ISO/IEC 27010:2015 bied strategieë aan oor metodes, modelle, prosesse, beleide, kontroles, protokolle en ander raamwerke vir die deel van inligting met vertroude teenpartye, terwyl basiese konsepte van inligtingsekuriteit gehandhaaf word.
Die Internasionale Elektrotegniese Kommissie (IEC) en die Internasionale Organisasie vir Standaardisasie (ISO) het gesamentlik ISO 27010 uitgereik. Benewens die onderrig wat in die ISO 27000 familie, die standaard lei die inkorporering van inligtingsekuriteitbestuur oor inligtingsdeelgroepe.
ISO 27010 het ten doel om gedeelde kennis van sensitiewe infrastruktuur te verseker. Dit stel voor standaardreëls om sekuriteitskwessies te voorkom wanneer vertroulike inligting oorgedra word sowel as:
ISO 27010 bied riglyne oor inligtingsekuriteit-samewerking en samewerking tussen organisasies in dieselfde sektore, in afsonderlike sektore van die industrie en met regerings.
Die standaard stel ook riglyne uiteen vir die deel van inligting in tye van krisis en die beskerming van noodsaaklike infrastruktuur sowel as vir wedersydse begrip in normale besigheidsomstandighede om wetlike, regulatoriese en kontraktuele verpligtinge na te kom.
ISO 2012, wat die eerste keer in 27010 vrygestel is, het geringe redaksionele veranderinge in 2015 ontvang. Hierdie hersiening is gemaak om beter te voldoen aan die 2013-weergawes van ISO / IEC 27001 en ISO 27002. In Desember 2015 is die tweede uitgawe van ISO 27010 vrygestel.
Deel inligting, soos bedreigingsintelligensie, kom met sy eie unieke nadele en stel verskeie probleme in. Byvoorbeeld, organisasies kan uiteindelik rou, ongeëvalueerde hê inligting wat 'n ekstra las tot organisasies se sekuriteit bydra span deur die aantal voorvalle en waarskuwings te verhoog eerder as om dit te minimaliseer. Sommige sekuriteitsverskaffers verag ook die deel van data om te verhoed dat hul mededingende voordeel beskadig word.
ISO/IEC 27000-reeks standaarde bespreek sommige van hierdie probleme. Alle organisasies word aangemoedig om hul risiko's te evalueer, dit dan volgens hul behoeftes te hanteer, met behulp van advies en ondersteun waar toepaslik en gebruik inligtingsekuriteitskontroles. ISO/IEC 27010 verskaf kontroles en instruksies oor die aanvaarding, implementering, instandhouding van inligtingsekuriteit in interorganisatoriese en intersektorkommunikasie. Dit bied ook leiding en algemene beginsels oor hoe om aan gedefinieerde vereistes te voldoen deur bestaande boodskappe en ander tegniese metodes te gebruik.
Die standaard verwys na alle vorme van uitruil en deel van sensitiewe inligting, publiek en privaat, nasionaal en wêreldwyd, nie net net binne of tussen die industrie of sakesektore nie. Dit kan veral verwys na inligting-uitruiling en -deling wat verband hou met die verskaffing, instandhouding en beskerming van noodsaaklike infrastruktuur van 'n entiteit of nasiestaat. ISO 27010, wat gebou is om vertroue te bevorder terwyl vertroulike inligting uitgeruil en gedeel word, fasiliteer die internasionale groei van kulture wat inligting deel.
Ons het gevoel soos ons het
die beste van twee wêrelde. Ons was
ons kan gebruik
bestaande prosesse,
& die Aanneem, Pas aan
inhoud het ons nuut gegee
diepte aan ons ISMS.
Ons het begin met sigblaaie en dit was 'n nagmerrie. Met die ISMS.online oplossing is al die harde werk maklik gemaak.
Die standaardreeks ISO/IEC 27000 bied beste-praktyk-riglyne oor inligtingsekuriteitbestuur. ISO/IEC 27010:2015 is 'n sektorspesifieke aanvulling tot ISO/IEC 27001:2013 en ISO/IEC 27002:2013 vir gemeenskappe wat inligting deel. Benewens en komplementeer die generiese riglyne wat in ander lede van die ISO/IEC 27000-familie van standaarde verskaf word, die riglyne wat in hierdie internasionale standaard gevind word. Indien van toepassing, kan ISO 27006-sertifiseringsliggame na ISO 27010 verwys wanneer die sertifisering uitgereik word.
Een aspek waarin ISO 27010 algemene benaderings tot datasekuriteitselemente definieer in die proses om beleide en prosedures op te stel en af te dwing. Saam met opleiding en bewustheid inisiatiewe vir diegene wat aan die proses deelneem, en waarskynlik onafhanklike evaluerings of oudits om voldoening aan ISO/IEC 27010 en ander relevante ISO27k-standaarde te bevestig.
ISO/IEC 27010:2015 komplementeer ISO/IEC 27001:2013 en ISO/IEC 27002:2013 goed. ISO 27010 bied advies oor die begrip van ISO 27001 se kriteria wanneer inligting tussen organisasies uitgeruil word. Dit verskaf ook bykomende sekuriteitsmaatreëls en kennisdeling-instruksies bo dié wat in ISO 27002 voorkom.
