont protégées contre toute perte d'intégrité ou de disponibilité.
Les tests doivent inclure :
- Fonctions de sécurité réseau standardisées (par exemple connexion utilisateur, cryptage) (voir ISO 27002 Contrôles 8.5, 8.3 et 8.24).
- Codage sécurisé.
- Configurations sécurisées sur tous les périphériques réseau et composants de sécurité (voir ISO 27002 Contrôles 8.9, 8.20 et 8.22).
Plans de test
Tous les plans de test doivent être directement proportionnels au système qu'ils testent et à l'ampleur du changement ou de l'ensemble de données vers lequel ils sont ciblés.
Les plans de test doivent inclure une gamme d’outils d’automatisation et comprendre :
- Un calendrier de tests complet.
- Résultats attendus dans une variété de conditions.
- Critères de test, à des fins d'évaluation.
- Actions de suivi, basées sur les résultats attendus ou anormaux.
Les tests de développement en interne doivent toujours être vérifiés par un spécialiste tiers. Ces tests devraient inclure :
- Identification des failles de sécurité (revues de code, etc.).
- Analyse des vulnérabilités.
- Tests d'intrusion structurés.
L'ISO recommande que tous les tests soient effectués dans un environnement qui reflète autant que possible l'environnement de production, afin de garantir une série de résultats précis et pratiques avec lesquels évaluer les performances (voir ISO 27002 Contrôle 8.31).
Contrôles ISO 27002 pertinents
- ISO 27002 8.3
- ISO 27002 8.5
- ISO 27002 8.9
- ISO 27002 8.20
- ISO 27002 8.22
- ISO 27002 8.24
- ISO 27002 8.31
ISO 27701 Clause 6.11.2.9 – Tests d'acceptation du système
Références ISO 27002 Contrôle 8.29
Voir la norme ISO 27701, article 6.11.2.8.
Prise en charge des contrôles ISO 27002 et RGPD
| Identificateur de clause ISO 27701 | Nom de la clause ISO 27701 | Exigence ISO 27002 | Articles associés au RGPD |
|---|---|---|---|
| 6.11.2.1 | Politique de développement sécuritaire | 8.25 – Cycle de vie de développement sécurisé pour ISO 27002 | Article (25) |
| 6.11.2.2 | Procédures de contrôle des modifications du système | 8.32 – Gestion du changement pour ISO 27002 | Aucun |
| 6.11.2.3 | Examen technique des applications après les modifications de la plateforme d'exploitation | 8.32 – Gestion du changement pour ISO 27002 | Aucun |
| 6.11.2.4 | Restrictions de modifications des progiciels | 8.32 – Gestion du changement pour ISO 27002 | Aucun |
| 6.11.2.5 | Principes d'ingénierie des systèmes sécurisés | 8.27 – Architecture de système sécurisée et principes d’ingénierie pour ISO 27002 | Article (25) |
| 6.11.2.6 | Environnement de développement sécurisé | 8.31 – Séparation des environnements de développement, de test et de production pour ISO 27002 | Aucun |
| 6.11.2.7 | Développement externalisé | 8.30h27002 – Développement externalisé pour ISO XNUMX | Aucun |
| 6.11.2.8 | Tests de sécurité du système | 8.29 – Tests de sécurité en cours de développement et d’acceptation pour la norme ISO 27002 | Aucun |
| 6.11.2.9 | Tests d'acceptation du système | 8.29 – Tests de sécurité en cours de développement et d’acceptation pour la norme ISO 27002 | Aucun |
Comment ISMS.online vous aide
Afin d'atteindre la norme ISO 27701, vous devez créer un système de gestion des informations confidentielles (PIMS). Avec notre PIMS préconfiguré, vous pouvez organiser et gérer rapidement et facilement les informations sur les clients, les fournisseurs et le personnel pour vous conformer pleinement à la norme ISO 27701.
Vous pouvez également vous adapter au nombre croissant de réglementations mondiales, régionales et sectorielles en matière de confidentialité que nous soutenons sur la plateforme ISMS.online.
Pour obtenir la certification ISO 27701 (confidentialité), vous devez d'abord obtenir la certification ISO 27001 (sécurité de l'information). La bonne nouvelle est que notre plateforme peut vous aider à faire les deux.
Pour en savoir plus, consultez réserver une démo pratique.
