ISO/IEC 27038 skitserer funktionerne ved digitale redigeringstilgange. ISO 27038, udgivet i 2014, definerer også kriterier for softwareredaktionsværktøjer og for færdiggørelse testprocedurer sikkert.
Nogle gange kan du være nødt til at videregive oplysninger til tredjeparter, eller endda til offentligheden, til formål såsom offentliggørelse af officielle optegnelser i henhold til loven om fri adgang eller som bevismateriale i juridiske spørgsmål eller retssager. ISO 27038 giver dog ikke datadatabaserevision. Databaser tæller som 'enheder af registreret information', men de er udtrykkeligt undtaget fra standardens anvendelsesområde.
Redaktion er metoden til at fjerne materiale fra et dokument før frigivelse. I den juridiske sammenhæng er brugen af redaktion at slette følsomme, proprietære eller beskyttede oplysninger fra registre, før de indgives til retten, eller på anden måde gøre dem tilgængelige til visning uden for kontoret. En organisation kan også bruge redigering til at slette metadata eller materiale (f.eks. billeder) importeret til et dokument.
ISO 27038 beskriver redaktion som permanent fjernelse af information inde i et dokument, hvor dokumentet officielt defineres som registreret information og betragtes som en enhed. Definitioner er væsentlige, da disse ord også betyder andre ting i andre sammenhænge og generel brug. Senere i standarden udvides redaktionen til ikke kun at omfatte fjernelse af følsomme oplysninger, men også vise, hvor det fjernede materiale er, hvis det kræves.
Når det anses for uacceptabelt at afsløre følsomme detaljer i et dokument, skal organisationen sikkert slette oplysningerne før offentliggørelse. Eksempler på dette omfatter navne eller lokaliteter på personer, der skal forblive anonyme, og forskellige andre personlige eller proprietære optegnelser, der skal forblive strengt fortrolige.
Overvejelse af redaktion er typisk afgørende for at beskytte meget følsomme oplysninger. Fejl i proces, der fører til uautoriseret videregivelse af data er seriøse. Redaktionsmangler førte til begivenheder såsom identitetstyveri, afsløring af følsomme sikkerhedsproblemer, krænkelser af privatlivets fred og i nogle ekstreme tilfælde afsløring af identiteten af undercover-agenter og informanter. I modsætning hertil kan afsløring af forretningshemmeligheder være meget dyrt i en kommerciel sammenhæng. For dem, der anses for ansvarlige, kan i det mindste redaktionsfejl være ydmygende.
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
Vi startede med at bruge regneark, og det var et mareridt. Med ISMS.online-løsningen blev alt det hårde arbejde gjort let.
Der er flere data sikkerhedsrisici relateret til digital redigering. En af disse trusler er den manglende evne til at gøre de redigerede oplysninger irreversible. Dette kan skyldes en række forskellige faktorer, såsom at undlade at omskrive følsomme data eller kun delvist fjerne følsomme oplysninger. Ved at forlade dataresterne kan det gøre det muligt at hente redigerede oplysninger. Brugen af ukorrekte eller utilstrækkelige teknologiske redigeringsmetoder, som f.eks. ufin ændring af registreringer, udgør også datarisici. I stedet for permanent at fjerne følsomme data, ved at bruge teknikker, der kan eller på anden måde vendes, modarbejder formålet med at redigere de følsomme oplysninger, da de stadig kan opdages.
En anden sårbarhed, der involverer redaktion, er overdreven afhængighed af retouchering, pixelering eller brug af andre lignende teknikker til sløring for at maskere udsnit af billeder. Disse teknikker bruges ofte til at beskytte privatlivets fred. Ved at bruge dekonvolution og forskellige, mindre sofistikerede transformationstilgange, kan nok af den originale information gendannes til at tillade genkendelse. Men i den anden yderlighed kan overdreven eller ukorrekt redigering også øge sikkerhedsrisiko for en organisation. Fjernelse af mere end blot bestemte følsomme ting, der skulle være skrevet eller gjort så klodset, kunne utilsigtet ændre betydningen af de resterende data som en konsekvens af kontekstuelle problemer.
Forkert omskrivning af information kan føre til lækage eller utilsigtet brud på data. Eksempler på denne adfærd omfatter:
En overdreven afhængighed af redaktion kan også udgøre en informationssikkerhedsrisiko. At tro, at det er tilstrækkeligt at holde følsomme data fuldt fortrolige i alle tilfælde, mens teknologiske og procesmæssige fejl er uundgåelige, og ulykker ofte sker. Omvendt kan det øge din risiko, hvis du sætter nul afhængighed af skrivning, og tror, at den ikke er i stand til at forsvare følsomme oplysninger.
Redaktion kan også bidrage til informationssikkerhedsproblemer, der er utilsigtede eller perifere for selve processen. Forekomster af dette er:
Disse tilfælde kan skade en organisations troværdighed eller de første uskrevne filer.
