עבור לתוכן
ISMS.online

ISO 27701 – סעיף 6.11.2 – אבטחה בתהליכי פיתוח ותמיכה

ISO 27701 סעיף 6.11.2 מדגיש את החשיבות של שילוב אמצעי אבטחה בתהליכי פיתוח ותמיכה להגנה על מידע אישי מזהה (PII), המכסה מדיניות לפיתוח מאובטח, בקרת שינויים וסקירות טכניות.

מְחַבֵּר
טובי קיין
עודכן בספטמבר 19, 2025
4/5 כוכבים

הבנת ISO 27701 סעיף 6.11.2 דרישות

פעילויות פיתוח הפרוסות על פני מספר סביבות שונות מייצגות חשיבות משמעותית עבור ארגונים העוסקים בקטגוריות נתונים שונות, ויש להם צורך להעביר נתונים בין סביבות בדיקה, פיתוח וייצור.

בכל שלב בתהליך הפיתוח, יש לשמור על PII ונכסים הקשורים לפרטיות, ולהעניק להם את אותה רמת הגנה ללא קשר לסביבה שבה הם נמצאים.

מה מכוסה בסעיף 27701 של ISO 6.11.2

ISO 27701 6.11.2 הוא בקרה רחבת היקף המקיפה היבטים מרובים של פעולות פיתוח ובדיקה.

ISO 27701 6.11.2 מכיל לא פחות מ-9 סעיפי משנה נפרדים, שכל אחד מהם מכיל מידע מ- ISO 27002 העוסק בהיבטים של אבטחת פיתוח, המוצגים במסגרת ניהול מידע פרטיות ואבטחת PII:

  • ISO 27701 6.11.2.1 - מדיניות פיתוח מאובטח (ISO 27002 בקרה 8.25)
  • ISO 27701 6.11.2.2 - נהלי בקרת שינוי מערכת (ISO 27002 בקרה 8.32)
  • ISO 27701 6.11.2.3 - סקירה טכנית של יישומים לאחר שינויים בפלטפורמת ההפעלה (ISO 27002 בקרה 8.32)
  • ISO 27701 6.11.2.4 - הגבלות על שינויים בחבילות תוכנה (ISO 27002 Control 8.32)
  • ISO 27701 6.11.2.5 - עקרונות הנדסת מערכות מאובטחות (ISO 27002 בקרה 8.27)
  • ISO 27701 6.11.2.6 – סביבת פיתוח מאובטחת (ISO 27002 בקרה 8.31)
  • ISO 27701 6.11.2.7 - פיתוח במיקור חוץ (ISO 27002 בקרה 8.30)
  • ISO 27701 6.11.2.8 - בדיקות אבטחת מערכת (ISO 27002 בקרה 8.29)
  • ISO 27701 6.11.2.9 - בדיקת קבלת מערכת (ISO 27002 בקרה 8.29)

שני סעיפי משנה (6.11.2.1 ו-6.11.2.6) מכילים הנחיות הרלוונטיות לאלמנטים של בריטניה GDPR חקיקה - סיפקנו את המאמרים להלן, לנוחיותך.

שים לב שהציטוטים של GDPR הם למטרות אינדיקטיביות בלבד. ארגונים צריכים לבחון את החקיקה ולעשות שיקול דעת בעצמם על אילו חלקים בחוק חלים עליהם.



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


ISO 27701 סעיף 6.11.2.1 – מדיניות פיתוח מאובטח

הפניות ISO 27002 בקרה 8.25

ארגונים צריכים להבטיח שמחזור חיי הפיתוח נוצר מתוך מחשבה על הגנת הפרטיות.

