ISO 27002:2022, Kontroll 8.11, Datamaskering

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Syfte med kontroll 8.11

Datamaskering är en teknik som används för att skydda känsliga uppgifter – vanligtvis all data som kan anses vara personlig identifierbar information (PII) – utöver en organisations standardiserade informationssäkerhetsprotokoll såsom åtkomstkontroll etc.

Datamaskering nämns ofta i juridiska, lagstadgade och regulatoriska riktlinjer och lagar som reglerar lagring och åtkomst av information om anställda, kunder, användare och leverantörer.

Attributtabell för kontroll 8.11

Kontroll 8.11 är en förebyggande kontrollera det ändrar risken genom att föreslå en rad datamaskeringstekniker som skyddar PII och hjälper organisationen att förbli kompatibel med vad som begärs av den av juridiska myndigheter och tillsynsmyndigheter.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Skydda	#Informationsskydd	#Skydd

Äganderätt till kontroll 8.11

Datamaskering är en komplex teknisk process som involverar att ändra känslig information och förhindra användare från att identifiera registrerade personer genom en mängd olika åtgärder.

Även om detta i sig är en administrativ uppgift, är karaktären av datamaskering direkt relaterad till en organisations förmåga att förbli kompatibel med lagar, förordningar och lagstadgade riktlinjer för lagring, åtkomst och behandling av data. Som sådan bör ägandet ligga hos Chef för informationssäkerhet, eller organisatorisk motsvarande.

Efterlevnad behöver inte vara komplicerat.

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo

Allmän vägledning om efterlevnad

Kontroll 8.11 ber organisationer att överväga datamaskering inom ramen för två huvudtekniker – pseudonymisering och / eller anonymisering. Båda dessa metoder är utformade för att dölja det verkliga syftet med PII genom disassociation – dvs dölja länken mellan rådata och ämnet (vanligtvis en person).

Organisationer bör vara mycket noga med att säkerställa att ingen enskild databit äventyrar ämnets identitet.

När du använder någon av dessa tekniker bör organisationer överväga:

Nivån av pseudonymisering och/eller anonymisering som krävs, i förhållande till uppgifternas karaktär.
Hur den maskerade data nås.
Eventuella bindande avtal som begränsar användningen av data som ska maskeras.
Att hålla de maskerade uppgifterna åtskilda från alla andra datatyper för att förhindra att den registrerade lätt kan identifieras.
Logga när data togs emot och hur den har lämnats till eventuella interna eller externa källor.

Vägledning – Ytterligare tekniker

Pseudonymisering och anonymisering är inte de enda tillgängliga metoderna för organisationer som vill maskera PII eller känsliga data. Kontroll 8.11 beskriver 5 andra metoder som kan användas för att stärka datasäkerheten:

Nyckelbaserad kryptering.
Ta bort eller radera tecken i datamängden.
Varierande antal och datum.
Ersätter värden över data.
Hash-baserad värdemaskering.

Vägledning – Datamaskeringsprinciper

Datamaskering är en viktig del av en organisations policy för att skydda PII och skydda identiteten för de individer som den har data om.

Förutom ovanstående tekniker bör organisationer överväga förslagen nedan när de planerar sin strategi för datamaskering:

Implementera maskeringstekniker som bara avslöjar minsta mängd data till alla som använder den.
"Obfuskera" (dölja) vissa uppgifter på begäran av försökspersonen, och endast tillåta vissa anställda att komma åt de avsnitt som är relevanta för dem.
Bygger sin datamaskeringsoperation kring specifika juridiska och regulatoriska riktlinjer.
När pseudonymisering implementeras, hålls algoritmen som används för att "avmaska" data säker och säker.

Hantera all efterlevnad på ett ställe

ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.

Boka en demo

Ändringar och skillnader från ISO 27002:2013

Ingen. Kontroll 8.11 har inget prejudikat i ISO 27002:2013 eftersom det är nytt.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	Nytt	Hot intelligens
5.23	Nytt	Informationssäkerhet för användning av molntjänster
5.30	Nytt	ICT-beredskap för kontinuitet i verksamheten
7.4	Nytt	Fysisk säkerhetsövervakning
8.9	Nytt	Konfigurationshantering
8.10	Nytt	Radering av information
8.11	Nytt	Datamaskering
8.12	Nytt	Förebyggande av dataläckage
8.16	Nytt	Övervakningsaktiviteter
8.23	Nytt	Webbfiltrering
8.28	Nytt	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	Nytt	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	Nytt	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	Nytt	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	Nytt	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	Nytt	Konfigurationshantering
8.10	Nytt	Radering av information
8.11	Nytt	Datamaskering
8.12	Nytt	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	Nytt	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	Nytt	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	Nytt	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

Vår molnbaserade plattform ger dig ett robust ramverk av informationssäkerhetskontroller så att du kan checklista din ISMS-process när du går för att säkerställa att den uppfyller kraven för ISO 27002:2022.

Hör av dig idag för att boka en demo.

ISO 27002:2022 – Kontroll 8.11 – Datamaskering