En skræddersyet hands-on session baseret på dine behov og mål
Selvom ISO 27038-standarden har et begrænset omfang, er den risici, det adresserer er betydelige, og mange af kontrollerne er teknisk såvel som proceduremæssigt sofistikerede. Ligesom andre ISO27k standarder, søger ISO 27038 ikke at dække alle luner i den redaktionelle proces i dybden, men tilbyder sund generisk vejledning på højt niveau.
Digital redigeringsteknologi har eksisteret i mange år nu til at revidere fortrolig tekst fra ethvert dokument i PDF-format elektronisk. Et udvalg af softwareprogrammer har denne funktion. På trods af dette, og da organisationer skaber og transmitterer en voksende mængde digitalt producerede dokumenter, bruger nogle stadig manuelle papirredigeringsmetoder.
I mange tilfælde involverer dette udskrivning af et dokument, manuel fjernelse af fortrolige oplysninger med blæk eller tape, fotokopiering af posten og derefter download af dokumentet tilbage til systemet. Med disse tilgængelige værktøjer, hvorfor bruger nogle virksomheder stadig manuel redigering?
Nogle virksomheder ikke er klar over at redaktionsteknologier eksisterer, fordi de har haft for travlt til at holde sig opdateret med den tekniske udvikling. Nogle virksomheder mener, at de ikke har tid til at udforske deres applikationsmuligheder, så de bliver ved med at gøre, hvad de er vant til. Andre virksomheder antager, at softwaren er unøjagtig, og at skriftlig viden og metadata på en eller anden måde ville være afdækket og øge deres risikovillighed. Mens andre er klar over denne software, men de tror ikke, de har råd til det.
De resulterende redaktioner er mere nøjagtige, fordi de ikke er afhængige af mennesker til at lokalisere følsomme og privilegerede oplysninger. Digitale redigeringer er normalt hurtigere end manuelt at redigere en tekst.
Det er lettere at mærke og slette tekst med enkle musestrøg end at sætte tape eller sort blæk, der dækker klassificerede data. De kan ændre hundredvis af siders skrivning på en brøkdel af den tid, det tager at omskrive den samme mængde manuelt.
Ud over dette er digital redaktion en væsentlig omkostningsbesparende metode. Det sparer penge fra en virksomhed i ressourcer og i personaletid. I stedet for at spilde timer på at udføre et meget administrativt arbejde, kan digital redaktion frigøre arbejdere til at udføre mere omfattende arbejde.
På flere måder er denne digitale proces overlegen enhver papirprocedure. Digital redigering er meget mere effektiv. Da alle PDF-applikationer med en Redaction-funktion har søgefunktioner, kan brugere søge efter følsomme detaljer, såsom kontonumre og bestemte sætninger.
ISMS.online gør opsætning og administration af dit ISMS så nemt som muligt.
ISO 27038 gælder for enhver organisation, der udveksler følsomme oplysninger eksternt. For eksempel når man deler en informationssikkerhedspolitik uden for virksomheden bør enhver fortrolig information, som den indeholder, redigeres inden frigivelse. Standarden inkorporerer to redaktionelle niveauer:
Denne skelnen gør ISO 27038 afgørende for mange organisationer i alle sektorer.
Mens ISO-specifikationsretningslinjerne normalt udelukkende bruger "skal" til at angive obligatoriske betingelser, bruger ISO 27038 ofte "bør" på steder og tilbyder afklaring ud over de formelle specifikationer. I praksis gør dette det lettere for brugerne at forstå og implementere standarden, men mere udfordrende at verificere og håndhæve overholdelse, hvis det nogensinde forventes.
Standarden siger dog ikke noget om den overordnede styring af redaktionsprocessen. I stedet definerer ISO 27038, hvad der skal skrives, hvorfor, hvordan og af hvem, eller vurdering og hvordan man håndterer risici i en given redigeringssituation. Standarden diskuterer også sikkerhedsforanstaltninger, der skal anvendes til eller forbundet med processen, for eksempel at forhindre ukorrekt frigivelse eller afklaring af uskreven indhold.
ISO 27038 er sammensat af 9 klausuler og et bilag.
Punkt 1: Anvendelsesområde
Punkt 2: Begreber og definitioner
Punkt 3: Symboler og forkortede udtryk
Punkt 4: Generelle principper for digital redigering
Punkt 5: Krav
Punkt 6: Redaktionsprocesser
Punkt 7: Føring af fortegnelser over redaktionsarbejde
Klausul 8: Karakteristika for softwareredaktionsværktøjer
Punkt 9: Krav til redaktionstest
Bilag A: Redigering af PDF-dokumenter
Book en skræddersyet hands-on session baseret på dine behov og mål.
100 % af vores brugere opnår ISO 27001-certificering første gang