ISO 27701 klausul 6.5.2: Nøglen til effektiv informationsklassificering
Verden af global handel er fyldt med alle slags informationstyper – fra banale, offentligt tilgængelige datasæt til meget følsomme PII-registreringer, der indeholder økonomiske oplysninger og kopier af stats-id.
Organisationer skal have en fast forståelse af de forskellige kategorier af data, som de opbevarer, behandler og overfører, og tilpasse deres drift til at rumme information baseret på deres formål og risikotype.
Når først organisationen er i stand til at skelne mellem forskellige datatyper – især i tilfælde af PII – bør de være i stand til tydeligt at mærke sådanne oplysninger på en måde, der adskiller forskellige kategorier fra hinanden og tage højde for forskellige risikoniveauer i, hvordan privatlivets fred -relaterede aktiver er processer og håndteres i hele organisationen.
Hvad er dækket af ISO 27701 klausul 6.5.2
ISO 27701 paragraf 6.5.2 indeholder tre underklausuler, der indeholder alt, hvad en organisation har brug for at vide om, hvordan man klassificerer, mærker og håndterer PII.
Alle tre underklausuler indeholder oplysninger hentet fra ISO 27002, men med et specifikt fokus på PII og privatlivsbeskyttelse:
- ISO 27701 6.5.2.1 – Klassificering af oplysninger (Referencer ISO 27002 Kontrol 5.12)
- ISO 27701 6.5.2.2 – Mærkning af information (Referencer ISO 27002 Kontrol 5.13)
- ISO 27701 6.5.2.3 – Håndtering af aktiver (Referencer ISO 27002 Kontrol 5.10)
Underklausuler 6.5.2.1 og 6.5.2.2 indeholder begge vejledninger, der er relevante for britisk GDPR-lovgivning, og de relevante artikler er opført for din bekvemmelighed.
Bemærk venligst, at GDPR-henvisninger kun er vejledende. Organisationer bør granske lovgivningen og foretage deres egen vurdering af, hvilke dele af loven, der gælder for dem.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
ISO 27701 Klausul 6.5.2.1 – Klassificering af oplysninger
Referencer ISO 27002 Kontrol 5.12
I stedet for at stille al information på lige fod, bør organisationen klassificere information på et emnespecifikt grundlag.
Informationsejere bør overveje fire nøglefaktorer, når de klassificerer data (især vedrørende PII), som bør gennemgås med jævne mellemrum, eller når sådanne faktorer ændres:
- fortrolighed af dataene.
- integritet af dataene.
- Data tilgængelighed niveauer.
- Organisationens juridiske forpligtelser mod PII.
For at give en klar operationel ramme bør informationskategorier navngives i overensstemmelse med det iboende risikoniveau, hvis der skulle opstå hændelser, der kompromitterer nogen af ovenstående faktorer.
For at sikre kompatibilitet på tværs af platforme bør organisationer gøre deres informationskategorier tilgængelige for eksternt personale, som de deler information med, og sikre, at organisationens eget klassifikationssystem er bredt forstået af alle relevante parter.
Organisationer bør være på vagt over for enten at underklassificere eller omvendt overklassificere data. Førstnævnte kan føre til fejl ved gruppering af PII med mindre følsomme datatyper, mens førstnævnte ofte fører til ekstra omkostninger, en større chance for menneskelige fejl og behandlingsanomalier.
Gældende GDPR-artikler
- Artikel 5 – (1)(f), (32)(2)
ISO 27701 Klausul 6.5.2.2 – Mærkning af information
Referencer ISO 27002 Kontrol 5.13
Etiketter er en central del af at sikre, at organisationens PII-klassificeringspolitik (se ovenfor) bliver overholdt, og at data tydeligt kan identificeres i overensstemmelse med deres følsomhed (f.eks. mærkes PII adskilt fra mindre fortrolige datatyper).
PII-mærkningsprocedurer bør definere:
- Ethvert scenarie, hvor mærkning ikke er påkrævet (offentligt tilgængelige data).
- Instruktioner om, hvordan personalet skal mærke begge digital og fysisk aktiver og lagersteder.
- Beredskabsplaner for ethvert scenarie, hvor mærkning ikke er fysisk mulig.
ISO giver masser af muligheder for organisationer til at vælge deres egne mærkningsteknikker, herunder:
- Fysisk mærkning.
- elektronisk etiketter i sidehoveder og sidefødder.
- Tilføjelse eller ændring af metadata, herunder søgbare termer og interaktiv funktionalitet med andre informationsstyringsplatforme (f.eks. organisationens PIMS).
- vandmærkning der giver en klar indikation af dataklassificeringen på dokument-for-dokument-basis.
- Frimærke mærker på fysiske kopier af oplysninger.
Gældende GDPR-artikler
- Artikel 5 – (1)(f)
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
ISO 27701 paragraf 6.5.2.3 – Håndtering af aktiver
Referencer ISO 27002 Kontrol 5.10
Organisationer bør udvikle en bank med emnespecifikke politikker for acceptabel brug, der dækker håndteringen af PII-relaterede aktiver og information.
Enhver gruppe eller person – enten intern eller ekstern – som har evnen til at håndtere PII på vegne af organisationen eller som en del af en informationsdelingsaftale, bør forstå deres ansvar og hvad der forventes af dem.
Emnespecifikke politikker bør klart definere:
- Acceptabel og uacceptabel adfærd i forbindelse med beskyttelse af privatlivets fred.
- Hvordan og hvor PII er tilladt at blive brugt.
- Detaljerne i organisationens PII-overvågningsoperation.
Processer og procedurer bør implementeres, der tager hensyn til:
- RBAC-krav (eller enhver form for digital og/eller fysisk adgangskontrol), der beskytter adgangen til PII.
- En grundig registrering af, hvem der har tilladelse til at få adgang til PII og privatlivsrelaterede aktiver og oplysninger.
- Sådan beskytter du både midlertidige og permanente kopier af privatlivsrelaterede oplysninger.
- Producentens retningslinjer ved opbevaring af privatlivsrelaterede aktiver (se ISO 27002 7.8).
- Hvordan lagringsmedier er markeret for modtagerens opmærksomhed (se ISO 27002 7.10).
- Hvordan PII og privatlivsrelaterede aktiver enten skal slettes eller permanent destrueres (se ISO 27002 8.10).
Relevante ISO 27002 kontroller
- ISO 27002 7.8
- ISO 27002 7.10
- ISO 27002 8.10
Understøttende kontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701-klausulens navn | ISO 27002 krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.5.2.1 | Klassificering af oplysninger |
5.12 – Klassificering af oplysninger for ISO 27002 |
Artikler (5), (32) |
| 6.5.2.2 | Mærkning af information |
5.13 – Mærkning af information til ISO 27002 |
Artikel (5) |
| 6.5.2.3 | Håndtering af aktiver |
5.10 – Acceptabel brug af information og andre tilknyttede aktiver til ISO 27002 |
Ingen |
Hvordan ISMS.online hjælper
ISMS.online platformen har indbygget vejledning på hvert trin, ud over vores 'Adopter, Adapt, Add' implementeringstilgang, for at hjælpe dig med at opnå ISO 27701 med mindre indsats.
Derudover vil du drage fordel af en række tidsbesparende funktioner.
Find ud af mere ved booking af en demo.
