Valvonnan tarkoitus 5.12
5.12 on ennaltaehkäisevä valvonta, joka tunnistaa riskit antamalla organisaatioille mahdollisuuden määrittää suojaustaso kullekin tietoresurssille tiedon tärkeys- ja herkkyystason perusteella.
5.12 varoittaa organisaatioita nimenomaisesti yli- tai aliluokittelusta lisäohjeissa. Siinä todetaan, että organisaatioiden tulee ottaa huomioon luottamuksellisuus-, saatavuus- ja eheysvaatimukset, kun ne jakavat omaisuutta asiaankuuluviin luokkiin.
Tämä varmistaa, että luokitusjärjestelmä löytää asianmukaisen tasapainon liiketoiminnan tarpeiden välillä tiedot ja turvallisuusvaatimukset jokaiseen tietoluokkaan.
Ohjauksen ominaisuudet 5.12
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Tunnistaa | #Tiedon suojaus | #Suojaus |
| #Integrity | #Puolustus | |||
| #Saatavuus |
Määräysvallan omistus 5.12
Tietojärjestelmien pitäisi olla koko organisaation laajuinen luokittelu luokittelutasoineen ja kriteereineen luokitella tietovarat, tietovarojen omistajat ovat viime kädessä vastuussa luokitusjärjestelmän toteuttamisesta.
5.12 tunnustaa nimenomaisesti, että omistajat asiaan tietovarat pitäisi olla vastuussa.
Jos esimerkiksi kirjanpidolla on pääsy kansioihin, joissa on palkkalaskelmat ja tiliotteet, heidän tulee luokitella tiedot organisaation laajuisen luokitusjärjestelmän mukaan.
Tietojen luokittelussa omaisuuden omistajan tulee ottaa huomioon ottaa huomioon liiketoiminnan tarpeet, mikä vaikutus tiedon kompromissilla olisi organisaatioon sekä tiedon tärkeys- ja herkkyystasoon.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleiset valvontaohjeet 5.12
Tietojen vankan luokittelujärjestelmän toteuttamiseksi organisaatioiden tulee omaksua aihekohtainen lähestymistapa, ymmärtää kunkin liiketoimintayksikön tiedontarpeet ja määrittää tiedon herkkyys ja kriittisyys.
5.12 edellyttää, että organisaatiot ottavat huomioon seuraavat seitsemän kriteeriä luokitusjärjestelmää toteuttaessaan:
- Luo aihekohtainen politiikka ja vastaa liiketoiminnan erityistarpeisiin
5.12 viittaa nimenomaisesti kohtaan 5.1, Kulunvalvonta ja vaatii organisaatioita noudattamaan aihekohtaisia käytäntöjä kohdassa 5.1 kuvatulla tavalla. Lisäksi luokitusjärjestelmässä ja -tasoissa tulee ottaa huomioon liiketoiminnan erityistarpeet.
- Ota huomioon liiketoiminnan tarpeet tiedon jakamiseen ja käyttöön sekä saatavuuden tarve
Jos määrität tietoresurssin tarpeettoman korkeampaan luokitusluokkaan, se voi aiheuttaa keskeisten liiketoimintatoimintojesi häiriöriskin rajoittamalla tietojen saatavuutta ja käyttöä.
Siksi sinun tulee pyrkiä löytämään tasapaino yrityksesi erityisten tietojen saatavuutta ja käyttöä koskevien tarpeidesi sekä näiden tietojen luottamuksellisuutta ja eheyttä koskevien vaatimusten välillä.
- Harkitse lakisääteisiä velvoitteita
Jotkut lait voivat asettaa sinulle tiukempia velvoitteita tietojen luottamuksellisuuden, eheyden ja saatavuuden varmistamiseksi. Kun määrität tietoresursseja luokkiin, lakisääteisten velvoitteiden tulee olla etusijalla omaan luokitteluasi nähden.
- Ota riskiperusteinen lähestymistapa ja harkitse kompromissin mahdollisia vaikutuksia
Jokaisella tiedolla on erilainen kriittisyyden taso kunkin liiketoiminnan kannalta ja erilainen herkkyys kontekstista riippuen.
Tietojärjestelmän luokittelua toteuttaessaan organisaatioiden tulee kysyä:
Miten näiden tietojen eheyden, saatavuuden ja luottamuksellisuuden vaarantuminen vaikuttaisi organisaatioon?
Esimerkiksi tietokannat, jotka sisältävät pätevien liidien ammattisähköpostiosoitteita ja työntekijöiden terveystietoja, vaihtelevat suuresti herkkyystason ja mahdollisen vaikutuksen suhteen.
- Tarkista ja päivitä luokitus säännöllisesti
5.12 toteaa, että tiedon arvo, kriittisyys ja herkkyys eivät ole staattisia ja voivat muuttua tiedon koko elinkaaren ajan. Siksi sinun on tarkistettava säännöllisesti jokainen luokitus ja tehtävä tarvittavat päivitykset.
Esimerkkinä tällaisesta muutoksesta 5.12 viittaa tiedon julkistamiseen, mikä vähentää suuresti tiedon arvoa ja arkaluonteisuutta.
- Keskustele muiden organisaatioiden kanssa, joiden kanssa jaat tietoja, ja korjaa mahdolliset erot
Tietojen luokittelussa ei ole yhtä tapaa ja jokaisella organisaatiolla voi olla eri nimet, tasot ja kriteerit tietojärjestelmien luokittelussa.
Nämä erot voivat johtaa riskeihin, kun organisaatiot vaihtavat tietoja keskenään. Siksi sinun on tehtävä sopimus kumppanisi kanssa varmistaaksesi, että tietojen luokittelu ja luokitustasojen tulkinta ovat johdonmukaisia.
- Organisaatiotason johdonmukaisuus
Jokaisella organisaation osastolla tulee olla yhteinen käsitys luokitustasoista ja -menettelyistä, jotta luokitukset ovat yhdenmukaisia koko organisaatiossa.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Ohjeet tietojen luokittelujärjestelmän toteuttamiseen
Vaikka 5.12 tunnustaa, että ei ole olemassa yhtä kaikille sopivaa luokitusjärjestelmää ja organisaatioilla on liikkumavaraa päättää ja kuvailla yksittäisiä luokitustasoja, se antaa seuraavan esimerkin tietojen luokitusjärjestelmäksi:
a) paljastaminen ei aiheuta haittaa;
b) paljastaminen aiheuttaa vähäistä mainevauriota tai vähäistä toiminnallista vaikutusta;
c) julkistamisella on merkittävä lyhyen aikavälin vaikutus toimintaan tai liiketoiminnan tavoitteisiin;
d) Tietojen paljastaminen vaikuttaa vakavasti pitkän aikavälin liiketoimintatavoitteisiin tai vaarantaa organisaation selviytymisen.
Muutokset ja erot ISO 27002:2013:sta
Tietojen luokitusta käsiteltiin edellisen version kohdassa 8.2.1.
Vaikka nämä kaksi versiota ovat hyvin samankaltaisia, niissä on kaksi keskeistä eroa:
Vanhassa versiossa ei nimenomaisesti viitattu vaatimukseen luokitustasojen johdonmukaisuudesta, kun tietoa siirretään organisaatioiden välillä.
2022-versiossa sinun on kuitenkin tehtävä sopimus kumppanisi kanssa varmistaaksesi, että tietojen luokittelu ja luokitustasojen tulkinta ovat johdonmukaisia.
Toiseksi uusi versio vaatii nimenomaisesti organisaatioita ottamaan käyttöön aihekohtaisia käytäntöjä. Vanhemmassa versiossa sitä vastoin kulunvalvontaan viitattiin vain lyhyesti.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
Meidän alustamme on intuitiivinen ja helppokäyttöinen. Se ei ole vain erittäin teknisille ihmisille; se on kaikille organisaatiossasi. Suosittelemme ottamaan henkilöstöä yrityksesi kaikilla tasoilla mukaan rakentamisprosessiin ISMS, koska se auttaa sinua rakentamaan todella kestävän järjestelmän.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
