Hyppää aiheeseen
Mikä on liitteen A.8.1 tavoite?
Liite A.8.1 koskee vastuuta omaisuudesta. Tämän liitteen tavoitteena on tunnistaa hallintajärjestelmän soveltamisalaan kuuluvat tietovarat ja määritellä asianmukaiset suojavastuut.
Se on tärkeä osa tietoturvan hallintajärjestelmää (ISMS), varsinkin jos haluat saavuttaa ISO 27001 -sertifikaatin.
A.8.1.1 Omaisuusluettelo
Kaikki tietoihin ja tietojenkäsittelytoimintoihin liittyvät varat on tunnistettava ja hallittava koko elinkaaren ajan aina ajan tasalla.
Näistä varoista on koottava rekisteri tai luettelo, josta käy ilmi, kuinka niitä hallinnoidaan ja valvotaan niiden tärkeyden perusteella (joka myös sopii hyvin alla olevaan tietoluokitukseen). Tämä tiedon elinkaari sisältää yleensä luomis-, käsittely-, tallennus-, lähetys-, poisto- ja tuhoamisvaiheet.
A.8.1.2 Omaisuuden omistusoikeus
Kaikilla tietovaroilla on oltava omistajat. Omaisuuden hallinnan omistus voi erota myös laillisesta omistajuudesta, ja se voidaan tehdä yksittäisellä tasolla, osastolla tai muulla taholla. Omistusoikeus tulee luovuttaa, kun omaisuutta luodaan.
Omaisuuden omistaja on vastuussa omaisuuden tehokkaasta hoidosta omaisuuden koko elinkaaren ajan. He voivat delegoida myös sen hallinnan, ja omistus voi muuttua elinkaaren aikana, kunhan molemmat dokumentoidaan.
A.8.1.3 Omaisuuden hyväksyttävä käyttö
Tiedon ja omaisuuden hyväksyttävä käyttö on tärkeää, jotta se onnistuu oikein. Omaisuuden hyväksyttävää käyttöä koskevat säännöt dokumentoidaan usein "Hyväksyttävää käyttöä koskevassa käytännössä". Hyväksyttävää käyttöä koskevissa säännöissä on otettava huomioon työntekijät, väliaikaiset työntekijät, urakoitsijat ja muut kolmannet osapuolet soveltuvin osin heidän käytettävissään olevan tietoresurssin osalta.
On tärkeää, että kaikilla asianosaisilla on pääsy dokumentoituihin hyväksyttävän käytön sääntöihin ja niitä vahvistetaan säännöllisen koulutuksen ja tietoturvatietoisuuden sekä vaatimustenmukaisuuteen liittyvän toiminnan yhteydessä.
A.8.1.4 Omaisuuden palauttaminen
Kaikkien työntekijöiden ja ulkopuolisten osapuolien käyttäjien odotetaan palauttavan kaikki organisaatio- ja tietovarat työsuhteen, sopimuksen tai sopimuksen päättyessä. Sellaisenaan työntekijöiden ja ulkopuolisten käyttäjien tulee olla velvollisuus palauttaa kaikki omaisuus, ja näitä velvoitteita edellytetään henkilöstön, urakoitsijoiden ja muiden kanssa tehdyissä sopimuksissa.
Vankka, dokumentoitu prosessi vaaditaan myös sen varmistamiseksi, että omaisuuden palautusta hallinnoidaan asianmukaisesti ja että se voidaan todistaa jokaisen sen läpikäyvän henkilön tai toimittajan osalta – tämä on linjassa liitteessä 7 henkilöstöturvaa koskevaan poistumisvalvontaan ja liitteeseen 13.2.4. salassapitosopimusten osalta ja liite A.15 toimittajatoiminnan osalta.
Jos omaisuutta ei palauteta prosessin mukaisesti, ellei toisin ole sovittu ja dokumentoitu osana poistumisprosessia, palauttamatta jättäminen on kirjattava tietoturvaloukkauksena ja seurattava liitteen A.16 mukaisesti. Omaisuuden palautusmenettely ei ole koskaan idioottivarma, ja tämä korostaa myös omaisuuden säännöllisen tarkastuksen tarvetta niiden jatkuvan suojan varmistamiseksi.
Mikä on liitteen A.8.2 tavoite?
Liite A.8.2 koskee tietojen luokittelua. Tämän liitteen tavoitteena on varmistaa, että tiedot saavat asianmukaisen suojan sen mukaan, miten ne ovat tärkeitä organisaatiolle (ja asianomaisille osapuolille, kuten asiakkaille).
A.8.2.1 Tietojen luokitus
Tiedot on luokiteltava lakisääteisten vaatimusten, arvon, kriittisyyden ja luvattoman paljastamisen tai muutoksen herkkyyden perusteella. Ihanteellisessa tapauksessa ne on luokiteltava siten, että ne kuvastavat liiketoimintaa sen sijaan, että ne estävät tai vaikeuttaisivat sitä. Esimerkiksi tiedot, jotka on asetettu julkisesti saataville esimerkiksi verkkosivustolla, voidaan merkitä vain "julkiseksi", kun taas luottamukselliset tai kaupalliset luottamukselliset tiedot ovat ilmeisiä, koska tiedot ovat arkaluonteisempia kuin julkisia.
Tietojen luokittelu on yksi keskeisistä valvontatoimista, joilla varmistetaan, että omaisuutta suojataan riittävästi ja oikeasuhteisesti. Monilla organisaatioilla on 3-4 luokitteluvaihtoehtoa, jotka mahdollistavat tiedon tehokkaan hallinnan ottaen huomioon sen arvon ja tärkeyden. Se voi kuitenkin olla niin yksinkertainen tai monimutkainen kuin on tarpeen, jotta varmistetaan omaisuuden suojan oikea tarkkuustaso.
