Mitä kohta A.3.6 edellyttää?
Organisaation hyväksymän tietojen luokittelujärjestelmän mukaisesti on kehitettävä ja toteutettava asianmukaiset menettelytavat henkilötietojen merkitsemistä varten, joissa otetaan huomioon henkilötiedot.
Tämä ohjaus sijaitsee jaetut suojauskontrollit (Taulukko A.3) ja toimii suoraan A.3.5 (Luokittelu)Luokittelu määrittää herkkyystason; merkintä tekee tason näkyväksi kaikille, jotka käsittelevät tietoa.
Mitä käyttöönotto-ohjeissa sanotaan?
Liite B (kohta B.3.6) tarjoaa kohdennettuja ohjeita:
- Varmista, että organisaation alaisuudessa olevat henkilöt ovat tietoinen PII-määritelmästä ja miten tunnistaa henkilötietoja
- Merkintämenettelyjen tulisi kattaa kaikki muodot: digitaaliset tiedostot, fyysiset asiakirjat, sähköpostit, tietokannat, tallennusvälineet ja järjestelmärajapinnat
- Merkintöjen tulee olla selkeitä, johdonmukaisia ja linjassa kohdassa määritellyn luokittelujärjestelmän kanssa. A.3.5 Tietojen luokitus
- Jos käytetään automatisoituja merkintätyökaluja, ne tulisi konfiguroida tunnistamaan ja merkitsemään henkilötiedot asianmukaisesti.
- Katso myös A.3.20: Tallennusvälineet asiaankuuluvia vaatimuksia varten
- Katso myös A.3.21: Laitteiden turvallinen hävittäminen tai uudelleenkäyttö asiaankuuluvia vaatimuksia varten
Ohjeistus on tarkoituksella ytimekäs, koska ydinhaaste ei ole tekninen vaan käyttäytymiseen liittyvä: ihmisten on tiedettävä, miltä henkilötiedot näyttävät ja miten ne merkitään oikein. Ilman tätä tietämystä edes parasta luokittelujärjestelmää ei sovelleta johdonmukaisesti.
Miten tämä vastaa GDPR:ää?
Kontrollin A.3.6 kohdennus GDPR 5 artiklan 1 kohdan f alakohta (tietojen eheys ja luottamuksellisuus). GDPR ei määrätä erityisiä merkintävaatimuksia, mutta asianmukaisten teknisten ja organisatoristen toimenpiteiden periaatteeseen kuuluu tietojen arkaluonteisuuden näkyväksi tekeminen, jotta niitä voidaan käsitellä oikein. Merkinnät tukevat sisäänrakennetun ja oletusarvoisen tietosuojan käytännön toteuttamista (artikla 25).
Miten tämä liittyy ISO 29100 -standardin mukaisiin yksityisyyden suojaa koskeviin periaatteisiin?
Jaettuna tietoturvakontrollina A.3.6 tukee laajempaa ISO 29100 viitekehys. Henkilötietoja sisältävien resurssien johdonmukainen merkitseminen on tietoturvaperiaatteen käytännön toteutus, jolla varmistetaan, että jokainen tietoa käsittelevä voi tunnistaa sen arkaluontoisuuden yhdellä silmäyksellä ja soveltaa oikeita käsittelymenettelyjä.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä todisteita tilintarkastajat odottavat?
Arvioidessaan kohdan A.3.6 vaatimustenmukaisuutta tilintarkastajat etsivät tyypillisesti seuraavia seikkoja:
- Merkintämenettelyt — Dokumentoidut menettelyt, jotka kuvaavat, miten tiedot (mukaan lukien henkilötiedot) tulisi merkitä kaikissa muodoissa
- Yhdenmukaisuus luokituksen kanssa — Todiste siitä, että merkinnät ovat yhdenmukaisia kohdassa määritellyn luokitusjärjestelmän kanssa A.3.5 Tietojen luokitus
- Koulutus ja tietoisuus — Todisteet siitä, että henkilöstö tietää, mitä henkilötiedot ovat, miten ne tunnistetaan ja miten ne merkitään oikein
- Pistotarkastukset — Käytännön merkintöjen näytteitä: oikeilla luokittelumerkinnöillä varustetut asiakirjat, henkilötietoja koskevat merkinnät tietokannoissa, luottamuksellisuusmerkinnöillä varustetut sähköpostit
- Automatisoitu merkintä — Jos työkaluja käytetään, todisteet konfiguroinnista ja säännöllinen validointi, joka varmistaa automatisoitujen etikettien tarkkuuden
Mitä asiaan liittyviä ohjausobjekteja on?
| Valvonta: | Yhteys |
|---|---|
| A.3.5 Tietojen luokittelu | Merkinnät toteuttavat luokittelujärjestelmän tekemällä herkkyystasot näkyviksi |
| A.3.7 Tiedonsiirto | Merkinnät auttavat siirtosääntöjen valvonnassa tekemällä selväksi, mitkä tiedot vaativat lisäsuojatoimia siirron aikana |
| A.3.3 Tietoturvakäytännöt | Merkintämenettelyihin tulisi viitata tietoturvapolitiikassa tai ne tulisi johtaa siitä. |
| A.3.8 Identiteetinhallinta | Merkittyjen tietojen avulla voidaan valvoa käyttöoikeusrajoituksia identiteetinhallintajärjestelmien kautta. |
| A.3.4 Roolit ja vastuut | Tiedonomistajat ovat vastuussa siitä, että heidän omaisuutensa on merkitty oikein. |
Mikä muuttui standardista ISO 27701:2019?
Vaiheittaisen lähestymistavan löydät kohdasta Siirtymäkausi vuodesta 2019 vuoteen 2025.
Vuoden 2019 painoksessa tätä vaatimusta käsiteltiin kohdassa 6.5.2.2. Asiasisältö on pysynyt muuttumattomana. Vuoden 2025 uudistuksessa merkinnät sijoitetaan luokittelun rinnalle jaetuissa tietoturvakontrolleissa, mikä vahvistaa, että ne toimivat yhdessä. B.3.6:n toteutusohjeissa säilytetään ydinviesti: varmistetaan, että ihmiset tunnistavat henkilötiedot ja osaavat merkitä ne. Katso Liitteen F vastaavuustaulukko koko kartoitusta varten.
Aloita helposti henkilökohtaisella tuote-esittelyllä
Yksi perehdytysasiantuntijoistamme opastaa sinua alustamme läpi ja auttaa sinua alkuun luottavaisin mielin.
Miksi valita ISMS.online tiedon merkintöjä varten?
ISMS.online auttaa sinua toteuttamaan ja ylläpitämään yhdenmukaisia merkintöjä koko organisaatiossasi:
- Resurssien merkitseminen — Merkitse jokainen rekisterissä oleva tietolähde sen luokittelutasolla ja henkilötietojen tilalla, jolloin luodaan yksi ainoa totuuden lähde
- Merkintämenettelymallit — Käytä valmiita menettelypohjia, jotka kattavat digitaalisen, fyysisen ja sähköpostimerkinnän, ja mukauta niitä sitten ympäristöösi sopivaksi
- Koulutus- ja tiedotuskampanjat — Jaa merkintäohjeet kaikille työntekijöille ja seuraa koulutuksen suorittaneiden henkilöiden toimintaa
- Vaatimustenmukaisuustarkastukset — Kirjaa pistokoetarkastusten ja arviointien tulokset ja yhdistä havainnot tarvittaessa korjaaviin toimenpiteisiin
- Integrointi luokittelun kanssa — Luokittelutasoja ja -merkintöjä hallitaan yhdessä, mikä varmistaa yhdenmukaisuuden järjestelmän sanojen ja todellisuudessa käytettyjen merkintöjen välillä.
UKK
Mitkä merkintämenetelmät ovat hyväksyttäviä?
Mikä tahansa menetelmä, joka tekee luokittelutasosta näkyvän ja käytettävissä olevan. Digitaalisten asiakirjojen kohdalla tämä voi olla ylätunniste-/alatunnistemerkinnät, metatietotunnisteet tai luottamuksellisuustunnisteet sähköpostissa ja yhteistyötyökaluissa (esim. Microsoft Purview Information Protection). Fyysisten asiakirjojen kohdalla painetut luokittelumerkinnät tai värikoodatut kansiot toimivat hyvin. Tietokantojen ja järjestelmien kohdalla tunnisteita voidaan lisätä metatietokenttien tai käyttöoikeustunnisteiden avulla.
Miten varmistamme, että ihmiset tunnistavat henkilötiedot?
Anna koulutusmateriaaleissasi selkeät määritelmät ja esimerkit. Henkilötiedot sisältävät ilmeisiä tunnisteita, kuten nimiä, sähköpostiosoitteita ja kansallisia henkilötunnuksia, mutta myös vähemmän ilmeisiä tietoja, jotka voivat yhdistää henkilön, kuten työtehtävänimike, osasto ja sijainti. Käytä omien järjestelmiesi tosielämän esimerkkejä (anonymisoituja) auttaaksesi ihmisiä tunnistamaan henkilötiedot asiayhteydessä. Säännöllinen kertauskoulutus pitää tietoisuuden ajan tasalla.
Pitäisikö automaattisen merkinnän korvata manuaalinen merkinnänanto?
Automatisoidut merkintätyökalut voivat parantaa merkittävästi johdonmukaisuutta ja vähentää yksilöiden taakkaa, erityisesti sähköpostien ja asiakirjojen merkintätapahtumissa. Niiden tulisi kuitenkin täydentää ihmisen harkintaa sen sijaan, että ne korvaisivat sen. Automatisoidut työkalut eivät välttämättä tunnista kaikkia henkilötietoja oikein, varsinkaan strukturoimattomassa sisällössä. Käytännöllisin lähestymistapa on automatisoitujen oletusmerkintöjen yhdistelmä manuaalisen ohitusominaisuuden ja säännöllisen validoinnin kanssa.
Katso tarkastusevidenssivaatimusten opas mitä tilintarkastajat odottavat.
