ISO 27001 – Bylae A.8: Batebestuur

Wat is die doel van Aanhangsel A.8.1?

Bylae A.8.1 handel oor verantwoordelikheid vir bates. Die doel in hierdie aanhangsel is om inligtingsbates in die bestek van die bestuurstelsel te identifiseer en toepaslike beskermingsverantwoordelikhede te definieer.

Dit is 'n belangrike deel van die inligtingsekuriteitbestuurstelsel (ISMS), veral as jy ISO 27001-sertifisering wil behaal.

A.8.1.1 Inventaris van bates

Enige bates wat met inligting- en inligtingverwerkingsfasiliteite geassosieer word, moet oor die lewensiklus geïdentifiseer en bestuur word, altyd op datum.

'n Register of inventaris van daardie bates moet saamgestel word wat wys hoe hulle bestuur en beheer word, gebaseer op hul belangrikheid (wat ook netjies aansluit by inligtingklassifikasie hieronder). Hierdie lewensiklus van die inligting sluit gewoonlik fases vir skepping, verwerking, berging, oordrag, uitvee en vernietiging in.

A.8.1.2 Eienaarskap van bates

Alle inligtingbates moet eienaars hê. Batebestuur eienaarskap kan ook anders wees as wettige eienaarskap, en dit kan op 'n individuele vlak, departement of ander entiteit gedoen word. Eienaarskap moet toegeken word wanneer die bates geskep word.

Die bate-eienaar is verantwoordelik vir die effektiewe bestuur van die bate oor die hele bate se lewensiklus. Hulle kan bestuur daarvan ook delegeer en eienaarskap kan gedurende daardie lewensiklus verander solank beide gedokumenteer is.

A.8.1.3 Aanvaarbare gebruik van bates

Aanvaarbare gebruik van inligting en van bates is belangrik om reg te kry. Reëls vir aanvaarbare gebruik van bates word dikwels in 'n "aanvaarbare gebruikbeleid" gedokumenteer. Die reëls vir aanvaarbare gebruik moet werknemers, tydelike personeel, kontrakteurs en ander derde partye in ag neem waar van toepassing oor die inligtingsbates waartoe hulle toegang het.

Dit is belangrik dat alle relevante partye toegang het tot die stel gedokumenteerde aanvaarbare gebruiksreëls en dit word versterk tydens gereelde opleiding en inligtingsekuriteitbewustheid, nakomingsverwante aktiwiteit.

A.8.1.4 Teruggawe van bates

Daar word van alle werknemers en eksterne partygebruikers verwag om enige organisatoriese en inligtingsbates terug te gee by beëindiging van hul diens, kontrak of ooreenkoms. As sodanig moet dit 'n verpligting wees vir werknemers en eksterne gebruikers om al die bates terug te gee en hierdie verpligtinge sal in die betrokke ooreenkomste met personeel, kontrakteurs en ander verwag word.

'n Soliede, gedokumenteerde proses word ook vereis om te verseker dat die teruggawe van bates toepaslik bestuur word en bewys kan word vir elke persoon of verskaffer wat daardeur gaan – dit strook met die uitgangbeheermaatreëls in Bylae 7 vir Menslike Hulpbronsekuriteit en Bylae 13.2.4 vir vertroulikheidsooreenkomste, en Bylae A.15 vir verskafferaktiwiteit.

Waar bates nie volgens die proses terugbesorg word nie, tensy anders ooreengekom en gedokumenteer as deel van die uittreeproses, moet die nie-terugsending as 'n sekuriteitsvoorval aangeteken word en in ooreenstemming met Bylae A.16 opgevolg word. Die teruggawe van bates prosedure is nooit dwaas bewys nie en dit beklemtoon ook die behoefte aan periodieke oudit van bates om hul volgehoue ​​beskerming te verseker.

Wat is die doel van Aanhangsel A.8.2?

Bylae A.8.2 handel oor inligtingklassifikasie. Die doel van hierdie aanhangsel is om te verseker dat inligting 'n toepaslike vlak van beskerming ontvang in ooreenstemming met die belangrikheid daarvan vir die organisasie (en belanghebbende partye soos kliënte).

A.8.2.1 Klassifikasie van inligting

Inligting moet geklassifiseer word in terme van wetlike vereistes, waarde, kritiek en sensitiwiteit vir enige ongemagtigde openbaarmaking of wysiging, ideaal geklassifiseer om besigheidsaktiwiteit te weerspieël eerder as om dit te inhibeer of bemoeilik. Byvoorbeeld, inligting wat publiek beskikbaar gestel word, bv. op 'n webwerf, kan dalk net as 'publiek' gemerk word, terwyl vertroulik of kommersieel in vertroue duidelik is vir die inligting wat meer sensitief is as publiek.

Inligtingsklassifikasie is een van die sleutelkontroles wat gebruik word om te verseker dat bates voldoende en proporsioneel beskerm word. Baie organisasies het 3-4 klassifikasie opsies om effektiewe bestuur van die inligting moontlik te maak met inagneming van die waarde en belangrikheid daarvan. Dit kan egter so eenvoudig of so kompleks wees as wat vereis word om die korrekte vlak van korreligheid vir die beskerming van bates te verseker.

