תיוג מידע הוא הליך המאפשר לארגונים ליישם את תכנית סיווג המידע שלהם על ידי הצמדת תוויות סיווג לנכסי מידע רלוונטיים.
בקרה 5.13 מתייחסת לאופן שבו ארגונים צריכים לפתח, ליישם ולנהל הליך סימון מידע חזק המבוסס על תכנית הסיווג שאומצה באמצעות בקרה 5.12.
5.13 היא בקרה מונעת ש מגן על נכסי מידע נגד סיכוני אבטחה על ידי סיוע לארגונים להשיג שתי מטרות ברורות:
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #הגנת מידע | #הֲגָנָה #הֲגָנָה |
בהתחשב בכך שהוספת מטא נתונים לנכסים דיגיטליים היא הדרך העיקרית לתיוג נכסי מידע, דיילי מטא נתונים יהיו אחראים ליישום נכון של הליך התיוג.
לצד מנהלי המטא נתונים, בעלי נכסים בעלי הרשאות גישה ושינוי יהיו אחראים לתיוג נכון של כל נכסי הנתונים ויבצעו את השינויים הדרושים בתיוג במידת הצורך.
בקרה 5.13 מזהה ארבעה שלבים ספציפיים שארגונים צריכים ליישם כדי לבצע תיוג מידע בהתאם ל-5.13.
ארגונים צריכים לפתח נוהל תיוג מידע כלל-ארגוני, המתאים לתכנית סיווג המידע שנוצרה בהתאם לבקרה 5.12.
יתר על כן, 5.13 דורש כי נוהל זה יורחב לכל נכסי המידע, ללא קשר אם הוא בפורמט דיגיטלי או נייר וכי התוויות חייבות להיות קלות לזיהוי.
למרות שאין גבול למה שמסמך נוהל זה יכול להכיל, בקרה 5.13 קובעת שהנהלים צריכים לכלול לפחות את הדברים הבאים:
הנוהל לתיוג מידע יכול להיות יעיל רק במידה שצוות העובדים ובעלי עניין רלוונטיים אחרים מיודעים היטב כיצד לתייג מידע נכון וכיצד להתמודד עם נכסי מידע מסומנים.
לכן, ארגונים צריכים לספק לצוות ולגורמים רלוונטיים אחרים הדרכה על הנוהל.
5.13 מחייב שימוש במטא נתונים לתיוג של נכסי מידע דיגיטליים.
יתרה מכך, היא מציינת כי יש לפרוס את המטא-נתונים באופן שיקל ויעיל את הזיהוי והחיפוש אחר מידע וכן באופן שיייעל את תהליך קבלת ההחלטות בין מערכות הקשורות למידע מסומן.
בהתחשב בסיכונים הכרוכים בהעברה החוצה של נתונים רגישים ממערכות, 5.13 ממליץ לארגונים לתייג את נכסי המידע הללו עם אלו המתאימים ביותר לרמת הקריטיות והרגישות של המידע הנוגע בדבר.
ה-5.13 מדגיש שזיהוי וסימון מדויק של מידע מסווג חיוני לאבטחת פעולות שיתוף הנתונים.
בנוסף לארבעת השלבים הספציפיים שתוארו לעיל, 5.13 ממליץ גם לארגונים להכניס נקודות מטא-נתונים נוספות כגון שם התהליך שיצר את נכס המידע ומועד יצירתו.
יתר על כן, ה-5.13 מתייחס לטכניקות התיוג הנפוצות שארגונים יכולים ליישם:
לבסוף, ה-5.13 מדגיש שלתיוג נכסי מידע כ'סודיים' ו'מסווגים' עלולות להיות השלכות לא מכוונות מכיוון שהיא עשויה להקל על גורמים זדוניים לחפש ולמצוא נכסי מידע רגישים.
27002:2022/5.13 מחליף את 27002:2013/8.2.2 (תיוג מידע).
בעוד ששני הפקדים דומים במידה מסוימת, ישנם שני הבדלים עיקריים שהופכים את גרסת 2022 למקיפה יותר.
בעוד שגרסת 2013 התייחסה למטא נתונים כאל טכניקת תיוג, היא לא הטילה חובות ספציפיות לציות בעת שימוש במטא נתונים.
לעומת זאת, גרסת 2022 מביאה דרישות מחמירות לגבי אופן השימוש בטכניקת מטא נתונים. לשם המחשה, גרסת 2022 דורשת כי:
בניגוד לגרסת 2022, גרסת 2013 לא ציינה את התוכן המינימלי שיש לכלול בנוהל תיוג מידע.
ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ויישום בקרה.
הפלטפורמה שלנו הוא אינטואיטיבי וקל לשימוש. זה לא רק לאנשים טכניים מאוד; זה מיועד לכולם בארגון שלך. אנו ממליצים לך לערב צוות בכל הרמות של העסק שלך בתהליך בנייתך האיזמים, כי זה עוזר לך לבנות מערכת בת קיימא באמת.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |