ISO 27002, valvonta 5.12, tietojen luokitus

ISO 27002:2022 – Valvonta 5.12 – Tietojen luokitus

Tietojen luokittelu on prosessi, jonka avulla organisaatiot voivat ryhmän tietovarat Asiaankuuluviin luokkiin suojelun tasosta riippuen kukin tietoluokka olisi toimitettava. Ohjaus 5.12 käsittelee tietovarallisuuden luottamuksellisuus-, eheys- ja saatavuusvaatimuksiin perustuvan tietoluokituksen toteuttamista.

Valvonnan tarkoitus 5.12

5.12 on ennaltaehkäisevä valvonta, joka tunnistaa riskit antamalla organisaatioille mahdollisuuden määrittää suojaustaso kullekin tietoresurssille tiedon tärkeys- ja herkkyystason perusteella.

5.12 varoittaa organisaatioita nimenomaisesti yli- tai aliluokittelusta lisäohjeissa. Siinä todetaan, että organisaatioiden tulee ottaa huomioon luottamuksellisuus-, saatavuus- ja eheysvaatimukset, kun ne jakavat omaisuutta asiaankuuluviin luokkiin.

Tämä varmistaa, että luokitusjärjestelmä löytää asianmukaisen tasapainon liiketoiminnan tarpeiden välillä tiedot ja turvallisuusvaatimukset jokaiseen tietoluokkaan.

Ohjauksen ominaisuudet 5.12

Ohjaus	Tietoturvaominaisuudet	Kyberturvallisuuden käsitteet	Toiminnalliset valmiudet	Turvallisuus Domains
#Ennaltaehkäisevä	#Luottamuksellisuus	#Tunnistaa	#Tiedon suojaus	#Suojaus
	#Integrity			#Puolustus
	#Saatavuus

Määräysvallan omistus 5.12

Tietojärjestelmien pitäisi olla koko organisaation laajuinen luokittelu luokittelutasoineen ja kriteereineen luokitella tietovarat, tietovarojen omistajat ovat viime kädessä vastuussa luokitusjärjestelmän toteuttamisesta.

5.12 tunnustaa nimenomaisesti, että omistajat asiaan tietovarat pitäisi olla vastuussa.

Jos esimerkiksi kirjanpidolla on pääsy kansioihin, joissa on palkkalaskelmat ja tiliotteet, heidän tulee luokitella tiedot organisaation laajuisen luokitusjärjestelmän mukaan.

Tietojen luokittelussa omaisuuden omistajan tulee ottaa huomioon ottaa huomioon liiketoiminnan tarpeet, mikä vaikutus tiedon kompromissilla olisi organisaatioon sekä tiedon tärkeys- ja herkkyystasoon.

ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita

Yleiset valvontaohjeet 5.12

Tietojen vankan luokittelujärjestelmän toteuttamiseksi organisaatioiden tulee omaksua aihekohtainen lähestymistapa, ymmärtää kunkin liiketoimintayksikön tiedontarpeet ja määrittää tiedon herkkyys ja kriittisyys.

5.12 edellyttää, että organisaatiot ottavat huomioon seuraavat seitsemän kriteeriä luokitusjärjestelmää toteuttaessaan:

Luo aihekohtainen politiikka ja vastaa liiketoiminnan erityistarpeisiin

5.12 viittaa nimenomaisesti kohtaan 5.1, Kulunvalvonta ja vaatii organisaatioita noudattamaan aihekohtaisia käytäntöjä kohdassa 5.1 kuvatulla tavalla. Lisäksi luokitusjärjestelmässä ja -tasoissa tulee ottaa huomioon liiketoiminnan erityistarpeet.

Ota huomioon liiketoiminnan tarpeet tiedon jakamiseen ja käyttöön sekä saatavuuden tarve

Jos määrität tietoresurssin tarpeettoman korkeampaan luokitusluokkaan, se voi aiheuttaa keskeisten liiketoimintatoimintojesi häiriöriskin rajoittamalla tietojen saatavuutta ja käyttöä.

Siksi sinun tulee pyrkiä löytämään tasapaino yrityksesi erityisten tietojen saatavuutta ja käyttöä koskevien tarpeidesi sekä näiden tietojen luottamuksellisuutta ja eheyttä koskevien vaatimusten välillä.

Harkitse lakisääteisiä velvoitteita

Jotkut lait voivat asettaa sinulle tiukempia velvoitteita tietojen luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi. Kun määrität tietoresursseja luokkiin, lakisääteisten velvoitteiden tulee olla etusijalla omaan luokitteluasi nähden.

Ota riskiperusteinen lähestymistapa ja harkitse kompromissin mahdollisia vaikutuksia

Jokaisella tiedolla on erilainen kriittisyyden taso kunkin liiketoiminnan kannalta ja erilainen herkkyys kontekstista riippuen.

Tietojärjestelmän luokittelua toteuttaessaan organisaatioiden tulee kysyä:

Miten näiden tietojen eheyden, saatavuuden ja luottamuksellisuuden vaarantuminen vaikuttaisi organisaatioon?

