שפרינג צו דער טעמע
וואָס איז די אָביעקטיוו פון אַנעקס אַ.8.1?
אַנעקס אַ.8.1 איז וועגן פֿאַראַנטוואָרטלעכקייט פֿאַר אַסעץ. די אָביעקטיוו אין דעם אַנעקס איז צו ידענטיפיצירן אינפֿאָרמאַציע אַסעץ אין פאַרנעם פֿאַר די פאַרוואַלטונג סיסטעם און דעפינירן צונעמען שוץ ריספּאַנסאַבילאַטיז.
דאָס איז אַ וויכטיק טייל פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) ספּעציעל אויב איר ווילט צו דערגרייכן ISO 27001 סערטאַפאַקיישאַן.
א.8.1.1 ינוואַנטאָרי פון אַסעץ
אַלע אַסעץ פֿאַרבונדן מיט אינפֿאָרמאַציע און אינפֿאָרמאַציע פּראַסעסינג פאַסילאַטיז דאַרפֿן צו זיין יידענאַפייד און געראטן איבער די לייפסייק, שטענדיק אַרויף-צו-טאָג.
א רעגיסטרירן אָדער ינוואַנטאָרי פון די אַסעץ מוזן זיין שטעלן צוזאַמען וואָס ווייַזן ווי זיי זענען געראטן און קאַנטראָולד, באזירט אַרום זייער וויכטיקייט (וואָס אויך ייַנטיילן ניטלי אין אינפֿאָרמאַציע קלאַסאַפאַקיישאַן אונטן). דער ליפעסיקלע פון די אינפֿאָרמאַציע בכלל כולל שאַפונג, פּראַסעסינג, סטאָרידזש, טראַנסמיסיע, דילישאַן און צעשטערונג סטאַגעס.
א.8.1.2 אָונערשיפּ פון אַסעץ
כל אינפֿאָרמאַציע אַסעץ מוזן האָבן אָונערז. אַסעט פאַרוואַלטונג אָונערשיפּ קענען זיין אַנדערש פון לעגאַל אָונערשיפּ, און עס קענען זיין געטאן אויף אַ יחיד מדרגה, אָפּטיילונג אָדער אנדערע ענטיטי. אָונערשיפּ זאָל זיין אַסיינד ווען די אַסעץ זענען באשאפן.
דער אַסעט באַזיצער איז פאַראַנטוואָרטלעך פֿאַר די עפעקטיוו פאַרוואַלטונג פון די אַסעט איבער די גאנצע לעבן פון די אַסעט. זיי קענען אויך דעלאַגייט די פאַרוואַלטונג פון דעם און אָונערשיפּ קענען טוישן בעשאַס דעם לעבן ציקל ווי לאַנג ווי ביידע זענען דאַקיומענטאַד.
א.8.1.3 אַקסעפּטאַבאַל נוצן פון אַסעץ
אַקסעפּטאַבאַל נוצן פון אינפֿאָרמאַציע און אַסעץ איז וויכטיק צו באַקומען רעכט. כּללים פֿאַר פּאַסיק נוצן פון אַסעץ זענען אָפט דאַקיומענטאַד אין אַן "אַקסעפּטאַבאַל נוצן פּאָליטיק". די כּללים פֿאַר פּאַסיק נוצן מוזן נעמען אין באַטראַכטונג עמפּלוייז, צייַטווייַליק שטעקן, קאָנטראַקטאָרס און אנדערע דריט פּאַרטיעס ווען אָנווענדלעך איבער די אינפֿאָרמאַציע אַסעץ זיי האָבן צוטריט צו.
עס איז וויכטיק אַז אַלע באַטייַטיק פּאַרטיעס האָבן צוטריט צו די סכום פון דאַקיומענטאַד פּאַסיק נוצן כּללים און זיי זענען ריינפאָרסט בעשאַס רעגולער טריינינג און אינפֿאָרמאַציע זיכערהייט וויסיקייַט, העסקעם-פֿאַרבונדענע אַקטיוויטעטן.
א.8.1.4 צוריקקער פון אַסעץ
אַלע עמפּלוייז און פונדרויסנדיק פּאַרטיי ניצערס זענען געריכט צו צוריקקומען קיין אָרגאַנאַזיישאַנאַל און אינפֿאָרמאַציע אַסעץ אויף טערמאַניישאַן פון זייער באַשעפטיקונג, קאָנטראַקט אָדער העסקעם. ווי אַזאַ עס מוזן זיין אַ פליכט פֿאַר עמפּלוייז און פונדרויסנדיק ניצערס צו צוריקקומען אַלע די אַסעץ און די אַבלאַגיישאַנז וואָלט זיין דערוואַרט אין די באַטייַטיק אַגרימאַנץ מיט שטעקן, קאָנטראַקטאָרס און אנדערע.
