Doel van beheer 5.12
5.12 is 'n voorkomende beheer wat risiko's identifiseer deur organisasies in staat te stel om die vlak van beskerming vir elke inligtingsbate te bepaal op grond van die inligting se vlak van belangrikheid en sensitiwiteit.
5.12 organisasies uitdruklik waarsku teen oor- of onderklassifikasie van inligting in die aanvullende leiding. Dit bepaal dat organisasies die vertroulikheid, beskikbaarheid en integriteitsvereistes in ag moet neem wanneer hulle bates aan relevante kategorieë toewys.
Dit verseker dat klassifikasieskema 'n gepaste balans tussen besigheidsbehoeftes vir inligting en die sekuriteitsvereistes vir elke kategorie inligting.
Eienskappe van beheer 5.12
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Identifiseer | #Inligtingbeskerming | #Beskerming |
| #Integriteit | #Verdediging | |||
| #Beskikbaarheid |
Eienaarskap van beheer 5.12
Terwyl daar 'n organisasiewye klassifikasie van inligtingskemas moet wees met klassifikasievlakke en kriteria vir hoe om inligtingsbates te klassifiseer, inligtingsbate-eienaars is uiteindelik verantwoordelik vir die implementering van 'n klassifikasieskema.
5.12 erken uitdruklik dat eienaars van die betrokke inligting bate verantwoordbaar moet wees.
Byvoorbeeld, as die rekeningkundige afdeling toegang het tot die dopgehou met betaalstaatverslae en bankstate, moet hulle inligting klassifiseer op grond van die organisasiewye klassifikasieskema.
Wanneer inligting geklassifiseer word, moet die bate-eienaar in ag neem rekening hou met die besigheid se behoeftes, vlak van impak wat die kompromie van inligting op die organisasie sou hê en die vlak van belangrikheid en sensitiwiteit van inligting.
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Algemene riglyne oor beheer 5.12
Om 'n robuuste klassifikasie van inligtingskema te implementeer, moet organisasies 'n onderwerpspesifieke benadering volg, elke besigheidseenheid se behoeftes aan inligting verstaan, en die vlak van sensitiwiteit en kritiekheid van inligting bepaal.
5.12 vereis dat organisasies die volgende sewe kriteria in ag neem wanneer hulle 'n klassifikasieskema implementeer:
- Stel 'n onderwerpspesifieke beleid vas en spreek die spesifieke besigheidsbehoeftes aan
5.12 verwys uitdruklik na 5.1, Toegangsbeheer en vereis van organisasies om te voldoen aan onderwerpspesifieke beleide soos beskryf in die 5.1. Daarbenewens moet die klassifikasieskema en vlakke spesifieke besigheidsbehoeftes in ag neem.
- Neem besigheidsbehoeftes vir die deel en gebruik van inligting en die behoefte aan beskikbaarheid in ag
As jy 'n inligtingsbate aan 'n klassifikasiekategorie toewys wat onnodig hoër is, kan dit die risiko van ontwrigting van jou kritieke besigheidsfunksies meebring deur toegang tot en gebruik van inligting te beperk.
Daarom moet jy daarna streef om 'n balans te vind tussen jou spesifieke besigheidsbehoeftes vir beskikbaarheid en gebruik van inligting en die vereistes vir vertroulikheid en integriteit van daardie inligting.
- Oorweeg wetlike verpligtinge
Sommige wette kan strenger verpligtinge op jou lê om vertroulikheid, integriteit en beskikbaarheid van inligting te verseker. Wanneer inligtingsbates aan kategorieë toegewys word, moet wetlike verpligtinge voorrang geniet bo jou eie klassifikasie.
- Neem 'n risiko-gebaseerde benadering en oorweeg die potensiële impak van 'n kompromie
Elke tipe inligting het 'n ander vlak van kritiek vir elke besigheid se bedrywighede en het 'n ander vlak van sensitiwiteit, afhangende van die konteks.