כדי להשיג זאת, ארגונים צריכים:

  • פעל עם סביבות פיתוח, בדיקה ופיתוח נפרדות (ראה ISO 27002 בקרה 8.31).
  • פרסם הנחיות בנושא הגנת הפרטיות לאורך מחזור חיי הפיתוח, כולל מתודולוגיות, הנחיות קידוד ושפות תכנות (ראה ISO 27002 בקרות 8.28, 8.27 ו-5.8).
  • תיאור דרישות אבטחה בשלב המפרט והתכנון (ראה ISO 27002 בקרה 5.8).
  • הטמעת מחסומי אבטחה בכל הפרויקטים הרלוונטיים (ראה ISO 27002 בקרה 5.8).
  • לבצע בדיקות מערכת ואבטחה, כולל סריקות קוד ובדיקות חדירה (ראה ISO 27002 בקרה 5.8).
  • הצע מאגרים מאובטחים עבור כל קוד המקור (ראה ISO 27002 בקרות 8.4 ו-8.9).
  • יש להפעיל נהלי בקרת גרסאות מחמירים (ראה ISO 27002 בקרה 8.32).
  • הצע לצוות הגנה על פרטיות והדרכה באבטחת יישומים (ראה ISO 27002 בקרה 8.28).
  • ניתוח יכולת של מפתחים לאתר, למתן ולמגר פגיעויות (ראה ISO 27002 בקרה 8.28).
  • תיעוד כל דרישות רישוי רווחות או עתידיות (ראה ISO 27002 בקרה 8.30).

מאמרי GDPR ישימים

  • סעיף 25 - (1)

בקרות ISO 27002 רלוונטיות

  • ISO 27002 5.8
  • ISO 27002 8.4
  • ISO 27002 8.9
  • ISO 27002 8.27
  • ISO 27002 8.28
  • ISO 27002 8.30
  • ISO 27002 8.31

ISO 27701 סעיף 6.11.2.2 - נהלי בקרת שינוי מערכת

הפניות ISO 27002 בקרה 8.32

יש ליישם נהלי ניהול שינויים חזקים המבטיחים את הסודיות, השלמות והזמינות של מידע PII ומידע הקשור לפרטיות, הן במתקני עיבוד מידע פרטיות והן במערכות מידע פרטיות.

תהליכי בקרת שינויים ארגוניים ונהלים צריכים לכלול:

  • הערכות השפעה יסודיות.
  • כיצד מאושרים שינויים.
  • כיצד מועברים שינויים לכל הגורמים הרלוונטיים.
  • בדיקות קבלה (ראה ISO 27002 בקרה 8.29).
  • שנה תוכניות פריסה.
  • תכנון מגירה.
  • רישום יסודי של כל הפעילות הקשורה לשינוי.
  • עדכונים לכל תיעוד המשתמש והתפעול התומך, תוכניות המשכיות ונהלי BUDR (ראה ISO 27002 בקרות 5.37 ו-5.20).

בקרות ISO 27002 רלוונטיות

  • ISO 27002 5.20
  • ISO 27002 5.37
  • ISO 27002 8.29


טיפוס

שחררו את עצמכם מהר של גיליונות אלקטרוניים

הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.

הזמן את ההדגמה שלך


ISO 27701 סעיף 6.11.2.3 - סקירה טכנית של יישומים לאחר שינויים בפלטפורמה ההפעלה

הפניות ISO 27002 בקרה 8.32

ראה ISO 27701 סעיף 6.11.2.2

ISO 27701 סעיף 6.11.2.4 - הגבלות על שינויים בחבילות תוכנה

הפניות ISO 27002 בקרה 8.32

ראה ISO 27701 סעיף 6.11.2.2

ISO 27701 סעיף 6.11.2.5 - עקרונות הנדסת מערכות מאובטחות

הפניות ISO 27002 בקרה 8.27

מערכת ארגונית צריכה להיות מתוכננת, מתועדת, מיושמת ומתוחזקת תוך מחשבה על הגנת הפרטיות.

עקרונות הנדסה צריכים לנתח:

  • מגוון רחב של בקרות אבטחה הנדרשות כדי להגן על PII מפני איומים ספציפיים וכלליים.
  • עד כמה בקרות האבטחה מצוידות כדי להתמודד עם אירועי אבטחה גדולים.
  • בקרות ממוקדות הנבדלות לתהליכים עסקיים בודדים.
  • איפה ברשת ו אֵיך יש ליישם בקרות אבטחה.
  • כיצד פקדים שונים פועלים בהרמוניה אחד עם השני.