Muista, että jos pidät sen todella yksinkertaisena ja sinulla on liian vähän luokituksia, se saattaa tarkoittaa, että olet yli tai aliarvioinut tekniset tarkastukset. Liian monet luokitusvaihtoehdot saattavat hämmentää loppukäyttäjiä valitsemaan ne ja luomaan lisäkustannuksia hallintajärjestelmään. Kuten kaikki säätimet, tämäkin on tarkistettava säännöllisesti, jotta varmistetaan, että se on jatkuvasti tarkoituksenmukainen.
A.8.2.2 Tietojen merkitseminen
Tietojen merkitsemistä varten on kehitettävä ja toteutettava asianmukaiset menettelyt organisaation hyväksymän tietojen luokitusjärjestelmän mukaisesti. Tietojen merkitsemismenettelyjen on katettava tiedot ja niihin liittyvät varat sekä fyysisessä että sähköisessä muodossa. Tämän merkinnän on vastattava kohdassa 8.2.1 vahvistettua luokitusjärjestelmää.
Etikettien tulee olla helposti tunnistettavissa ja helposti hallittavissa käytännössä, muuten niitä ei seurata. Voisi esimerkiksi olla helpompi tosiasiassa päättää, että kaikki on luottamuksellista digitaalisissa järjestelmissä, ellei nimenomaisesti ole toisin merkitty, sen sijaan, että henkilökunta merkitsee jokaiseen CRM-päivitykseen kaupallisen luottamuksellisen lausunnon!
Selvitä, missä tämä tosiasiallinen merkintä tehdään, ja kirjaa se politiikkaasi ja muista sitten sisällyttää se henkilöstön koulutukseen.
A.8.2.3 Omaisuuden käsittely
Omaisuuden käsittelymenettelyjä on kehitettävä ja toteutettava tietoluokitusjärjestelmän mukaisesti. Seuraavat asiat tulee ottaa huomioon; Pääsyrajoitukset jokaiselle luokitustasolle; Muodollisen kirjanpito varojen valtuutetuista vastaanottajista; IT-omaisuuden varastointi valmistajien ohjeiden mukaisesti, mediamerkinnät valtuutetuille tahoille.
Jos organisaatio käsittelee asiakkaiden, toimittajien ja muiden tietoresursseja, on tärkeää joko osoittaa kartoituspolitiikka, esim. virallisten arkaluonteisten karttojen asiakasluokittelu kaupallisen organisaatiollemme luottamuksellisesti, tai että lisäluokitus käsitellään muilla tavoilla. näyttää, että sitä suojellaan.
Mikä on liitteen A.8.3 tavoite?
Liite A.8.3 koskee median käsittelyä. Tämän liitteen tavoitteena on estää tietovälineille tallennettujen tietojen luvaton paljastaminen, muuttaminen, poistaminen tai tuhoaminen.
A.8.3.1 Siirrettävän tietovälineen hallinta
Irrotettavien tietovälineiden hallintaa varten on otettava käyttöön menettelyt luokitusjärjestelmän mukaisesti. Irrotettavan tietovälineen yleinen käyttö on riskiarvioitava ja sen lisäksi voi olla tarpeen tehdä käyttökohtaisia riskiarviointeja. Siirrettävä tietoväline tulisi sallia vain, jos siihen on perusteltu liiketoiminnallinen syy.
Jos sitä ei enää tarvita, uudelleenkäytettävien tietovälineiden sisältö tulee tehdä palautuskelvottomaksi ja tuhota tai poistaa turvallisesti. Kaikki tietovälineet on säilytettävä turvallisessa ympäristössä valmistajan eritelmien mukaisesti ja lisätekniikoita, kuten kryptografiaa, harkittava tarvittaessa (eli osana riskinarviointia).
Organisaatiosta poistetuille tietovälineille olisi vaadittava lupa, mikäli se on tarpeellista ja käytännöllistä, ja kirjaamista kirjataan kirjausketjun ylläpitämiseksi.
A.8.3.2 Materiaalin hävittäminen
Kun materiaalia ei enää tarvita, se on hävitettävä turvallisesti noudattamalla dokumentoituja menettelyjä. Nämä menettelyt minimoivat luottamuksellisten tietojen vuotamisen valtuuttamattomille osapuolille.
Menettelyjen tulee olla oikeassa suhteessa luovutettavien tietojen arkaluonteisuuteen. Asioita, joita tulisi harkita, ovat mm. sisältääkö tiedotusvälineet luottamuksellisia tietoja vai eivät; ja menettelyt, jotka auttavat tunnistamaan kohteet, jotka voivat aiheuttaa. vaativat turvallisen hävittämisen.
A.8.3.3 Fyysinen median siirto
Kaikki tietoa sisältävät mediat on suojattava luvattomalta käytöltä, väärinkäytöltä tai korruptiolta kuljetuksen aikana (ellei se ole jo julkisesti saatavilla).
Seuraavat asiat tulee ottaa huomioon materiaalin suojaamiseksi kuljetuksen aikana; Luotettavaa kuljetusta tai kuriireita tulisi käyttää – ehkä luettelo valtuutetuista kuriireista tulisi sopia johdon kanssa; Pakkauksen tulee olla riittävä, jotta se suojaa sisältöä kaikilta fyysisiltä vaurioilta kuljetuksen aikana. ja lokeja tulee säilyttää, ja niistä tulee yksilöidä median sisältö ja käytetty suoja.
On myös huomattava, että kun tietovälineen luottamuksellisia tietoja ei ole salattu, tietovälineiden fyysistä lisäsuojausta tulee harkita.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