ISO/IEC 27001:2013 en ISO/IEC 27002:2013 spreek inligting-uitruiling tussen organisasies aan, maar net wyd. Gestel organisasies wil vertroulike inligting aan verskeie ander organisasies oordra. In daardie geval moet die ander organisasies die oorspronklike eienaar verseker dat hul gebruik van inligting sal onderhewig wees aan toepaslike sekuriteitskontroles deur die ontvangsgroepe.
Organisasies kan hierdie vertroulikheid bereik deur 'n gemeenskap vir die deel van inligting te skep waarin elke deelnemer die ander vertrou om die gedeelde inligting te beskerm, selfs wanneer organisasies andersins mededingers kan wees.
ISO 27010 stel 'n nuwe beheermaatreël in sy klousule sewe bekend wat 'n reeks kwessies aanpak wat ISO 27002 nie eksplisiet aanspreek nie, amper in teenstelling met standaard nie-repudiasie voorwaardes. Hierdie beheer sluit in die beskerming van bronanonimiteit in die uitruil van inligting. Alhoewel ISO 27002 geskik is vir standaard "verskaffer" scenario's, bied 27010 'n paar nuwe hulpbronne om meer ingewikkelde situasies te hanteer.
Laai jou gratis gids af
om jou Infosec te stroomlyn
Hierdie internasionale standaard is relevant vir alle besighede en organisasies wat vertroulike inligting, publiek en privaat, in alle industrieë uitruil. Dit kan veral van toepassing wees op inligting-uitruiling en -deling wat verband hou met die verskaffing, instandhouding en beskerming van die noodsaaklike infrastruktuur van 'n entiteit of nasiestaat. Dit is te danke aan die bevordering van standaarde om vertroue te bou terwyl privaat inligting uitgeruil en gedeel word.
Dit sal nodig wees vir enige maatskappy wat inligtingsdeelinstrumente verskaf of gebruik wat beskerm word deur 'n inligtingsekuriteitbestuurstelsel (ISMS). Dit kan ook voordelig wees vir groot organisasies met geografies verspreide funksies wat inligting oor departemente of liggings uitruil.
Sonder vertroue kan 'n gemeenskap wat inligting deel nie funksioneer nie. Diegene wat inligting verskaf, moet ontvangers vertrou om nie die data bekend te maak of te mishandel nie. Diegene wat data ontvang, moet vertrou dat die akkuraatheid van die data, onderhewig aan enige vereistes wat deur die skepper in kennis gestel is. Beide aspekte is krities. ISO 27010 vereis dat gemeenskappe wat inligting deel om suksesvolle sekuriteitsbeleide te demonstreer en goeie praktyke moet ondersteun word. Om dit te doen, moet alle groeplede 'n samewerking aanvaar bestuurstelsel wat die gedeelde inligting se sekuriteit dek. Hierdie stelsel moet verkieslik 'n ISMS wees.
Die deel van inligting kan tussen groepe plaasvind waar die deelnemer nie bewus is van alle ontvangers nie. Om inligting op hierdie manier te deel, sal slegs werk as die gemeenskappe voldoende vertroue en inligtingsdeelooreenkomste het. Dit is veral relevant vir die deel van sensitiewe inligting tussen diverse gemeenskappe, soos verskillende nywerhede of marksektore.
Een scenario waarin inligting gedeel word, is in die geval van 'n data-oortreding. Deel potensiaal inligtingkwesbaarhede en sekuriteitsbekommernisse 'n voorbeeld van die wye verskeidenheid probleme en voordele wat die deel van inligting omring. Hierdie inligting-uitruilings vind gewoonlik plaas onder uiterste tydsdruk in 'n chaotiese atmosfeer - nie die gunstigste omgewing om vertrouende werksverhoudings te ontwikkel en ooreen te kom oor voldoende sekuriteitskontroles nie. Die risiko om te deel inligting rakende veiligheidsvoorvalle tussen verskillende entiteite sal afhang van die besonderhede van die spesifieke situasie ter sprake. As dit egter veilig gedoen word, kan die deel van hierdie inligting voorkom dat ander organisasies dieselfde probleme ondervind.
ISMS.online maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
ISO 27010 bestaan uit 18 klousules en 4 bylaes.
Klousule 1: Bestek
Klousule 2: Normatiewe verwysings
Klousule 3: Terme en definisies
Klousule 4: Konsepte en regverdiging
Klousule 5: Inligtingsekuriteitsbeleide
Klousule 6: Organisasie van inligtingsekuriteit
Klousule 7: Menslike hulpbronsekuriteit
Klousule 8: Batebestuur
Klousule 9: Toegangsbeheer
Klousule 10: Kriptografie
Klousule 11: Fisiese en omgewingsekuriteit
Klousule 12: Bedryfsekuriteit
Klousule 13: Kommunikasie sekuriteit
Klousule 14: Stelselverkryging, ontwikkeling en instandhouding
Klousule 15: Verskafferverhoudings
Klousule 16: Bestuur van inligtingsekuriteitsinsidente
Klousule 17: Inligtingsekuriteitsaspekte van besigheidskontinuïteitsbestuur
Klousule 18: Nakoming
Bylae A: Deel sensitiewe inligting
Bylae B: Vestiging van vertroue in inligting-uitruiling
Bylae C: Die Verkeersligprotokol
Bylae D: Modelle vir die organisering van 'n gemeenskap wat inligting deel