Wat vereis beheer A.3.5?
Inligting moet geklassifiseer word volgens die inligtingsekuriteitsbehoeftes van die organisasie, met inagneming van persoonlike inligting (PII), gebaseer op vertroulikheid, integriteit, beskikbaarheid en relevante vereistes van belanghebbendes.
Hierdie beheer sit binne die gedeelde sekuriteitskontroles (Tabel A.3Dit brei die standaard ISO 27001-inligtingklassifikasievereiste uit deur dit eksplisiet te maak dat PII binne die klassifikasieskema oorweeg moet word, nie as 'n nagedagte behandel moet word nie.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.3.5) verskaf die volgende riglyne:
- Die klassifikasieskema moet oorweeg eksplisiet PII as 'n kategorie inligting wat beskerming benodig
- Verstaan watter PII die organisasie verwerk, waar dit gestoor word, en deur watter stelsels dit kan vloei
- Oorweeg die tipe PII en of dit spesiale kategorieë insluit (bv. gesondheidsdata, biometriese data, rasse- of etniese oorsprong)
- Klassifikasie behoort die toepassing van toepaslike beheermaatreëls te dryf, met hoër klassifikasies wat sterker beskerming ontvang.
- Die skema moet prakties wees en konsekwent regdeur die organisasie toegepas word
- Sien ook A.3.20: Stoormedia vir verwante vereistes
- Sien ook A.3.21: Veilige wegdoening of hergebruik van toerusting vir verwante vereistes
Die riglyne erken dat persoonlike inligting nie 'n enkele, homogene kategorie is nie. 'n E-posadres het 'n ander risikoprofiel as 'n mediese rekord. Die klassifikasieskema moet hierdie verskille weerspieël en proporsionele beskerming bied.
Hoe pas dit by die GDPR?
Beheer A.3.5 karteer na BBP Artikel 5(1)(f) (integriteit en vertroulikheid) en Artikel 32(2) (vereiste om toepaslike tegniese en organisatoriese maatreëls vir die sekuriteit van verwerking te implementeer). Die BBP verwag 'n risikogebaseerde benadering tot sekuriteit, en klassifikasie is die meganisme waardeur risikovlakke aan verskillende tipes inligting toegeken word.
Spesiale kategorieë van persoonlike data kragtens GDPR Artikel 9 behoort die hoogste klassifikasievlak te ontvang, wat die bykomende beskermings weerspieël wat die regulasie vir hierdie tipe data vereis.
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
As 'n gedeelde sekuriteitsbeheer ondersteun A.3.5 die breër ISO 29100 raamwerk. Klassifikasie is 'n fundamentele beheermeganisme wat die konsekwente toepassing van die inligtingsekuriteitsbeginsel oor alle tipes inligting moontlik maak, met PII wat die aandag kry wat dit benodig.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.5 beoordeel word, sal ouditeure tipies kyk na:
- Klassifikasieskema — ’n Gedokumenteerde klassifikasiebeleid wat eksplisiet PII en spesiale kategorieë van PII as klassifikasie-oorwegings insluit
- Data-inventaris — 'n Register van die persoonlike inligting wat die organisasie verwerk, waar dit gestoor word en watter stelsels dit hanteer
- Klassifikasiebesluite — Bewyse dat bates wat persoonlike inligting bevat volgens die skema geklassifiseer is (bv. databasisse gemerk as "Vertroulik" of "Beperk")
- Beheer kartering — Bewyse dat klassifikasievlakke die toepassing van sekuriteitsbeheermaatreëls dryf (hoër klassifikasie = sterker beheermaatreëls)
- Opleiding en bewustheid — Bewyse dat personeel die klassifikasieskema verstaan en hoe om dit op persoonlike inligting toe te pas
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.6 Etikettering van inligting | Sodra inligting geklassifiseer is, moet dit gemerk word sodat die klassifikasie sigbaar en afdwingbaar is. |
| A.3.3 Beleide vir inligtingsekuriteit | Die klassifikasieskema moet binne die inligtingsekuriteitsbeleid gedefinieer word of daardeur verwys word. |
| A.3.7 Inligtingsoordrag | Oordragreëls moet verwys na klassifikasievlakke om toepaslike oordragmeganismes te bepaal |
| A.3.8 Identiteitsbestuur | Toegang tot hoër geklassifiseerde persoonlike inligting (PII) moet beperk word deur middel van identiteits- en toegangsbeheerkontroles |
| A.3.4 Rolle en verantwoordelikhede | Inligtingseienaars (’n gedefinieerde rol) is verantwoordelik vir klassifikasiebesluite |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste onder Klousule 6.5.2.1 gedek. Die inhoud is onveranderd, maar die 2025-herstrukturering integreer die beheer duideliker in die gedeelde sekuriteitsbeheerraamwerk. Die implementeringsriglyne in B.3.5 beklemtoon nou meer eksplisiet die begrip van datavloei en spesiale kategorieë van PII as deel van die klassifikasieproses. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Hoekom kies ISMS.aanlyn vir die klassifisering en beskerming van persoonlike inligting?