עקרונות הנדסה צריכים לקחת בחשבון:

  • אינטגרציה אדריכלית.
  • אמצעי אבטחה טכניים (הצפנה, IAM, DAM וכו').
  • עד כמה מצויד הארגון ליישם ולתחזק את הפתרון הנבחר.
  • הנחיות לשיטות עבודה מומלצות בתעשייה.

הנדסת מערכות מאובטחת צריכה לכלול:

  • עקרונות אדריכליים מבוססים היטב בתקן התעשייה.
  • סקירת עיצוב רחבה שמזהה נקודות תורפה ועוזרת ליצור גישה מקצה לקצה לדבקות.
  • חשיפה מלאה של בקרות אבטחה שאינן עומדות בדרישות הצפויות.
  • התקשות המערכת.

ברירת המחדל של הארגון לגישת 'אפס אמון' לאבטחה, על ידי:

  • לא להסתמך על אבטחת שער בבידוד.
  • מחפש כל הזמן אימות בכל המערכות.
  • אכיפת הצפנה מקצה לקצה בכל המערכות הרלוונטיות.
  • סיווג כל בקשה למידע או גישה כאילו הגיעה מחוץ לארגון, ממקור לא מהימן.
  • פועלים לפי העקרונות של 'הזכות הקטנה ביותר', ושימוש בטכניקות בקרת גישה דינמית (ראה ISO 27002 בקרות 5.15, 5.18 ו-8.2).
  • תמיד לאכוף בקרות אימות חזקות, כולל MFA (ראה ISO 27002 Control 8.5).

כאשר הארגון מעביר פיתוח למיקור חוץ לארגוני צד שלישי, יש לעשות מאמצים להבטיח שעקרונות האבטחה של השותף מתאימים לעקרונות האבטחה של הארגון.

מאמרי GDPR ישימים

  • סעיף 25 - (1)

בקרות ISO 27002 רלוונטיות

  • ISO 27002 5.15
  • ISO 27002 5.18
  • ISO 27002 8.2
  • ISO 27002 8.5

ISO 27701 סעיף 6.11.2.6 – סביבת פיתוח מאובטחת

הפניות ISO 27002 בקרה 8.31

כדי להגן על PII ונכסים הקשורים לפרטיות, ארגונים צריכים להבטיח זאת פיתוח, בדיקות ו הפקה סביבות מופרדות ומאובטחות.

כדי להשיג זאת, הארגון צריך:

  • הפרד סביבות שונות בתחומים נפרדים.
  • בניית תהליכים השולטים כיצד תוכנה מועברת מפיתוח לייצור.
  • השתמש בסביבות בדיקה ובימוי (ראה ISO 27002 בקרה 8.29).
  • מניעת בדיקות בסביבות ייצור.
  • הפעל בקרה קפדנית על השימוש ביישומי שירות בסביבות חיות.
  • תיוג בבירור כל סביבה על פני מערכות, נכסים ויישומים שונים.
  • מנע העתקה של נתונים רגישים (במיוחד PII) מהסביבה החיה לסביבות אחרות, ללא שימוש בבקרות מתאימות לשמירה על שלמותם וזמינותם.

הגנה על סביבות פיתוח ובדיקה

כדי להגן על נתונים בסביבות פיתוח ובדיקה, ארגונים צריכים:

  • פעל עם מדיניות תיקון רחבה.
  • ודא שכל המערכות והיישומים מוגדרים בצורה מאובטחת בהתאם להנחיות השיטות המומלצות.
  • נהל מקרוב את הגישה לסביבות פיתוח ובדיקה.
  • ודא שכל שינוי בסביבות האמורות מנוטר.
  • חוקק קבוצה רחבה של פרוטוקולי BUDR.
  • ודא שאף עובד אחד לא מסוגל לבצע שינויים בסביבות הפיתוח והייצור ללא סקירת ההנהלה ותהליך אישורים יסודי.

ISO מבהיר במפורש שצוות הפיתוח והבדיקות מהווים סיכון לא פרופורציונלי ל-PII - בין אם ישירות עקב פעולות זדוניות, או בשוגג עקב טעויות בתהליך הפיתוח.