Onthou as jy dit baie eenvoudig hou en te min klassifikasies het, kan dit beteken dat jy oor of onder ingenieurskontroles is. Te veel klassifikasie-opsies sal waarskynlik eindgebruikers verwar oor watter een om aan te neem en bykomende bokoste op die bestuurskema te skep. Soos met alle kontroles, moet hierdie een gereeld hersien word om te verseker dat dit voortdurend geskik is vir doel.

A.8.2.2 Etikettering van inligting

'n Toepaslike stel prosedures vir inligtingsetikettering moet ontwikkel en geïmplementeer word in ooreenstemming met die inligtingklassifikasieskema wat deur die organisasie aanvaar is. Prosedures vir inligtingsetikettering sal inligting en verwante bates in beide fisiese en elektroniese formate moet dek. Hierdie etikettering moet die klassifikasieskema wat in 8.2.1 vasgestel is, weerspieël.

Die etikette moet maklik herkenbaar wees en maklik om in die praktyk te bestuur wees, anders sal dit nie gevolg word nie. Dit kan byvoorbeeld makliker wees om de facto te besluit dat alles vertroulik is in die digitale stelsels, tensy dit uitdruklik anders gemerk is, eerder as om personeel te kry om elke CRM-opdatering met 'n vertroulike advertensie te etiketteer!

Wees duidelik oor waar hierdie de facto etikettering gedoen word en dokumenteer dit in jou beleid en onthou dan om dit by die opleiding vir personeel in te sluit.

A.8.2.3 Hantering van Bates

Prosedures vir die hantering van bates moet ontwikkel en geïmplementeer word in ooreenstemming met die inligtingklassifikasieskema. Die volgende moet oorweeg word; Toegangsbeperkings vir elke vlak van klassifikasie; Instandhouding van 'n formele rekord van die gemagtigde ontvangers van bates; Berging van IT-bates in ooreenstemming met vervaardigers se spesifikasies, merk van media vir gemagtigde partye.

As die organisasie inligtingsbates vir kliënte, verskaffers en ander hanteer, is dit belangrik om óf 'n karteringbeleid, bv. kliënteklassifikasie van amptelike sensitiewe kaarte, vertroulik aan ons organisasie van kommersiële te demonstreer, óf dat die bykomende klassifikasie op ander maniere hanteer sal word om wys dit word beskerm.

Wat is die doel van Aanhangsel A.8.3?

Bylae A.8.3 handel oor mediahantering. Die doel van hierdie aanhangsel is om ongemagtigde openbaarmaking, wysiging, verwydering of vernietiging van inligting wat op media gestoor is, te voorkom.

A.8.3.1 Bestuur van verwyderbare media

Prosedures moet in plek gestel word vir die bestuur van verwyderbare media in ooreenstemming met die klassifikasieskema. Algemene gebruik van verwyderbare media moet risiko-geassesseer word en dit mag nodig wees om gebruikspesifieke risiko-assesserings verder te doen. Verwyderbare media moet slegs toegelaat word as daar 'n geregverdigde besigheidsrede is.

Indien dit nie meer nodig is nie, moet die inhoud van enige herbruikbare media onherstelbaar gemaak word en veilig vernietig of uitgevee word. Alle media moet in 'n veilige, veilige omgewing gestoor word, in ooreenstemming met vervaardigers se spesifikasies en bykomende tegnieke soos kriptografie word oorweeg waar toepaslik (dws as deel van die risiko-assessering).

Waar nodig en prakties, moet magtiging vereis word vir media wat uit die organisasie verwyder word, en 'n rekord gehou word om 'n ouditspoor te handhaaf.

A.8.3.2 Beskikking van media

Wanneer dit nie meer benodig word nie, moet media veilig weggedoen word deur gedokumenteerde prosedures te volg. Hierdie prosedures verminder die risiko van lekkasie van vertroulike inligting aan ongemagtigde partye.

Die prosedures moet eweredig wees aan die sensitiwiteit van die inligting wat weggedoen word. Dinge wat oorweeg moet word sluit in; of die media vertroulike inligting bevat of nie; en prosedures in plek te hê wat help om die items te identifiseer wat kan. veilige wegdoening vereis.

A.8.3.3 Fisiese media-oordrag

Enige media wat inligting bevat moet beskerm word teen ongemagtigde toegang, misbruik of korrupsie tydens vervoer (tensy dit reeds publiek beskikbaar is).

Die volgende moet oorweeg word om media te beskerm wanneer dit vervoer word; Betroubare vervoer of koeriers moet gebruik word - miskien moet 'n lys van gemagtigde koeriers met die bestuur ooreengekom word; Verpakking moet voldoende wees om die inhoud te beskerm teen enige fisiese skade tydens vervoer; en Logboeke moet gehou word, wat die inhoud van die media identifiseer en die beskerming wat toegepas word.

Daar moet ook kennis geneem word dat wanneer vertroulike inligting op media nie geënkripteer is nie, addisionele fisiese beskerming van die media oorweeg moet word.