ISMS.aanlyn help jou om 'n praktiese inligtingklassifikasieskema te bou en in stand te hou:
- Bateregister met klassifikasie — Teken elke inligtingsbate aan, ken 'n klassifikasievlak toe en merk bates wat persoonlike inligting of spesiale kategorieë van persoonlike inligting bevat
- Datavloei-kartering — Visualiseer waar PII gestoor word en hoe dit deur stelsels beweeg, wat dit makliker maak om bates te identifiseer wat klassifikasie-aandag benodig
- Beheerskakeling — Koppel klassifikasievlakke aan die sekuriteitsbeheermaatreëls wat op elke vlak toegepas moet word, en verseker proporsionele beskerming
- Hersien werkvloeie — Beplan periodieke klassifikasie-oorsigte en volg voltooiing op, sodat klassifikasies op datum bly soos verwerkingsaktiwiteite verander
- Bewustheidsinstrumente — Versprei klassifikasieriglyne aan personeel en hou erkenning dop, wat die opleidingsbewyse ondersteun wat ouditeure verwag
Vrae & Antwoorde
Hoe moet PII in 'n bestaande klassifikasieskema inpas?
Die meeste organisasies gebruik 'n gelaagde klassifikasieskema (bv. Openbaar, Intern, Vertroulik, Beperk). PII moet tipies as Vertroulik of hoër geklassifiseer word, met spesiale kategorieë van PII (gesondheids-, biometriese, rasse-/etniese data) op die hoogste vlak. Indien u bestaande skema nie 'n vlak het wat die sensitiwiteit van PII voldoende vasvang nie, oorweeg dit om een by te voeg of die beskrywings van bestaande vlakke op te dateer om PII eksplisiet aan te spreek.
Moet ons elke individuele rekord klassifiseer?
Nee. Klassifikasie word tipies op batevlak (bv. 'n databasis, 'n lêerdeling, 'n toepassing) toegepas eerder as op die individuele rekordvlak. Die sleutel is om te verstaan watter bates PII bevat en dit toepaslik te klassifiseer. Waar 'n enkele stelsel verskillende tipes PII met verskillende sensitiwiteitsvlakke bevat, klassifiseer dit op grond van die sensitiefste data wat dit bevat.
Wat is spesiale kategorieë van PII?
Onder die AVG sluit spesiale kategorieë data in wat rasse- of etniese oorsprong, politieke menings, godsdienstige oortuigings, vakbondlidmaatskap, genetiese data, biometriese data vir identifikasie, gesondheidsdata en data rakende sekslewe of seksuele oriëntasie openbaar. ISO 27701 gebruik die breër term "sensitiewe PII" en laat die spesifieke kategorieë aan toepaslike wetgewing oor. Jou klassifikasieskema moet hierdie tipes identifiseer en die hoogste beskermingsvlak aan hulle toeken.
Dokumenteer hierdie beheer in jou Verklaring van toepaslikheid met jou implementeringsrasionaal.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag.
