ISO 27701 Klausul 6.5.2: Nyckeln till effektiv informationsklassificering
Den globala handelns värld är fylld med alla möjliga typer av information – från vardagliga, allmänt tillgängliga datauppsättningar, till mycket känsliga PII-poster som innehåller finansiell information och kopior av statligt ID.
Organisationer måste ha en fast förståelse för de olika kategorierna av data som de lagrar, bearbetar och överför, och anpassa sin verksamhet för att ta emot information baserat på dess syfte och risktyp.
När organisationen väl kan skilja mellan olika datatyper – särskilt när det gäller PII – bör de kunna märka sådan information tydligt på ett sätt som gör att olika kategorier skiljer sig från varandra och ta hänsyn till olika risknivåer i hur sekretess -relaterade tillgångar är processer och hanteras i hela organisationen.
Vad som omfattas av ISO 27701 klausul 6.5.2
ISO 27701 Klausul 6.5.2 innehåller tre underklausuler som innehåller allt en organisation behöver veta om hur man klassificerar, märker och hanterar PII.
Alla tre underklausulerna innehåller information hämtad från ISO 27002, men med särskilt fokus på PII och integritetsskydd:
- ISO 27701 6.5.2.1 – Klassificering av information (Referenser ISO 27002 Kontroll 5.12)
- ISO 27701 6.5.2.2 – Märkning av information (Referenser ISO 27002 Kontroll 5.13)
- ISO 27701 6.5.2.3 – Hantering av tillgångar (Referenser ISO 27002 Kontroll 5.10)
Underklausulerna 6.5.2.1 och 6.5.2.2 innehåller båda vägledning som är relevant för brittisk GDPR-lagstiftning, och de relevanta artiklarna har listats för din bekvämlighet.
Observera att GDPR-hänvisningar endast är i vägledande syfte. Organisationer bör granska lagstiftningen och göra en egen bedömning av vilka delar av lagen som gäller för dem.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
ISO 27701 Klausul 6.5.2.1 – Klassificering av information
Referenser ISO 27002 Kontroll 5.12
Istället för att jämställa all information bör organisationen klassificera information på en ämnesspecifik basis.
Informationsägare bör överväga fyra nyckelfaktorer, när de klassificerar data (särskilt när det gäller PII), som bör granskas regelbundet, eller när sådana faktorer ändras:
- Ocuco-landskapet konfidentialitet av uppgifterna.
- Ocuco-landskapet integritet av uppgifterna.
- Data tillgänglighet nivåer.
- Organisationens rättsliga skyldigheter mot PII.
För att ge ett tydligt operativt ramverk bör informationskategorier namnges i enlighet med den inneboende risknivån om det skulle inträffa incidenter som äventyrar någon av ovanstående faktorer.
För att säkerställa plattformsoberoende kompatibilitet bör organisationer göra sina informationskategorier tillgängliga för extern personal som de delar information med, och se till att organisationens eget klassificeringssystem förstås allmänt av alla relevanta parter.
Organisationer bör vara försiktiga med att antingen underklassificera eller, omvänt, överklassificera data. Det förstnämnda kan leda till misstag vid gruppering av PII med mindre känsliga datatyper, medan det förra ofta leder till extra kostnader, större risk för mänskliga fel och bearbetningsavvikelser.
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f), (32)(2)
ISO 27701 Klausul 6.5.2.2 – Märkning av information
Referenser ISO 27002 Kontroll 5.13
Etiketter är en viktig del av att säkerställa att organisationens PII-klassificeringspolicy (se ovan) följs, och att data tydligt kan identifieras i linje med dess känslighet (t.ex. att PII märks som skild från mindre konfidentiella datatyper).
PII-märkningsprocedurer bör definiera:
- Alla scenarier där märkning inte krävs (offentligt tillgängliga data).
- Instruktioner om hur personalen ska märka båda digital och fysisk tillgångar och lagerplatser.
- Beredskapsplaner för alla scenarier där märkning inte är fysiskt möjlig.
ISO ger många möjligheter för organisationer att välja sina egna märkningstekniker, inklusive:
- Mått märkning.
- Elektronisk etiketter i sidhuvuden och sidfötter.
- Tillägg eller ändring av metadata, inklusive sökbara termer och interaktiv funktionalitet med andra informationshanteringsplattformar (t.ex. organisationens PIMS).
- vattenmärkning som ger en tydlig indikation på dataklassificeringen dokument för dokument.
- Frimärke märken på fysiska kopior av information.
Tillämpliga GDPR-artiklar
- Artikel 5 – (1)(f)
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
ISO 27701 Klausul 6.5.2.3 – Hantering av tillgångar
Referenser ISO 27002 Kontroll 5.10
Organisationer bör utveckla en bank med ämnesspecifika policyer för acceptabel användning, som täcker hanteringen av PII-relaterade tillgångar och information.
Varje grupp eller individ – antingen intern eller extern – som har förmågan att hantera PII på uppdrag av organisationen, eller som en del av ett avtal om informationsdelning, bör förstå sitt ansvar och vad som förväntas av dem.
Ämnesspecifika policyer bör tydligt definiera:
- Acceptabelt och oacceptabelt beteende, i samband med integritetsskydd.
- Hur och var PII är tillåtet att användas.
- Detaljerna för organisationens PII-övervakningsoperation.
Processer och procedurer bör implementeras som tar hänsyn till:
- RBAC-krav (eller någon form av digital och/eller fysisk åtkomstkontroll) som skyddar åtkomst till PII.
- En grundlig registrering av vem som har tillåtelse att komma åt PII och integritetsrelaterade tillgångar och information.
- Hur man skyddar både tillfälliga och permanenta kopior av integritetsrelaterad information.
- Tillverkarens riktlinjer vid lagring av integritetsrelaterade tillgångar (se ISO 27002 7.8).
- Hur lagringsmedia markeras för mottagarens uppmärksamhet (se ISO 27002 7.10).
- Hur PII och integritetsrelaterade tillgångar antingen ska raderas eller permanent förstöras (se ISO 27002 8.10).
Relevanta ISO 27002-kontroller
- ISO 27002 7.8
- ISO 27002 7.10
- ISO 27002 8.10
Stödjande kontroller från ISO 27002 och GDPR
| ISO 27701 Klausulidentifierare | ISO 27701 Klausulnamn | ISO 27002-krav | Tillhörande GDPR-artiklar |
|---|---|---|---|
| 6.5.2.1 | Klassificering av information |
5.12 – Klassificering av information för ISO 27002 |
Artiklar Lagring, Lagring |
| 6.5.2.2 | Märkning av information |
5.13 – Märkning av information för ISO 27002 |
Artikeln Lagring |
| 6.5.2.3 | Hantering av tillgångar |
5.10 – Acceptabel användning av information och andra tillhörande tillgångar för ISO 27002 |
Ingen |
Hur ISMS.online hjälper
ISMS.online-plattformen har inbyggd vägledning i varje steg, utöver vår implementeringsmetod 'Adoptera, anpassa, lägg till', för att hjälpa dig uppnå ISO 27701 med mindre ansträngning.
Dessutom kommer du att dra nytta av en mängd tidsbesparande funktioner.
Ta reda på mer av boka en demo.
