ISO/IEC 27038 beskriver funktionerna i digitala redigeringsmetoder. ISO 27038, som släpptes 2014, definierar också kriterier för redigeringsverktyg för programvara och för att slutföra testprocedurer på ett säkert sätt.
Ibland kan du behöva lämna ut information till tredje part, eller till och med till allmänheten, för ändamål som avslöjande av officiella register enligt Free Access Law eller som bevis i rättsliga frågor eller domstolsförfaranden. ISO 27038 tillhandahåller dock ingen databasrevision. Databaser räknas som "enheter av registrerad information", men de är uttryckligen undantagna från standardens tillämpningsområde.
Redaktion är metoden för att ta bort material från ett dokument innan det släpps. I det juridiska sammanhanget är användningen av redigering att radera känslig, proprietär eller skyddad information från register innan den lämnas in till domstolen, eller på annat sätt göra den tillgänglig för visning utanför kontoret. En organisation kan också använda redigering för att radera metadata eller material (t.ex. bilder) som importerats till ett dokument.
ISO 27038 beskriver redigering som permanent borttagning av information inuti ett dokument där dokumentet officiellt definieras som registrerad information och betraktas som en enhet. Definitioner är väsentliga eftersom dessa ord också betyder andra saker i andra sammanhang och allmän användning. Senare i standarden utökas redaktionen till att inte bara ta bort känslig information utan även visa var det borttagna materialet finns om det behövs.
När det anses oacceptabelt att avslöja känsliga detaljer i ett dokument, måste organisationen säkert radera informationen innan publicering. Exempel på detta inkluderar namn eller platser för individer som måste förbli anonyma och olika andra personliga eller äganderättsliga register som måste förbli strikt konfidentiella.
Att överväga redigering är vanligtvis avgörande för att skydda mycket känslig information. Fel i process som leder till obehörigt röjande av data är allvarliga. Redaktionsbrister ledde till händelser som identitetsstöld, avslöjande av känsliga säkerhetsproblem, kränkningar av integritet och, i vissa extrema fall, avslöjande av hemliga agenters och informanters identitet. Däremot kan avslöjande av affärshemligheter vara mycket kostsamt i ett kommersiellt sammanhang. Åtminstone för de som anses ansvariga kan redigeringsfel vara förödmjukande.
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
Vi började använda kalkylblad och det var en mardröm. Med ISMS.online-lösningen blev allt det hårda arbetet enkelt.
Det finns flera uppgifter säkerhetsrisker relaterat till digital redigering. Ett av dessa hot är misslyckandet med att göra den redigerade informationen oåterkallelig. Detta kan bero på en mängd olika faktorer, som att försumma att skriva om känslig information eller att ta bort känslig information endast delvis. Genom att lämna dataresterna kan det möjliggöra att redigerad information kan hämtas. Användningen av felaktiga eller otillräckliga tekniska redaktionsmetoder, som till exempel en subtil ändring av register, innebär också datarisker. Istället för att permanent ta bort känslig information, med hjälp av tekniker som kan vändas eller på annat sätt vändas, motverkar syftet att redigera den känsliga informationen eftersom den fortfarande kan upptäckas.
En annan sårbarhet som involverar redaktion är övertilliten till retuschering, pixelering eller användning av andra liknande tekniker för fördunkling för att maskera delar av bilder. Dessa tekniker används ofta för att skydda den personliga integriteten. Genom att använda dekonvolution och olika, mindre sofistikerade transformationsmetoder kan tillräckligt mycket av den ursprungliga informationen återställas för att möjliggöra igenkänning. Men i den andra extremen kan överdriven eller felaktig redigering också öka säkerhetsrisk för en organisation. Att ta bort mer än bara särskilda känsliga saker som skulle ha skrivits eller gjort så klumpigt kan oavsiktligt ändra innebörden av restdata som en konsekvens av kontextuella frågor.
Felaktig omskrivning av information kan leda till läckage eller oavsiktlig dataintrång. Exempel på detta beteende inkluderar:
Ett överdrivet beroende av redaktion kan också utgöra en informationssäkerhetsrisk. Att tro att det är tillräckligt att hålla känsliga uppgifter helt konfidentiella under alla fall, samtidigt som tekniska och processmässiga fel är oundvikliga och olyckor ofta inträffar. Omvänt kan det också öka din risk att sätta noll beroenden av skrivandet och tro att det inte är kapabelt att försvara känslig information.
Redaktion kan också bidra till informationssäkerhetsproblem som är oavsiktliga eller perifera till själva processen. Exempel på detta är:
Dessa fall kan skada en organisations trovärdighet eller de initiala oskrivna filerna.
