ISO 27001:2022 Bylae A 5.14 – Inligtingsoordrag

Eienaarskap van ISO 27001:2022 Bylae A Beheer 5.14

Die ondersteuning en aanvaarding van senior bestuur is noodsaaklik vir die vorming en uitvoering van regulasies, protokolle en kontrakte.

Dit is egter noodsaaklik om die samewerking en spesialiskennis van verskeie rolspelers binne die organisasie te hê, soos die regspersoneel, IT-personeel en topkopers.

Die regspan moet verseker dat die organisasie oordragooreenkomste aangaan wat voldoen aan ISO 27001:2022 Bylae A Beheer 5.14. Daarbenewens moet die IT-span aktief betrokke wees by die spesifikasie en uitvoering van kontroles vir die beveiliging van data, soos aangedui in 5.14.

Algemene riglyne oor ISO 27001:2022 Bylae A 5.14

Om voldoening aan 5.14 te verseker, vereis die skepping van reëls, prosedures en ooreenkomste, insluitend 'n data-oordragbeleid wat spesifiek vir die onderwerp is, en gee data in transito 'n toepaslike beskermingsvlak volgens die klassifikasie wat dit toegeken is.

Die vlak van sekuriteit moet eweredig wees aan die belangrikheid en sensitiwiteit van die data wat gestuur word. ISO 27001:2022 Bylae A 5.14 vereis ook van organisasies om oordragooreenkomste met ontvanger derde partye aan te gaan om veilige oordrag van data te verseker.

ISO 27001:2022 Bylae A Beheer 5.14 kategoriseer oordragtipes in drie groepe:

• Elektroniese oordrag.
• Fisiese bergingsmedia oordra.
• Verbale oordrag.

Voordat u verder gaan met die spesifieke vereistes van elke tipe oordrag, Die ISO 27001: 2022 Bylae A Beheer 5.14 gee 'n uiteensetting van die elemente wat teenwoordig moet wees in alle regulasies, prosedures en kontrakte met betrekking tot al drie oordragte in die algemeen:

• Organisasies moet toepaslike beheermaatreëls bepaal op grond van die klassifikasievlak van inligting om dit te beskerm terwyl dit in vervoer is teen ongemagtigde toegang, verandering, onderskepping, duplisering, vernietiging en diensweieraanrandings.
• Organisasies moet tred hou met die ketting van bewaring terwyl hulle in transito is en kontroles daarstel en uitvoer om die naspeurbaarheid van data te waarborg.
• Spesifiseer wie by die data-oordrag betrokke is en gee hul kontakinligting, soos die data-eienaars en die sekuriteitspersoneel.
• In die geval van 'n data-oortreding, sal aanspreeklikhede toegeken word.
• Implementeer 'n etiketteringstelsel om tred te hou met items.
• Verseker dat die oordragdiens beskikbaar is.
• Riglyne met betrekking tot die metodes van inligting oordrag moet ontwikkel word volgens spesifieke onderwerpe.
• Riglyne vir die berging en weggooi van alle besigheidsdokumente, insluitend boodskappe, moet gevolg word.
• Ondersoek die impak wat enige toepaslike wette, regulasies of ander verpligtinge op die oordrag kan hê.

Aanvullende leiding oor elektroniese oordrag

ISO 27001:2022 Bylae A Beheer 5.14 gee besonderhede oor die spesifieke inhoudsvereistes vir reëls, prosedures en ooreenkomste wat verband hou met die drie tipes oordragte. Die minimum inhoudvereistes moet oor al drie nagekom word.

Reëls, ooreenkomste en prosedures moet die volgende oorwegings aanspreek wanneer inligting elektronies oorgedra word:

• Die identifisering en voorkoming van wanware-aanrandings is uiters belangrik. Dit is noodsaaklik dat jy die nuutste tegnologie gebruik om aanvalle van kwaadwillige sagteware op te spoor en te voorkom.
• Verseker die sekuriteit van vertroulike inligting gevind in die aanhangsels wat gestuur is.
• Maak seker dat kommunikasie aan die toepaslike ontvangers gestuur word deur die risiko te vermy om na die verkeerde e-posadres, adres of telefoonnommer te stuur.
• Kry toestemming voordat u enige openbare kommunikasiedienste begin gebruik.
• Strenger verifikasiemetodes moet gebruik word wanneer data via publieke netwerke gestuur word.
• Die oplegging van beperkings op die gebruik van e-kommunikasiedienste, bv. die verbod op outomatiese aanstuur.
• Adviseer personeel om te vermy om kortboodskap- of kitsboodskapdienste te gebruik om sensitiewe data te deel, aangesien die inhoud deur ongemagtigde individue in openbare areas bekyk kan word.
• Adviseer personeel en ander belangstellendes oor die beskermingsrisiko's wat faksmasjiene kan inhou, soos ongemagtigde toegang of verkeerde boodskappe na sekere nommers.