א האַרט, דאַקיומענטאַד פּראָצעס איז אויך פארלאנגט צו ענשור אַז די צוריקקער פון אַסעץ איז אַפּראָופּרייטלי געראטן און קענען זיין עווידאַנסט פֿאַר יעדער מענטש אָדער סאַפּלייער וואָס גייט דורך עס - דאָס איז אַליינז מיט די אַרויסגאַנג קאָנטראָלס אין אַנעקס 7 פֿאַר מענטש ריסאָרס זיכערהייַט און אַנעקס 13.2.4 פֿאַר קאַנפאַדענשיאַלאַטי אַגרימאַנץ, און אַנעקס אַ.15 פֿאַר סאַפּלייער אַקטיוויטעטן.
ווען אַסעץ זענען נישט אומגעקערט לויט דעם פּראָצעס, סייַדן אַנדערש מסכים און דאַקיומענטאַד ווי אַ טייל פון די אַרויסגאַנג פּראָצעס, די ניט-צוריקקער זאָל זיין לאָגד ווי אַ זיכערהייט אינצידענט און נאכגעגאנגען אין לויט מיט אַנעקס א.16. דער פּראָצעס פון צוריקקומען פון אַסעץ איז קיינמאָל נאַר דערווייַז און דאָס אויך אַנדערליינז די נויט פֿאַר פּעריאָדיש קאָנטראָלירן פון אַסעץ צו ענשור זייער פארבליבן שוץ.
וואָס איז די אָביעקטיוו פון אַנעקס אַ.8.2?
אַנעקס אַ.8.2 איז וועגן אינפֿאָרמאַציע קלאַסאַפאַקיישאַן. די אָביעקטיוו אין דעם אַנעקס איז צו ענשור אַז אינפֿאָרמאַציע באקומען אַ צונעמען שוץ מדרגה אין לויט מיט זייַן וויכטיקייט פֿאַר דער אָרגאַניזאַציע (און אינטערעסירט פּאַרטיעס אַזאַ ווי קאַסטאַמערז).
א.8.2.1 קלאַסאַפאַקיישאַן פון אינפֿאָרמאַציע
אינפֿאָרמאַציע מוזן זיין קלאַסאַפייד אין טערמינען פון לעגאַל רעקווירעמענץ, ווערט, קריטיקייט און סענסיטיוויטי צו קיין אַנאָטערייזד אַנטפּלעקונג אָדער מאָדיפיקאַטיאָן, יידילי קלאַסאַפייד צו פאַרטראַכטנ געשעפט אַקטיוויטעטן אלא ווי ינכיבאַט אָדער קאָמפּליצירן עס. פֿאַר בייַשפּיל, אינפֿאָרמאַציע געמאכט עפנטלעך בנימצא, למשל אויף אַ וועבזייטל, קען נאָר זיין אנגעצייכנט "ציבור", כאָטש קאַנפאַדענשאַל אָדער געשעפט אין בטחון זענען קלאָר ווי דער טאָג פֿאַר די אינפֿאָרמאַציע איז מער שפּירעוודיק ווי ציבור.
אינפֿאָרמאַציע קלאַסאַפאַקיישאַן איז איינער פון די שליסל קאָנטראָלס געניצט צו ענשור אַז אַסעץ זענען אַדאַקוואַטלי און פּראַפּאָרשאַנאַטלי פּראָטעקטעד. פילע אָרגאַנאַזיישאַנז האָבן 3-4 קלאַסאַפאַקיישאַן אָפּציעס צו לאָזן עפעקטיוו פאַרוואַלטונג פון די אינפֿאָרמאַציע גענומען אין חשבון די ווערט און וויכטיקייט. עס קען, אָבער, זיין ווי פּשוט אָדער ווי קאָמפּליצירט ווי פארלאנגט צו ענשור די ריכטיק גראַנולאַריטי מדרגה פֿאַר שוץ פון אַסעץ.
געדענקט אויב איר האַלטן עס טאַקע פּשוט און האָבן צו ווייניק קלאַסאַפאַקיישאַנז וואָס קען מיינען אַז איר זענט איבער אָדער אונטער ינזשעניעריע קאָנטראָלס. צו פילע קלאַסאַפאַקיישאַן אָפּציעס זענען מסתּמא צו צעמישן סוף יוזערז וועגן וואָס צו אַדאַפּט און שאַפֿן נאָך אָוווערכעד אויף די פאַרוואַלטונג סכעמע. ווי מיט אַלע קאָנטראָלס, דעם איינער דאַרף זיין ריוויוד קעסיידער צו ענשור זיין אָנגאָינג טויגיקייט פֿאַר ציל.
א.8.2.2 לייבלינג פון אינפֿאָרמאַציע
אַ צונעמען גאַנג פון פּראָוסידזשערז פֿאַר אינפֿאָרמאַציע לייבלינג מוזן זיין דעוועלאָפּעד און ימפּלאַמענאַד אין לויט מיט די אינפֿאָרמאַציע קלאַסאַפאַקיישאַן סכעמע אנגענומען דורך די אָרגאַניזאַציע. פּראָוסידזשערז פֿאַר אינפֿאָרמאַציע לייבלינג וועט דאַרפֿן צו דעקן אינפֿאָרמאַציע און פֿאַרבונדענע אַסעץ אין ביידע גשמיות און עלעקטראָניש פֿאָרמאַטירונגען. די לייבלינג זאָל פאַרטראַכטנ זיך די קלאַסאַפאַקיישאַן סכעמע געגרינדעט אין 8.2.1.
די לאַבעלס זאָל זיין לייכט רעקאַגנייזאַבאַל און גרינג צו פירן אין פיר, אַנדערש זיי וועלן נישט זיין נאכגעגאנגען. צום ביישפּיל, עס קען זיין גרינגער צו דע פאַקטאָ באַשליסן אַז אַלץ איז קאַנפאַדענשאַל אין די דיגיטאַל סיסטעמען, סייַדן אויסדריקן מיט אַ אַנדערש נאָמען, אלא ווי צו באַקומען שטעקן צו שטעלן יעדער CRM דערהייַנטיקן מיט אַ בטחון ויסזאָגונג!
זייט קלאָר ווו דעם דע פאַקטאָ לייבלינג איז געטאן און דאָקומענט עס אין דיין פּאָליטיק און געדענקען צו אַרייַננעמען עס אין די טריינינג פֿאַר שטעקן.
א.8.2.3 האַנדלינג פון אַסעץ
פּראָוסידזשערז פֿאַר האַנדלינג אַסעץ מוזן זיין דעוועלאָפּעד און ימפּלאַמענאַד אין לויט מיט די אינפֿאָרמאַציע קלאַסאַפאַקיישאַן סכעמע. די פאלגענדע זאָל זיין באַטראַכט; אַקסעס ריסטריקשאַנז פֿאַר יעדער מדרגה פון קלאַסאַפאַקיישאַן; וישאַלט פון אַ פאָרמאַל רעקאָרד פון די אָטערייזד ריסיפּיאַנץ פון אַסעץ; סטאָרידזש פון IT אַסעץ אין לויט מיט מאַניאַפאַקטשערערז 'ספּעסיפיקאַטיאָנס, מאַרקינג פון מידיאַ פֿאַר אָטערייזד פּאַרטיעס.
אויב די אָרגאַניזאַציע כאַנדאַלז אינפֿאָרמאַציע אַסעץ פֿאַר קאַסטאַמערז, סאַפּלייערז און אנדערע, עס איז וויכטיק צו באַווייַזן אַ מאַפּינג פּאָליטיק, למשל, קונה קלאַסאַפאַקיישאַן פון באַאַמטער שפּירעוודיק מאַפּס צו אונדזער געשעפט אָרגאַניזאַציע אין בטחון, אָדער אַז די נאָך קלאַסאַפאַקיישאַן וואָלט זיין באהאנדלט אין אנדערע וועגן. ווייַזן עס איז זייַענדיק פּראָטעקטעד.
וואָס איז די אָביעקטיוו פון אַנעקס אַ.8.3?
אַנעקס אַ.8.3 איז וועגן מעדיע האַנדלינג. די אָביעקטיוו אין דעם אַנעקס איז צו פאַרמייַדן אַנאָטערייזד אַנטפּלעקונג, מאָדיפיקאַטיאָן, באַזייַטיקונג אָדער צעשטערונג פון אינפֿאָרמאַציע סטאָרד אויף מידיאַ.