By die implementering van klassifikasie van inligtingskema, moet organisasies vra:
Watter impak sal die kompromie van integriteit, beskikbaarheid en vertroulikheid van hierdie inligting op die organisasie hê?
Databasisse van professionele e-posadresse van gekwalifiseerde leidrade en gesondheidsrekords van werknemers verskil byvoorbeeld wyd in terme van die vlak van sensitiwiteit en die potensiële impak.
- Hersien en werk die klassifikasie gereeld op
5.12 neem kennis dat die waarde, kritiek en sensitiwiteit van inligting nie staties is nie en regdeur die lewensiklus van die inligting kan verander. Daarom moet u elke klassifikasie gereeld hersien en die nodige opdaterings aanbring.
As voorbeeld van so 'n verandering verwys die 5.12 na die bekendmaking van inligting aan die publiek, wat die waarde en sensitiwiteit van inligting aansienlik verminder.
- Raadpleeg ander organisasies met wie jy inligting deel en spreek enige verskille aan
Daar is nie een manier om inligting te klassifiseer nie en elke organisasie kan verskillende name, vlakke en kriteria hê wanneer dit kom by klassifikasie van inligtingskemas.
Hierdie verskille kan lei tot risiko's wanneer die twee organisasies inligtingsbates met mekaar uitruil. Daarom moet jy 'n ooreenkoms met jou eweknie aangaan om te verseker dat daar konsekwentheid in klassifikasie van inligting en interpretasie van klassifikasievlakke is.
- Konsekwentheid op organisasievlak
Elke departement binne die organisasie behoort 'n gemeenskaplike begrip van klassifikasievlakke en prosedures te hê sodat klassifikasies oor die hele organisasie konsekwent is.
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Leiding oor hoe om klassifikasie van inligtingskema te implementeer
Terwyl 5.12 erken dat daar geen een-grootte-pas-almal klassifikasieskema is nie en organisasies speelruimte het om individuele klassifikasievlakke te besluit en te beskryf, gee dit die volgende voorbeeld as 'n inligtingklassifikasieskema:
a) Openbaarmaking veroorsaak geen skade nie;
b) Openbaarmaking veroorsaak geringe reputasieskade of geringe operasionele impak;
c) Openbaarmaking het 'n beduidende korttermyn impak op bedrywighede of besigheidsdoelwitte;
d) Openbaarmaking het 'n ernstige impak op langtermyn besigheidsdoelwitte of stel die voortbestaan van die organisasie in gevaar.
Veranderinge en verskille vanaf ISO 27002:2013
Die klassifikasie van inligting is in afdeling 8.2.1 in die vorige weergawe aangespreek.
Alhoewel die twee weergawes baie soortgelyk is, is daar twee sleutelverskille:
In die ou weergawe was daar geen eksplisiete verwysing na die vereiste vir konsekwentheid van klassifikasievlakke wanneer inligting tussen organisasies oorgedra word nie.
In die 2022-weergawe moet jy egter 'n ooreenkoms met jou eweknie instel om te verseker dat daar konsekwentheid is in klassifikasie van inligting en interpretasie van klassifikasievlakke.
Tweedens vereis die nuwe weergawe uitdruklik van organisasies om onderwerpspesifieke beleide in te stel. In die ouer weergawe, daarenteen, was daar net 'n kort verwysing na die toegangsbeheer.
Nuwe ISO 27002-kontroles
Nuwe kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.online help
Ons platform is intuïtief en maklik om te gebruik. Dit is nie net vir hoogs tegniese mense nie; dis vir almal in jou organisasie. Ons moedig jou aan om personeel op alle vlakke van jou besigheid te betrek by die bou van jou ISMS, want dit help jou om 'n werklik volhoubare stelsel te bou.
Kontak vandag nog om bespreek 'n demo.
Spring na onderwerp
