Tietojen luokittelu on prosessi, jonka avulla organisaatiot voivat ryhmän tietovarat Asiaankuuluviin luokkiin suojelun tasosta riippuen kukin tietoluokka olisi toimitettava.
Ohjaus 5.12 käsittelee tietovarallisuuden luottamuksellisuus-, eheys- ja saatavuusvaatimuksiin perustuvan tietoluokituksen toteuttamista.
5.12 on ennaltaehkäisevä valvonta, joka tunnistaa riskit antamalla organisaatioille mahdollisuuden määrittää suojaustaso kullekin tietoresurssille tiedon tärkeys- ja herkkyystason perusteella.
5.12 varoittaa organisaatioita nimenomaisesti yli- tai aliluokittelusta lisäohjeissa. Siinä todetaan, että organisaatioiden tulee ottaa huomioon luottamuksellisuus-, saatavuus- ja eheysvaatimukset, kun ne jakavat omaisuutta asiaankuuluviin luokkiin.
Tämä varmistaa, että luokitusjärjestelmä löytää asianmukaisen tasapainon liiketoiminnan tarpeiden välillä tiedot ja turvallisuusvaatimukset jokaiseen tietoluokkaan.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Tunnistaa | #Tiedon suojaus | #Suojaus #Puolustus |
Tietojärjestelmien pitäisi olla koko organisaation laajuinen luokittelu luokittelutasoineen ja kriteereineen luokitella tietovarat, tietovarojen omistajat ovat viime kädessä vastuussa luokitusjärjestelmän toteuttamisesta.
5.12 tunnustaa nimenomaisesti, että omistajat asiaan tietovarat pitäisi olla vastuussa.
Jos esimerkiksi kirjanpidolla on pääsy kansioihin, joissa on palkkalaskelmat ja tiliotteet, heidän tulee luokitella tiedot organisaation laajuisen luokitusjärjestelmän mukaan.
Tietojen luokittelussa omaisuuden omistajan tulee ottaa huomioon ottaa huomioon liiketoiminnan tarpeet, mikä vaikutus tiedon kompromissilla olisi organisaatioon sekä tiedon tärkeys- ja herkkyystasoon.
Tietojen vankan luokittelujärjestelmän toteuttamiseksi organisaatioiden tulee omaksua aihekohtainen lähestymistapa, ymmärtää kunkin liiketoimintayksikön tiedontarpeet ja määrittää tiedon herkkyys ja kriittisyys.
5.12 edellyttää, että organisaatiot ottavat huomioon seuraavat seitsemän kriteeriä luokitusjärjestelmää toteuttaessaan:
5.12 viittaa nimenomaisesti kohtaan 5.1, Kulunvalvonta ja vaatii organisaatioita noudattamaan aihekohtaisia käytäntöjä kohdassa 5.1 kuvatulla tavalla. Lisäksi luokitusjärjestelmässä ja -tasoissa tulee ottaa huomioon liiketoiminnan erityistarpeet.
Jos määrität tietoresurssin tarpeettoman korkeampaan luokitusluokkaan, se voi aiheuttaa keskeisten liiketoimintatoimintojesi häiriöriskin rajoittamalla tietojen saatavuutta ja käyttöä.
Siksi sinun tulee pyrkiä löytämään tasapaino yrityksesi erityisten tietojen saatavuutta ja käyttöä koskevien tarpeidesi sekä näiden tietojen luottamuksellisuutta ja eheyttä koskevien vaatimusten välillä.
Jotkut lait voivat asettaa sinulle tiukempia velvoitteita tietojen luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi. Kun määrität tietoresursseja luokkiin, lakisääteisten velvoitteiden tulee olla etusijalla omaan luokitteluasi nähden.
Jokaisella tiedolla on erilainen kriittisyyden taso kunkin liiketoiminnan kannalta ja erilainen herkkyys kontekstista riippuen.
Tietojärjestelmän luokittelua toteuttaessaan organisaatioiden tulee kysyä:
Miten näiden tietojen eheyden, saatavuuden ja luottamuksellisuuden vaarantuminen vaikuttaisi organisaatioon?
Esimerkiksi tietokannat, jotka sisältävät pätevien liidien ammattisähköpostiosoitteita ja työntekijöiden terveystietoja, vaihtelevat suuresti herkkyystason ja mahdollisen vaikutuksen suhteen.
5.12 toteaa, että tiedon arvo, kriittisyys ja herkkyys eivät ole staattisia ja voivat muuttua tiedon koko elinkaaren ajan. Siksi sinun on tarkistettava säännöllisesti jokainen luokitus ja tehtävä tarvittavat päivitykset.
Esimerkkinä tällaisesta muutoksesta 5.12 viittaa tiedon julkistamiseen, mikä vähentää suuresti tiedon arvoa ja arkaluonteisuutta.
Tietojen luokittelussa ei ole yhtä tapaa ja jokaisella organisaatiolla voi olla eri nimet, tasot ja kriteerit tietojärjestelmien luokittelussa.
Nämä erot voivat johtaa riskeihin, kun organisaatiot vaihtavat tietoja keskenään. Siksi sinun on tehtävä sopimus kumppanisi kanssa varmistaaksesi, että tietojen luokittelu ja luokitustasojen tulkinta ovat johdonmukaisia.
Jokaisella organisaation osastolla tulee olla yhteinen käsitys luokitustasoista ja -menettelyistä, jotta luokitukset ovat yhdenmukaisia koko organisaatiossa.
Vaikka 5.12 tunnustaa, että ei ole olemassa yhtä kaikille sopivaa luokitusjärjestelmää ja organisaatioilla on liikkumavaraa päättää ja kuvailla yksittäisiä luokitustasoja, se antaa seuraavan esimerkin tietojen luokitusjärjestelmäksi:
a) paljastaminen ei aiheuta haittaa;
b) paljastaminen aiheuttaa vähäistä mainevauriota tai vähäistä toiminnallista vaikutusta;
c) julkistamisella on merkittävä lyhyen aikavälin vaikutus toimintaan tai liiketoiminnan tavoitteisiin;
d) Tietojen paljastaminen vaikuttaa vakavasti pitkän aikavälin liiketoimintatavoitteisiin tai vaarantaa organisaation selviytymisen.
Tietojen luokitusta käsiteltiin edellisen version kohdassa 8.2.1.
Vaikka nämä kaksi versiota ovat hyvin samankaltaisia, niissä on kaksi keskeistä eroa:
Vanhassa versiossa ei nimenomaisesti viitattu vaatimukseen luokitustasojen johdonmukaisuudesta, kun tietoa siirretään organisaatioiden välillä.
2022-versiossa sinun on kuitenkin tehtävä sopimus kumppanisi kanssa varmistaaksesi, että tietojen luokittelu ja luokitustasojen tulkinta ovat johdonmukaisia.
Toiseksi uusi versio vaatii nimenomaisesti organisaatioita ottamaan käyttöön aihekohtaisia käytäntöjä. Vanhemmassa versiossa sitä vastoin kulunvalvontaan viitattiin vain lyhyesti.
Meidän alustamme on intuitiivinen ja helppokäyttöinen. Se ei ole vain erittäin teknisille ihmisille; se on kaikille organisaatiossasi. Suosittelemme ottamaan henkilöstöä yrityksesi kaikilla tasoilla mukaan rakentamisprosessiin ISMS, koska se auttaa sinua rakentamaan todella kestävän järjestelmän.
Ota yhteyttä jo tänään varaa esittely.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Olemme kustannustehokkaita ja nopeita