En skräddarsydd praktisk session utifrån dina behov och mål
Även om ISO 27038-standarden har en begränsad räckvidd, risker den tar upp är betydande och många av kontrollerna är tekniskt såväl som procedurmässigt sofistikerade. Som andra ISO27k standarder, strävar inte ISO 27038 efter att på djupet täcka alla nyckfullheter i den redaktionella processen utan erbjuder en sund allmän vägledning på hög nivå.
Digital redigeringsteknik har funnits i många år nu för att revidera konfidentiell text från alla dokument i PDF-format elektroniskt. En mängd olika program har denna funktion. Trots detta och eftersom organisationer skapar och överför en växande mängd digitalt producerade dokument, använder vissa fortfarande manuella pappersredigeringsmetoder.
I många fall handlar det om att skriva ut ett dokument, manuellt ta bort konfidentiell information med bläck eller tejp, fotokopiera dokumentet och sedan ladda ner dokumentet tillbaka till systemet. Med dessa verktyg tillgängliga, varför använder vissa företag fortfarande manuell redigering?
Några företag inte känner till att redigeringstekniker finns för att de har varit för upptagna för att hålla sig uppdaterade med teknisk utveckling. Vissa företag tror att de inte har tid att utforska sina applikationsalternativ, så de fortsätter att göra det de är vana vid. Andra företag antar att programvaran är felaktig och att skriftlig kunskap och metadata på något sätt skulle kunna avslöjas och öka deras riskaptit. Medan andra är medvetna om denna programvara, men de tror inte att de har råd med det.
De resulterande redaktionerna är mer exakta eftersom de inte förlitar sig på att människor kan hitta känslig och privilegierad information. Digitala redigeringar går vanligtvis snabbare än att manuellt redigera en text.
Det är lättare att märka och radera text med enkla musdrag än att sätta tejp eller svart bläck som täcker sekretessbelagda data. De kan ändra hundratals sidor att skriva på en bråkdel av den tid som krävs för att skriva om samma mängd manuellt.
Utöver detta är digital redigering en betydande kostnadsbesparande metod. Det sparar pengar från ett företag i resurser och personaltid. Istället för att slösa timmar på att utföra ett mycket administrativt jobb, kan digital redigering frigöra arbetare för att utföra mer omfattande arbete.
På flera sätt är denna digitala process överlägsen alla pappersprocedurer. Digital redigering är mycket effektivare. Eftersom alla PDF-applikationer med en redaktionsfunktion har sökfunktioner kan användare söka efter känsliga detaljer, såsom kontonummer och särskilda fraser.
ISMS.online gör det så enkelt som möjligt att installera och hantera ditt ISMS.
ISO 27038 gäller för alla organisationer som utbyter känslig information externt. Till exempel när du delar en informationssäkerhetspolicy utanför företaget bör all konfidentiell information som den innehåller redigeras innan den släpps. Standarden innehåller två redaktionella nivåer:
Denna distinktion gör ISO 27038 avgörande för många organisationer inom alla sektorer.
Medan ISO-specifikationsriktlinjerna vanligtvis använder "skall" enbart för att beteckna obligatoriska villkor, använder ISO 27038 ofta "bör" på platser och erbjuder förtydliganden utöver de formella specifikationerna. I praktiken gör detta det enklare för användare att förstå och implementera standarden, men mer utmanande att verifiera och upprätthålla efterlevnad, om det någonsin förutses.
Standarden säger dock ingenting om den övergripande hanteringen av redigeringsprocessen. Istället definierar ISO 27038 vad som behöver skrivas, varför, hur och av vem, eller bedömning och hur man hanterar risker i en given redigeringssituation. Standarden diskuterar också säkerhetsåtgärder som måste vidtas till eller i samband med processen, till exempel förhindrande av otillbörligt utlämnande eller förtydligande av oskrivet innehåll.
ISO 27038 består av 9 klausuler och en bilaga.
Klausul 1: Omfattning
Punkt 2: Termer och definitioner
Punkt 3: Symboler och förkortade termer
Klausul 4: Allmänna principer för digital redigering
Klausul 5: Krav
Klausul 6: Redaktionsprocesser
Punkt 7: Att föra register över redigeringsarbete
Klausul 8: Karakteristika för verktyg för redigering av programvara
Punkt 9: Krav på redaktionstestning
Bilaga A: Redigering av PDF-dokument
Boka en skräddarsydd praktisk session utifrån dina behov och mål.
100 % av våra användare uppnår ISO 27001-certifiering första gången