חשוב מאוד שלאף עובד בודד לא תהיה את היכולת לבצע תיקונים הן בסביבות הפיתוח והייצור והן בתוך סביבות הפיתוח והייצור ללא אישור מתאים, כולל סקירה של השינויים הנדרשים ואישור רב-שלבי (ראה ISO 27002 בקרה 8.33).

ארגונים צריכים להקפיד על שלמות וזמינות של PII לאורך תהליך הפיתוח והבדיקה, כולל סביבות ייצור מרובות, סביבות הדרכה והפרדת תפקידים.

בקרות ISO 27002 רלוונטיות

  • ISO 27002 8.29


ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


ISO 27701 סעיף 6.11.2.7 – פיתוח במיקור חוץ

הפניות ISO 27002 בקרה 8.30

אם מתעורר צורך במיקור חוץ לפיתוח, ארגונים צריכים להבטיח ששיטות האבטחה של צד שלישי תואמות את שיטות האבטחה שלהם.

ארגונים צריכים לתקשר בבירור את הדרישות שלהם מההתחלה, ולהעריך ללא הרף את יכולתו של שותף הפיתוח לעשות את המצופה מהם.

ארגונים צריכים לשקול:

  1. רישוי, בעלות וזכויות IP (ראה ISO 27002 בקרה 5.32).
  2. נקודות חוזיות העוסקות עיצוב, קידוד ו בדיקות (ראה ISO 27002 בקרות 8.25 ו-8.29).
  3. מתן מודל איום עדכני לצדדים שלישיים.
  4. דרישות בדיקה, הן בעת ​​אספקה ​​והן מתמשכות – בדיקות קבלה, בדיקות פגיעות, בדיקות פנימיות של תוכנות זדוניות ודוחות אבטחת אבטחה (ראה ISO 27002 בקרה 8.29).
  5. אמצעי הגנה של קוד מקור, כגון שירות נאמנות המגן מפני אובדן עסק מצד המפתח.
  6. זכות הארגון לבקר כל תהליכי פיתוח.
  7. רשימה של דרישות אבטחה עבור סביבת הפיתוח (ראה ISO 27002 בקרה 8.31);
  8. והתחייבויות חוזיות חקיקתיות, רגולטוריות או קיימות מראש.

בקרות ISO 27002 רלוונטיות

  • ISO 27002 5.32
  • ISO 27002 8.25
  • ISO 27002 8.29
  • ISO 27002 8.31

ISO 27701 סעיף 6.11.2.8 - בדיקת אבטחת מערכת

הפניות ISO 27002 בקרה 8.29

ארגונים צריכים להבטיח שכאשר קוד נפרס ו/או מועבר בכל דרך מסביבת פיתוח לסביבה חיה, הגנת הפרטיות תטופל בראש סדר העדיפויות ו-PII מוגן מפני כל אובדן שלמות או זמינות.

הבדיקה צריכה לכלול:

  • פונקציות אבטחת רשת סטנדרטיות (למשל התחברות משתמש, הצפנה) (ראה ISO 27002 בקרות 8.5, 8.3 ו-8.24).
  • קידוד מאובטח.
  • תצורות מאובטחות בכל התקני הרשת ורכיבי האבטחה (ראה ISO 27002 בקרות 8.9, 8.20 ו-8.22).

תוכניות בדיקה

כל תוכניות הבדיקה צריכות להיות פרופורציונליות ישירות למערכת שהם בודקים, ולהיקף השינוי או מערך הנתונים שאליהם הם מכוונים.

תוכניות בדיקה צריכות לכלול מגוון של כלי אוטומציה ולהכיל:

  • לוח בדיקות מקיף.
  • תוצאות צפויות במגוון תנאים.
  • קריטריונים לבדיקה, לצורכי הערכה.
  • פעולות המשך, המבוססות על תוצאות צפויות או חריגות.