Aanvullende leiding oor oordrag van fisiese bergingsmedia

Wanneer inligting fisies gedeel word, moet reëls, prosedures en ooreenkomste die volgende insluit:

• Partye is verantwoordelik om mekaar in kennis te stel van die oordrag, versending en ontvangs van inligting.
• Verseker dat die boodskap korrek aangespreek en toepaslik gestuur word.
• Goeie verpakking skakel die kans van skade aan die inhoud tydens vervoer uit. Die verpakking moet byvoorbeeld bestand wees teen hitte en vog.
• 'n Betroubare, gemagtigde koerierlys is deur die bestuur ooreengekom.
• 'n Oorsig van koerier-identifikasiestandaarde.
• Vir sensitiewe en kritieke inligting moet peuterbestande sakke gebruik word.
• Dit is belangrik om die identiteite van koeriers te verifieer.
• Hierdie lys van derde partye, geklassifiseer volgens hul vlak van diens, verskaf vervoer- of koerierdienste en is goedgekeur.
• Teken die tyd van aflewering, gemagtigde ontvanger, veiligheidsmaatreëls getref en bevestiging van ontvangs by die bestemming in 'n log aan.

Aanvullende leiding oor verbale oordrag

Personeel moet bewus gemaak word van die risiko's verbonde aan die uitruil van inligting binne die organisasie of die oordrag van data aan eksterne partye, in ooreenstemming met ISO 27001:2022 Bylae A Beheer 5.14. Hierdie risiko's sluit in:

• Hulle moet hulle daarvan weerhou om vertroulike aangeleenthede in onseker openbare kanale of in openbare areas te bespreek.
• Mens moenie stemboodskappe met vertroulike inligting laat nie weens die gevaar van herhaling deur diegene wat nie gemagtig is nie, sowel as die risiko om na derde partye te herlei.
• Individue, beide personeel en ander toepaslike derde partye, moet gekeur word voordat toegang tot gesprekke verleen word.
• Kamers wat vir vertroulike gesprekke gebruik word, moet toegerus wees met die nodige klankdigting.
• Voordat enige sensitiewe dialoog aangegaan word, moet 'n vrywaring uitgereik word.

Veranderinge en verskille vanaf ISO 27001:2013?

ISO 27001:2022 Bylae A 5.14 vervang ISO 27001:2013 Bylae A 13.2.1, 13.2.2 en 13.2.3.

Die twee kontroles het 'n mate van ooreenkoms, maar twee groot onderskeidings maak die vereistes van 2022 meer lastig.

Spesifieke vereistes vir elektriese, fisiese en verbale oordragte

Afdeling 13.2.3 in die 2013-weergawe het die besondere eise vir die oordrag van data deur elektroniese boodskappe gedek.

Dit het egter nie spesifiek die oordrag van inligting deur verbale of fisiese wyse aangespreek nie.

In vergelyking, die 2022-weergawe is presies in sy identifikasie van drie tipes inligting-oordrag, en skets die nodige inhoud vir elk van hulle individueel.

ISO 27001:2022 Stel strenger vereistes vir elektroniese oordrag

Afdeling 13.2.3 van die 2022-weergawe stel strenger vereistes vir die inhoud van elektroniese boodskapooreenkomste.

Organisasies moet nuwe regulasies vir digitale oordragte uiteensit en uitvoer in die vorm van reëls, prosedures en kontrakte vir ISO 27001:2022.

Organisasies moet byvoorbeeld hul personeel waarsku teen die gebruik van SMS-dienste wanneer hulle sensitiewe inligting oordra.

Gedetailleerde vereistes vir fisiese oordragte

Die 2022-weergawe stel strenger regulasies op die fisiese oordrag van bergingsmedia. Dit is byvoorbeeld meer deeglik in sy verifikasie van koeriers en beskerming teen verskillende vorme van skade.

Strukturele veranderinge

In die 2013-weergawe is daar uitdruklik verwys na die nodige vereistes van inligtingsoordragooreenkomste. Die 'Reëls' en 'Prosedures' is egter nie in besonderhede uiteengesit nie.

Vir ISO 27001:2022 word spesifieke kriteria vir elk van die drie benaderings uiteengesit.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.

Hoe ISMS.online help

Implementering van ISO 27001:2022 kan eenvoudiger gemaak word met ons stap-vir-stap kontrolelys. Dit sal jou deur die hele proses lei van die definisie van die omvang van jou ISMS tot risiko's te identifiseer en die implementering van beheermaatreëls.

Bespreek vandag nog jou demonstrasie. Afsprake is sewe dae per week beskikbaar, so skeduleer joune by 'n tyd wat vir jou werk.