Esimerkiksi tietokannat, jotka sisältävät pätevien liidien ammattisähköpostiosoitteita ja työntekijöiden terveystietoja, vaihtelevat suuresti herkkyystason ja mahdollisen vaikutuksen suhteen.

Tarkista ja päivitä luokitus säännöllisesti

5.12 toteaa, että tiedon arvo, kriittisyys ja herkkyys eivät ole staattisia ja voivat muuttua tiedon koko elinkaaren ajan. Siksi sinun on tarkistettava säännöllisesti jokainen luokitus ja tehtävä tarvittavat päivitykset.

Esimerkkinä tällaisesta muutoksesta 5.12 viittaa tiedon julkistamiseen, mikä vähentää suuresti tiedon arvoa ja arkaluonteisuutta.

Keskustele muiden organisaatioiden kanssa, joiden kanssa jaat tietoja, ja korjaa mahdolliset erot

Tietojen luokittelussa ei ole yhtä tapaa ja jokaisella organisaatiolla voi olla eri nimet, tasot ja kriteerit tietojärjestelmien luokittelussa.

Nämä erot voivat johtaa riskeihin, kun organisaatiot vaihtavat tietoja keskenään. Siksi sinun on tehtävä sopimus kumppanisi kanssa varmistaaksesi, että tietojen luokittelu ja luokitustasojen tulkinta ovat johdonmukaisia.

Organisaatiotason johdonmukaisuus

Jokaisella organisaation osastolla tulee olla yhteinen käsitys luokitustasoista ja -menettelyistä, jotta luokitukset ovat yhdenmukaisia koko organisaatiossa.

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi

Ohjeet tietojen luokittelujärjestelmän toteuttamiseen

Vaikka 5.12 tunnustaa, että ei ole olemassa yhtä kaikille sopivaa luokitusjärjestelmää ja organisaatioilla on liikkumavaraa päättää ja kuvailla yksittäisiä luokitustasoja, se antaa seuraavan esimerkin tietojen luokitusjärjestelmäksi:

a) paljastaminen ei aiheuta haittaa;

b) paljastaminen aiheuttaa vähäistä mainevauriota tai vähäistä toiminnallista vaikutusta;

c) julkistamisella on merkittävä lyhyen aikavälin vaikutus toimintaan tai liiketoiminnan tavoitteisiin;

d) Tietojen paljastaminen vaikuttaa vakavasti pitkän aikavälin liiketoimintatavoitteisiin tai vaarantaa organisaation selviytymisen.

Muutokset ja erot ISO 27002:2013:sta

Tietojen luokitusta käsiteltiin edellisen version kohdassa 8.2.1.

Vaikka nämä kaksi versiota ovat hyvin samankaltaisia, niissä on kaksi keskeistä eroa:

Vanhassa versiossa ei nimenomaisesti viitattu vaatimukseen luokitustasojen johdonmukaisuudesta, kun tietoa siirretään organisaatioiden välillä.

2022-versiossa sinun on kuitenkin tehtävä sopimus kumppanisi kanssa varmistaaksesi, että tietojen luokittelu ja luokitustasojen tulkinta ovat johdonmukaisia.