בדיקות פיתוח פנימיות צריכות להיות מאומתות תמיד על ידי מומחה צד שלישי. בדיקות כאלה צריכות לכלול:

  • זיהוי ליקוי אבטחה (ביקורות קוד וכו').
  • סריקת פגיעות.
  • בדיקות חדירה מובנות.

ISO ממליצה שכל הבדיקות יתבצעו בסביבה המשקפת את סביבת הייצור בכמה שיותר דרכים, כדי להבטיח סדרה מדויקת ומעשית של תפוקות שבהן ניתן לאמוד את הביצועים (ראה ISO 27002 בקרה 8.31).

בקרות ISO 27002 רלוונטיות

  • ISO 27002 8.3
  • ISO 27002 8.5
  • ISO 27002 8.9
  • ISO 27002 8.20
  • ISO 27002 8.22
  • ISO 27002 8.24
  • ISO 27002 8.31

ISO 27701 סעיף 6.11.2.9 - בדיקת קבלת מערכת

הפניות ISO 27002 בקרה 8.29

ראה ISO 27701 סעיף 6.11.2.8

בקרות תומכות מ-ISO 27002 ו-GDPR

מזהה סעיף ISO 27701 שם סעיף ISO 27701 דרישת ISO 27002 מאמרי GDPR משויכים
6.11.2.1 מדיניות פיתוח מאובטח 8.25 - מחזור חיים של פיתוח מאובטח עבור ISO 27002 סעיף (25)
6.11.2.2 נהלי בקרת שינוי מערכת 8.32 – ניהול שינויים עבור ISO 27002 ללא חתימה
6.11.2.3 סקירה טכנית של יישומים לאחר שינויים בפלטפורמה ההפעלה 8.32 – ניהול שינויים עבור ISO 27002 ללא חתימה
6.11.2.4 הגבלות על שינויים בחבילות תוכנה 8.32 – ניהול שינויים עבור ISO 27002 ללא חתימה
6.11.2.5 עקרונות הנדסת מערכות מאובטחות 8.27 – ארכיטקטורת מערכת מאובטחת ועקרונות הנדסה עבור ISO 27002 סעיף (25)
6.11.2.6 סביבת פיתוח מאובטחת 8.31 – הפרדת סביבות פיתוח, בדיקה וייצור עבור ISO 27002 ללא חתימה
6.11.2.7 פיתוח במיקור חוץ 8.30 – פיתוח במיקור חוץ עבור ISO 27002 ללא חתימה
6.11.2.8 בדיקת אבטחת מערכת 8.29 – בדיקות אבטחה בפיתוח וקבלה ל-ISO 27002 ללא חתימה
6.11.2.9 בדיקת קבלת מערכת 8.29 – בדיקות אבטחה בפיתוח וקבלה ל-ISO 27002 ללא חתימה

כיצד ISMS.online עוזר

על מנת להשיג את תקן ISO 27701 עליך לבנות מערכת ניהול מידע פרטיות (PIMS). עם ה-PIMS המוגדר מראש שלנו, אתה יכול לארגן ולנהל במהירות ובקלות מידע על לקוחות, ספקים וצוות כדי לעמוד במלואו בתקן ISO 27701.

אתה יכול גם להכיל את המספר ההולך וגדל של תקנות פרטיות גלובליות, אזוריות וספציפיות למגזר שאנו תומכים בפלטפורמת ISMS.online.

כדי להשיג הסמכה ל-ISO 27701 (פרטיות) עליך להשיג תחילה הסמכה ל-ISO 27001 (אבטחת מידע). החדשות הטובות הן שהפלטפורמה שלנו יכולה לעזור לך לעשות את שניהם.

למידע נוסף על ידי הזמנת הדגמה מעשית.

טובי קיין

מנהל הצלחת לקוחות שותף

טובי קיין הוא מנהל שותפים בכיר להצלחה ב-ISMS.online. הוא עובד בחברה קרוב ל-4 שנים ומילא מגוון תפקידים, כולל אירוח וובינרים. לפני שעבד ב-SaaS, טובי היה מורה בבית ספר תיכון.

לינקדין

סעיפי ISO 27701

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

מוכן להתחיל?

הזמן הדגמה