A.8.3.1 פאַרוואַלטונג פון רימווואַבאַל מידיאַ
פּראָוסידזשערז מוזן זיין שטעלן אין פּלאַץ פֿאַר די פאַרוואַלטונג פון רימווואַבאַל מידיאַ אין לויט מיט די קלאַסאַפאַקיישאַן סכעמע. אַלגעמיינע נוצן פון רימווואַבאַל מידיאַ מוזן זיין ריזיקירן אַססעססעד און עס קען זיין נייטיק צו דורכפירן נוצן-ספּעציפיש ריזיקירן אַסעסמאַנץ ווייַטער פון דעם. רימווואַבאַל מידיאַ זאָל זיין ערלויבט בלויז אויב עס איז אַ גערעכטפארטיקט געשעפט סיבה.
אויב ניט מער פארלאנגט, די אינהאַלט פון קיין שייַעך-ניצלעך מידיאַ זאָל זיין אַנריקאַווערד און סיקיורלי חרובֿ אָדער ירייסט. אַלע מעדיע זאָל זיין סטאָרד אין אַ זיכער, זיכער סוויווע, אין לויט מיט די ספּעסאַפאַקיישאַנז פון מאַניאַפאַקטשערערז און נאָך טעקניקס ווי קריפּטאָגראַפי באַטראַכט ווו צונעמען (ד"ה ווי אַ טייל פון די ריזיקירן אַסעסמאַנט).
אויב נייטיק און פּראַקטיש, דערלויבעניש זאָל זיין פארלאנגט פֿאַר מעדיע אַוועקגענומען פון דער אָרגאַניזאַציע, און אַ רעקאָרד איז געהאלטן צו האַלטן אַן קאָנטראָלירן שטעג.
א.8.3.2 באַזייַטיקונג פון מעדיע
ווען ניט מער פארלאנגט מעדיע מוזן זיין דיספּאָוזד סיקיורלי דורך ווייַטערדיק דאַקיומענטאַד פּראָוסידזשערז. די פּראָוסידזשערז מינאַמייז די ריזיקירן פון קאַנפאַדענשאַל אינפֿאָרמאַציע ליקאַדזש צו אַנאָטערייזד פּאַרטיעס.
די פּראָוסידזשערז זאָל זיין פּראַפּאָרשאַנאַל צו די סענסיטיוויטי פון די דיספּאָוזד אינפֿאָרמאַציע. טינגז וואָס זאָל זיין קאַנסידערד אַרייַננעמען; צי די מידיאַ כּולל קאַנפאַדענשאַל אינפֿאָרמאַציע אָדער נישט; און מיט פּראָוסידזשערז אין פּלאַץ וואָס העלפֿן ידענטיפיצירן די זאכן וואָס קען. דאַרפן זיכער באַזייַטיקונג.
א.8.3.3 פיזיקאַל מעדיע אַריבערפירן
קיין מעדיע מיט אינפֿאָרמאַציע דאַרף זיין פּראָטעקטעד קעגן אַנאָטערייזד אַקסעס, מיסיוז אָדער קאָרופּציע בעשאַס טראַנספּערטיישאַן (סייַדן שוין עפנטלעך בנימצא).
די פאלגענדע זאָל זיין קאַנסידערד צו באַשיצן מידיאַ ווען טראַנספּאָרטאַד; פאַרלאָזלעך אַריבערפירן אָדער קעריערז זאָל זיין געוויינט - טאָמער אַ רשימה פון אָטערייזד קעריערז זאָל זיין מסכים מיט די פאַרוואַלטונג; פּאַקקאַגינג זאָל זיין גענוג צו באַשיצן די אינהאַלט פון קיין גשמיות שעדיקן בעשאַס דורכפאָר; און לאָגס זאָל זיין געהאלטן, ידענטיפיצירן די אינהאַלט פון די מידיאַ און די אַפּלאַקיישאַן שוץ.
עס זאָל אויך זיין באמערקט אַז ווען קאַנפאַדענשאַל אינפֿאָרמאַציע אויף מידיאַ איז נישט ינקריפּטיד, נאָך גשמיות שוץ פון די מידיאַ זאָל זיין קאַנסידערד.
באַקומען אַ 81% כעדסטאַרט
מיר האָבן געטאן די שווער אַרבעט פֿאַר איר, געבן איר אַ העאַדסטאַרט פון 81% פון דעם מאָמענט איר קלאָץ אויף.
כל איר האָבן צו טאָן איז צו פּלאָמבירן די בלאַנקס.
