ISO 27002:2022, Kontrol 8.11, Datamaskering

Formål med kontrol 8.11

Datamaskering er en teknik, der bruges til at beskytte følsomme data – sædvanligvis enhver data, der kan betragtes som personlig identificerbar information (PII) – ud over en organisations standard informationssikkerhedsprotokoller såsom adgangskontrol osv.

Datamaskering er ofte nævnt i juridiske, lovpligtige og regulatoriske retningslinjer og love, der regulerer opbevaring og adgang til medarbejder-, kunde-, bruger- og leverandøroplysninger.

Attributter Kontroltabel 8.11

Kontrol 8.11 er en forebyggende kontrollere det ændrer risikoen ved at foreslå en række datamaskeringsteknikker, som beskytter PII og hjælper organisationen med at forblive i overensstemmelse med, hvad der bliver bedt om den af juridiske myndigheder og regulerende agenturer.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Beskytte	#Informationsbeskyttelse	#Beskyttelse

Ejerskab af kontrol 8.11

Datamaskering er en kompleks teknisk proces, der involverer ændring af følsom information og forhindrer brugere i at identificere registrerede gennem en række forskellige foranstaltninger.

Selvom dette i sig selv er en administrativ opgave, er karakteren af datamaskering direkte relateret til en organisations evne til at forblive i overensstemmelse med love, regler og lovbestemte retningslinjer vedrørende opbevaring, adgang og behandling af data. Som sådan bør ejerskabet ligge hos Chief Information Security Officereller tilsvarende organisatorisk.

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo

Generel vejledning om overholdelse

Kontrol 8.11 beder organisationer om at overveje datamaskering gennem omfanget af to hovedteknikker – pseudonymisering og / eller anonymisering. Begge disse metoder er designet til at skjule det sande formål med PII gennem adskillelse – dvs. at skjule forbindelsen mellem de rå data og emnet (normalt en person).

Organisationer bør være meget omhyggelige med at sikre, at intet enkelt stykke data kompromitterer emnets identitet.

Når du bruger en af disse teknikker, bør organisationer overveje:

Niveauet af pseudonymisering og/eller anonymisering, der kræves i forhold til arten af data.
Hvordan tilgås de maskerede data.
Eventuelle bindende aftaler, der begrænser brugen af de data, der skal maskeres.
Holde de maskerede data adskilt fra andre datatyper for at forhindre, at den registrerede let kan identificeres.
Logning af, hvornår dataene blev modtaget, og hvordan de er blevet leveret til interne eller eksterne kilder.

Vejledning – Yderligere teknikker

Pseudonymisering og anonymisering er ikke de eneste metoder, der er tilgængelige for organisationer, der ønsker at maskere PII eller følsomme data. Kontrol 8.11 beskriver 5 andre metoder, der kan bruges til at styrke datasikkerheden:

Nøglebaseret kryptering.
Sletning eller sletning af tegn i datasættet.
Varierende antal og datoer.
Udskiftning af værdier på tværs af data.
Hash-baseret værdimaskering.

Vejledning – Datamaskeringsprincipper

Datamaskering er en vigtig del af en organisations politik for beskyttelse af PII og sikring af identiteten på de personer, som den har data om.

Ud over ovenstående teknikker bør organisationer overveje nedenstående forslag, når de planlægger deres tilgang til datamaskering:

Implementer maskeringsteknikker, der kun afslører mindste mængde data til enhver, der bruger det.
'tilsløring' (skjuler) visse stykker data efter anmodning fra forsøgspersonen og kun tillader visse medarbejdere at få adgang til de sektioner, der er relevante for dem.
Opbygning af deres datamaskeringsoperation omkring specifikke juridiske og regulatoriske retningslinjer.
Hvor pseudonymisering er implementeret, holdes den algoritme, der bruges til at 'afmaske' dataene, sikkert og sikkert.

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo

Ændringer og forskelle fra ISO 27002:2013

Ingen. Kontrol 8.11 har ingen præcedens i ISO 27002:2013, da den er ny.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.7	NY	Trusselsintelligens
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.30	NY	IKT-parathed til forretningskontinuitet
7.4	NY	Fysisk sikkerhedsovervågning
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.16	NY	Overvågning af aktiviteter
8.23	NY	Webfiltrering
8.28	NY	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	NY	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	5.30	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	NY	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	NY	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	NY	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	NY	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

Vores cloud-baserede platform giver dig en robust ramme for informationssikkerhedskontroller, så du kan tjekke din ISMS-proces, mens du går, for at sikre, at den opfylder kravene til ISO 27002:2022.

Kontakt i dag for book en demo.

Vi er førende inden for vores felt