Klassifikasie van inligting is 'n proses wat organisasies in staat stel om groep inligting bates in relevante kategorieë, afhangende van die vlak van beskerming, moet elke kategorie inligting verskaf word.
Beheer 5.12 handel oor die implementering van 'n klassifikasie van inligtingskema gebaseer op vertroulikheid, integriteit en beskikbaarheidsvereistes vir inligtingbates.
5.12 is 'n voorkomende beheer wat risiko's identifiseer deur organisasies in staat te stel om die vlak van beskerming vir elke inligtingsbate te bepaal op grond van die inligting se vlak van belangrikheid en sensitiwiteit.
5.12 organisasies uitdruklik waarsku teen oor- of onderklassifikasie van inligting in die aanvullende leiding. Dit bepaal dat organisasies die vertroulikheid, beskikbaarheid en integriteitsvereistes in ag moet neem wanneer hulle bates aan relevante kategorieë toewys.
Dit verseker dat klassifikasieskema 'n gepaste balans tussen besigheidsbehoeftes vir inligting en die sekuriteitsvereistes vir elke kategorie inligting.
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Identifiseer | #Inligtingbeskerming | #Beskerming #Verdediging |
Terwyl daar 'n organisasiewye klassifikasie van inligtingskemas moet wees met klassifikasievlakke en kriteria vir hoe om inligtingsbates te klassifiseer, inligtingsbate-eienaars is uiteindelik verantwoordelik vir die implementering van 'n klassifikasieskema.
5.12 erken uitdruklik dat eienaars van die betrokke inligting bate verantwoordbaar moet wees.
Byvoorbeeld, as die rekeningkundige afdeling toegang het tot die dopgehou met betaalstaatverslae en bankstate, moet hulle inligting klassifiseer op grond van die organisasiewye klassifikasieskema.
Wanneer inligting geklassifiseer word, moet die bate-eienaar in ag neem rekening hou met die besigheid se behoeftes, vlak van impak wat die kompromie van inligting op die organisasie sou hê en die vlak van belangrikheid en sensitiwiteit van inligting.
Om 'n robuuste klassifikasie van inligtingskema te implementeer, moet organisasies 'n onderwerpspesifieke benadering volg, elke besigheidseenheid se behoeftes aan inligting verstaan, en die vlak van sensitiwiteit en kritiekheid van inligting bepaal.
5.12 vereis dat organisasies die volgende sewe kriteria in ag neem wanneer hulle 'n klassifikasieskema implementeer:
5.12 verwys uitdruklik na 5.1, Toegangsbeheer en vereis van organisasies om te voldoen aan onderwerpspesifieke beleide soos beskryf in die 5.1. Daarbenewens moet die klassifikasieskema en vlakke spesifieke besigheidsbehoeftes in ag neem.
As jy 'n inligtingsbate aan 'n klassifikasiekategorie toewys wat onnodig hoër is, kan dit die risiko van ontwrigting van jou kritieke besigheidsfunksies meebring deur toegang tot en gebruik van inligting te beperk.
Daarom moet jy daarna streef om 'n balans te vind tussen jou spesifieke besigheidsbehoeftes vir beskikbaarheid en gebruik van inligting en die vereistes vir vertroulikheid en integriteit van daardie inligting.
Sommige wette kan strenger verpligtinge op jou lê om vertroulikheid, integriteit en beskikbaarheid van inligting te verseker. Wanneer inligtingsbates aan kategorieë toegewys word, moet wetlike verpligtinge voorrang geniet bo jou eie klassifikasie.
Elke tipe inligting het 'n ander vlak van kritiek vir elke besigheid se bedrywighede en het 'n ander vlak van sensitiwiteit, afhangende van die konteks.
By die implementering van klassifikasie van inligtingskema, moet organisasies vra:
Watter impak sal die kompromie van integriteit, beskikbaarheid en vertroulikheid van hierdie inligting op die organisasie hê?
Databasisse van professionele e-posadresse van gekwalifiseerde leidrade en gesondheidsrekords van werknemers verskil byvoorbeeld wyd in terme van die vlak van sensitiwiteit en die potensiële impak.
5.12 neem kennis dat die waarde, kritiek en sensitiwiteit van inligting nie staties is nie en regdeur die lewensiklus van die inligting kan verander. Daarom moet u elke klassifikasie gereeld hersien en die nodige opdaterings aanbring.
As voorbeeld van so 'n verandering verwys die 5.12 na die bekendmaking van inligting aan die publiek, wat die waarde en sensitiwiteit van inligting aansienlik verminder.
Daar is nie een manier om inligting te klassifiseer nie en elke organisasie kan verskillende name, vlakke en kriteria hê wanneer dit kom by klassifikasie van inligtingskemas.
Hierdie verskille kan lei tot risiko's wanneer die twee organisasies inligtingsbates met mekaar uitruil. Daarom moet jy 'n ooreenkoms met jou eweknie aangaan om te verseker dat daar konsekwentheid in klassifikasie van inligting en interpretasie van klassifikasievlakke is.
Elke departement binne die organisasie behoort 'n gemeenskaplike begrip van klassifikasievlakke en prosedures te hê sodat klassifikasies oor die hele organisasie konsekwent is.
Terwyl 5.12 erken dat daar geen een-grootte-pas-almal klassifikasieskema is nie en organisasies speelruimte het om individuele klassifikasievlakke te besluit en te beskryf, gee dit die volgende voorbeeld as 'n inligtingklassifikasieskema:
a) Openbaarmaking veroorsaak geen skade nie;
b) Openbaarmaking veroorsaak geringe reputasieskade of geringe operasionele impak;
c) Openbaarmaking het 'n beduidende korttermyn impak op bedrywighede of besigheidsdoelwitte;
d) Openbaarmaking het 'n ernstige impak op langtermyn besigheidsdoelwitte of stel die voortbestaan van die organisasie in gevaar.
Die klassifikasie van inligting is in afdeling 8.2.1 in die vorige weergawe aangespreek.
Alhoewel die twee weergawes baie soortgelyk is, is daar twee sleutelverskille:
In die ou weergawe was daar geen eksplisiete verwysing na die vereiste vir konsekwentheid van klassifikasievlakke wanneer inligting tussen organisasies oorgedra word nie.
In die 2022-weergawe moet jy egter 'n ooreenkoms met jou eweknie instel om te verseker dat daar konsekwentheid is in klassifikasie van inligting en interpretasie van klassifikasievlakke.
Tweedens vereis die nuwe weergawe uitdruklik van organisasies om onderwerpspesifieke beleide in te stel. In die ouer weergawe, daarenteen, was daar net 'n kort verwysing na die toegangsbeheer.
Ons platform is intuïtief en maklik om te gebruik. Dit is nie net vir hoogs tegniese mense nie; dis vir almal in jou organisasie. Ons moedig jou aan om personeel op alle vlakke van jou besigheid te betrek by die bou van jou ISMS, want dit help jou om 'n werklik volhoubare stelsel te bou.
Kontak vandag nog om bespreek 'n demo.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