Toiseksi uusi versio vaatii nimenomaisesti organisaatioita ottamaan käyttöön aihekohtaisia käytäntöjä. Vanhemmassa versiossa sitä vastoin kulunvalvontaan viitattiin vain lyhyesti.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.7	UUSI	Uhan älykkyys
5.23	UUSI	Tietoturva pilvipalvelujen käyttöön
5.30	UUSI	ICT-valmius liiketoiminnan jatkuvuuteen
7.4	UUSI	Fyysisen turvallisuuden valvonta
8.9	UUSI	Kokoonpanonhallinta
8.10	UUSI	Tietojen poistaminen
8.11	UUSI	Tietojen peittäminen
8.12	UUSI	Tietovuotojen esto
8.16	UUSI	Toimien seuranta
8.23	UUSI	Web-suodatus
8.28	UUSI	Turvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.1	05.1.1, 05.1.2	Tietoturvakäytännöt
5.2	06.1.1	Tietoturvaroolit ja -vastuut
5.3	06.1.2	Tehtävien eriyttäminen
5.4	07.2.1	Johdon vastuut
5.5	06.1.3	Yhteys viranomaisiin
5.6	06.1.4	Ota yhteyttä erityisiin eturyhmiin
5.7	UUSI	Uhan älykkyys
5.8	06.1.5, 14.1.1	Tietoturva projektinhallinnassa
5.9	08.1.1, 08.1.2	Tietojen ja muiden niihin liittyvien varojen luettelo
5.10	08.1.3, 08.2.3	Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11	08.1.4	Omaisuuden palautus
5.12	08.2.1	Tietojen luokitus
5.13	08.2.2	Tietojen merkitseminen
5.14	13.2.1, 13.2.2, 13.2.3	Tietojen siirto
5.15	09.1.1, 09.1.2	Kulunvalvonta
5.16	09.2.1	Identiteettihallinta
5.17	09.2.4, 09.3.1, 09.4.3	Todennustiedot
5.18	09.2.2, 09.2.5, 09.2.6	Käyttöoikeudet
5.19	15.1.1	Tietoturva toimittajasuhteissa
5.20	15.1.2	Tietoturvan huomioiminen toimittajasopimuksissa
5.21	15.1.3	Tietoturvan hallinta ICT-toimitusketjussa
5.22	15.2.1, 15.2.2	Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23	UUSI	Tietoturva pilvipalvelujen käyttöön
5.24	16.1.1	Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25	16.1.4	Tietoturvatapahtumien arviointi ja päätös
5.26	16.1.5	Tietoturvahäiriöihin reagointi
5.27	16.1.6	Tietoturvahäiriöistä oppiminen
5.28	16.1.7	Todisteiden kerääminen
5.29	17.1.1, 17.1.2, 17.1.3	Tietoturva häiriön aikana
5.30	5.30	ICT-valmius liiketoiminnan jatkuvuuteen
5.31	18.1.1, 18.1.5	Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32	18.1.2	Immateriaalioikeudet
5.33	18.1.3	Tietueiden suojaus
5.34	18.1.4	Yksityisyys ja henkilötietojen suoja
5.35	18.2.1	Riippumaton tietoturvatarkastus
5.36	18.2.2, 18.2.3	Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37	12.1.1	Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
6.1	07.1.1	Seulonta
6.2	07.1.2	Työsuhteen ehdot
6.3	07.2.2	Tietoturvatietoisuus, koulutus ja koulutus
6.4	07.2.3	Kurinpitoprosessi
6.5	07.3.1	Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6	13.2.4	Luottamuksellisuus- tai salassapitosopimukset
6.7	06.2.2	Etätyö
6.8	16.1.2, 16.1.3	Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
7.1	11.1.1	Fyysisen turvallisuuden rajat
7.2	11.1.2, 11.1.6	Fyysinen sisääntulo
7.3	11.1.3	Toimistojen, huoneiden ja tilojen turvaaminen
7.4	UUSI	Fyysisen turvallisuuden valvonta
7.5	11.1.4	Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6	11.1.5	Työskentely turvallisilla alueilla
7.7	11.2.9	Selkeä pöytä ja selkeä näyttö
7.8	11.2.1	Laitteiden sijoitus ja suojaus
7.9	11.2.6	Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Tallennusvälineet
7.11	11.2.2	Apuohjelmia tukevat
7.12	11.2.3	Kaapeloinnin turvallisuus
7.13	11.2.4	Laitehuolto
7.14	11.2.7	Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
8.1	06.2.1, 11.2.8	Käyttäjän päätelaitteet
8.2	09.2.3	Etuoikeutetut käyttöoikeudet
8.3	09.4.1	Tiedon pääsyn rajoitus
8.4	09.4.5	Pääsy lähdekoodiin
8.5	09.4.2	Turvallinen todennus
8.6	12.1.3	Kapasiteetin hallinta
8.7	12.2.1	Suojaus haittaohjelmia vastaan
8.8	12.6.1, 18.2.3	Teknisten haavoittuvuuksien hallinta
8.9	UUSI	Kokoonpanonhallinta
8.10	UUSI	Tietojen poistaminen
8.11	UUSI	Tietojen peittäminen
8.12	UUSI	Tietovuotojen esto
8.13	12.3.1	Tietojen varmuuskopiointi
8.14	17.2.1	Tietojenkäsittelylaitteiden redundanssi
8.15	12.4.1, 12.4.2, 12.4.3	Hakkuu
8.16	UUSI	Toimien seuranta
8.17	12.4.4	Kellon synkronointi
8.18	09.4.4	Etuoikeutettujen apuohjelmien käyttö
8.19	12.5.1, 12.6.2	Ohjelmistojen asennus käyttöjärjestelmiin
8.20	13.1.1	Verkkojen turvallisuus
8.21	13.1.2	Verkkopalvelujen turvallisuus
8.22	13.1.3	Verkkojen erottelu
8.23	UUSI	Web-suodatus
8.24	10.1.1, 10.1.2	Salaustekniikan käyttö
8.25	14.2.1	Turvallinen kehityksen elinkaari
8.26	14.1.2, 14.1.3	Sovelluksen suojausvaatimukset
8.27	14.2.5	Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28	UUSI	Turvallinen koodaus
8.29	14.2.8, 14.2.9	Tietoturvatestausta kehitetään ja hyväksytään
8.30	14.2.7	Ulkoistettu kehitys
8.31	12.1.4, 14.2.6	Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Muutoksen hallinta
8.33	14.3.1	Testitiedot
8.34	12.7.1	Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

Meidän alustamme on intuitiivinen ja helppokäyttöinen. Se ei ole vain erittäin teknisille ihmisille; se on kaikille organisaatiossasi. Suosittelemme ottamaan henkilöstöä yrityksesi kaikilla tasoilla mukaan rakentamisprosessiin ISMS, koska se auttaa sinua rakentamaan todella kestävän järjestelmän.

Ota yhteyttä jo tänään varaa esittely.

Olemme alamme johtaja