Wat vereis beheer A.3.6?
'n Gepaste stel prosedures vir inligting-etikettering wat PII in ag neem, moet ontwikkel en geïmplementeer word in ooreenstemming met die inligtingklassifikasieskema wat deur die organisasie aangeneem is.
Hierdie beheer sit binne die gedeelde sekuriteitskontroles (Tabel A.3) en werk direk met A.3.5 (Klassifikasie)Klassifikasie ken 'n sensitiwiteitsvlak toe; etikettering maak daardie vlak sigbaar vir enigiemand wat die inligting hanteer.
Wat sê die implementeringsriglyne?
Aanhangsel B (afdeling B.3.6) verskaf gefokusde leiding:
- Verseker dat mense onder die organisasie se beheer is bewus van die definisie van PII en hoe om inligting te herken wat PII is
- Etiketteringsprosedures moet alle formate dek: digitale lêers, fisiese dokumente, e-posse, databasisse, stoormedia en stelselkoppelvlakke.
- Etikette moet duidelik, konsekwent en in lyn wees met die klassifikasieskema wat gedefinieer word onder A.3.5 Klassifikasie van inligting
- Waar outomatiese etiketteringsinstrumente gebruik word, moet hulle gekonfigureer word om PII toepaslik te identifiseer en te etiketteer
- Sien ook A.3.20: Stoormedia vir verwante vereistes
- Sien ook A.3.21: Veilige wegdoening of hergebruik van toerusting vir verwante vereistes
Die riglyne is doelbewus bondig omdat die kernuitdaging nie tegnies is nie, maar gedragsmatig: mense moet weet hoe persoonlike inligting (PII) lyk en hoe om dit korrek te etiketteer. Sonder hierdie bewustheid sal selfs die beste klassifikasieskema nie konsekwent toegepas word nie.
Hoe pas dit by die GDPR?
Beheer A.3.6 karteer na BBP Artikel 5(1)(f) (integriteit en vertroulikheid). Die BBP skryf nie spesifieke etiketteringsvereistes voor nie, maar die beginsel van toepaslike tegniese en organisatoriese maatreëls omvat die sigbaarheid van inligtingsensitiwiteit sodat dit korrek hanteer kan word. Etikettering ondersteun die praktiese implementering van databeskerming deur ontwerp en by verstek (Artikel 25).
Hoe hou dit verband met ISO 29100-privaatheidsbeginsels?
As 'n gedeelde sekuriteitsbeheer ondersteun A.3.6 die breër ISO 29100 raamwerk. Konsekwente etikettering van bates wat persoonlike inligting bevat, is 'n praktiese implementering van die inligtingsekuriteitsbeginsel, wat verseker dat almal wat inligting hanteer, die sensitiwiteit daarvan met 'n oogopslag kan identifiseer en die korrekte hanteringsprosedures kan toepas.
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Watter bewyse verwag ouditeure?
Wanneer voldoening aan A.3.6 beoordeel word, sal ouditeure tipies kyk na:
- Etiketteringsprosedures — Gedokumenteerde prosedures wat beskryf hoe inligting (insluitend persoonlike inligting) in alle formate geëtiketteer moet word
- Konsekwentheid met klassifikasie — Bewyse dat etikettering ooreenstem met die klassifikasieskema wat gedefinieer is onder A.3.5 Klassifikasie van inligting
- Opleiding en bewustheid — Bewyse dat personeel weet wat PII is, hoe om dit te herken en hoe om dit korrek te etiketteer
- Steekproewe — Gemonsterde bewyse van etikettering in die praktyk: dokumente met korrekte klassifikasiemerkies, databasisse met PII-vlae, e-posse met sensitiwiteitsetikette
- Outomatiese etikettering — Waar gereedskap gebruik word, bewys van konfigurasie en periodieke validering dat outomatiese etikette akkuraat is
Wat is die verwante kontroles?
| Beheer | Verhoudings |
|---|---|
| A.3.5 Klassifikasie van inligting | Etikettering implementeer die klassifikasieskema deur sensitiwiteitsvlakke sigbaar te maak |
| A.3.7 Inligtingsoordrag | Etikette help om oordragreëls af te dwing deur dit duidelik te maak watter inligting addisionele voorsorgmaatreëls tydens oordrag vereis. |
| A.3.3 Beleide vir inligtingsekuriteit | Etiketteringsprosedures moet in die inligtingsekuriteitsbeleid verwys word of daaruit afgelei word. |
| A.3.8 Identiteitsbestuur | Geëtiketteerde inligting kan gebruik word om toegangsbeperkings deur identiteitsbestuurstelsels af te dwing |
| A.3.4 Rolle en verantwoordelikhede | Inligtingseienaars is verantwoordelik om te verseker dat hul bates korrek gemerk is |
Wat het verander van ISO 27701:2019?
Vir 'n stap-vir-stap benadering, sien die Oorgang van 2019 na 2025.
In die 2019-uitgawe is hierdie vereiste onder Klousule 6.5.2.2 gedek. Die inhoud is onveranderd. Die 2025-herstrukturering plaas etikettering saam met klassifikasie in die gedeelde sekuriteitsbeheermaatreëls, wat versterk dat die twee as 'n paar werk. Die implementeringsriglyne in B.3.6 behou die kernboodskap: verseker dat mense PII kan herken en weet hoe om dit te etiketteer. Sien die Aanhangsel F korrespondensietabel vir die volledige kartering.
Begin maklik met 'n persoonlike produkdemonstrasie
Een van ons aanboordspesialiste sal jou deur ons platform lei om jou te help om met selfvertroue te begin.
Hoekom kies ISMS.aanlyn vir inligtingetikettering?
ISMS.aanlyn help jou om konsekwente etikettering regdeur jou organisasie te implementeer en te handhaaf:
- Bate-etikettering — Merk elke inligtingsbate in die register met sy klassifikasievlak en PII-status, wat 'n enkele bron van waarheid skep
- Etiketteringsprosedure-sjablone — Gebruik voorafgeboude proseduresjablone wat digitale, fisiese en e-posetikettering dek, en pas dit dan aan vir jou omgewing
- Opleidings- en bewusmakingsveldtogte — Versprei etiketteringsriglyne aan alle personeel en hou dop wie die opleiding voltooi het
- Voldoeningskontroles — Teken die resultate van steekproefkontroles en -hersienings van etikette aan, en koppel bevindinge aan korrektiewe aksies waar nodig
- Integrasie met klassifikasie — Klassifikasievlakke en etikette word saam bestuur, wat konsekwentheid verseker tussen wat die skema sê en watter etikette werklik toegepas word
Vrae & Antwoorde
Watter etiketteringsmetodes is aanvaarbaar?
Enige metode wat die klassifikasievlak sigbaar en uitvoerbaar maak. Vir digitale dokumente kan dit kop-/voetskrifmerkies, metadata-etikette of sensitiwiteitsetikette in e-pos en samewerkingsinstrumente wees (bv. Microsoft Purview Information Protection). Vir fisiese dokumente werk gedrukte klassifikasiemerkies of kleurgekodeerde vouers goed. Vir databasisse en stelsels kan etikette deur middel van metadatavelde of toegangsbeheeretikette toegepas word.
Hoe verseker ons dat mense PII herken?
Verskaf duidelike definisies en voorbeelde in jou opleidingsmateriaal. PII sluit voor die hand liggende identifiseerders soos name, e-posadresse en nasionale ID-nommers in, maar ook minder voor die hand liggende data wat 'n individu in kombinasie kan identifiseer, soos postitel, departement en ligging. Gebruik werklike voorbeelde uit jou eie stelsels (geanonimiseerd) om mense te help om PII in konteks te herken. Gereelde opknappingsopleiding hou bewustheid op datum.
Moet outomatiese etikettering handmatige etikettering vervang?
Geoutomatiseerde etiketteringsinstrumente kan konsekwentheid aansienlik verbeter en die las op individue verminder, veral vir e-pos- en dokumentetikettering. Hulle moet egter menslike oordeel aanvul eerder as vervang. Geoutomatiseerde instrumente identifiseer moontlik nie alle persoonlike inligting korrek nie, veral in ongestruktureerde inhoud. 'n Kombinasie van outomatiese standaardetikettering met handmatige oorskrywingsvermoë en periodieke validering is die mees praktiese benadering.
sien ons gids vir vereistes vir ouditbewyse vir wat ouditeure verwag.
