Doel van de controle 8.11
Gegevensmaskering is een techniek die wordt gebruikt om gevoelige gegevens te beschermen – meestal alle gegevens die als persoonlijk identificeerbare informatie (PII) kunnen worden beschouwd – naast de standaard informatiebeveiligingsprotocollen van een organisatie, zoals toegangscontrole enz.
Het maskeren van gegevens wordt vaak genoemd in wettelijke, statutaire en regelgevende richtlijnen en wetten die de opslag en toegang van werknemers-, klant-, gebruikers- en leveranciersinformatie regelen.
Attributen Controletabel 8.11
Controle 8.11 is een preventieve controleer dat wijzigt het risico door een reeks gegevensmaskeringstechnieken voor te stellen die PII beschermen en de organisatie helpen te blijven voldoen aan wat juridische autoriteiten en regelgevende instanties van haar vragen.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Beschermen | #Informatiebescherming | #Bescherming |
Eigendom van zeggenschap 8.11
Het maskeren van gegevens is een complex technisch proces waarbij gevoelige informatie moet worden gewijzigd en waarmee wordt voorkomen dat gebruikers de betrokkenen kunnen identificeren door middel van een verscheidenheid aan maatregelen.
Hoewel dit op zichzelf een administratieve taak is, houdt de aard van het maskeren van gegevens rechtstreeks verband met het vermogen van een organisatie om te blijven voldoen aan wet- en regelgeving en wettelijke richtlijnen met betrekking tot de opslag, toegang en verwerking van gegevens. Als zodanig moet het eigendom bij de Chief Information Security Officer, of organisatorisch equivalent.
Compliance hoeft niet ingewikkeld te zijn.
Wij hebben het harde werk voor u gedaan en u een voorsprong van 81% gegeven vanaf het moment dat u zich aanmeldt.
Het enige dat u hoeft te doen, is de lege plekken invullen.
Algemene richtlijnen voor naleving
Controle 8.11 vraagt organisaties om datamaskering te overwegen via de reikwijdte van twee hoofdtechnieken: pseudonimisering en / of anonimisering. Beide methoden zijn ontworpen om het ware doel van PII te verhullen door middel van disassociatie – dat wil zeggen het verbergen van de link tussen de onbewerkte gegevens en het onderwerp (meestal een persoon).
Organisaties moeten er goed op letten dat geen enkel stukje gegevens de identiteit van de betrokkene in gevaar brengt.
Bij het gebruik van een van deze technieken moeten organisaties rekening houden met het volgende:
- Het vereiste niveau van pseudonimisering en/of anonimisering, in verhouding tot de aard van de gegevens.
- Hoe toegang wordt verkregen tot de gemaskeerde gegevens.
- Eventuele bindende afspraken die het gebruik van de gegevens beperken, moeten worden gemaskeerd.
- Het gescheiden houden van de gemaskeerde gegevens van andere gegevenstypen, om te voorkomen dat de betrokkene gemakkelijk kan worden geïdentificeerd.
- Vastleggen wanneer de gegevens zijn ontvangen en hoe deze aan interne of externe bronnen zijn verstrekt.
Begeleiding – Aanvullende technieken
Pseudonimisering en anonimisering zijn niet de enige methoden die beschikbaar zijn voor organisaties die PII of gevoelige gegevens willen maskeren. Control 8.11 schetst vijf andere methoden die kunnen worden gebruikt om de gegevensbeveiliging te versterken:
- Op sleutels gebaseerde versleuteling.
- Tekens binnen de gegevensset ongeldig maken of verwijderen.
- Wisselende aantallen en data.
- Waarden in de gegevens vervangen.
- Op hash gebaseerde waardemaskering.
Richtlijnen – Principes voor gegevensmaskering
Het maskeren van gegevens is een belangrijk onderdeel van het beleid van een organisatie om PII te beschermen en de identiteit te beschermen van de personen over wie gegevens worden bewaard.
Naast de bovenstaande technieken moeten organisaties ook de onderstaande suggesties in overweging nemen bij het bepalen van hun strategie voor het maskeren van gegevens:
- Implementeer maskeringstechnieken die alleen de minimale hoeveelheid gegevens voor iedereen die het gebruikt.
- Het ‘verduisteren’ (verbergen) van bepaalde gegevens op verzoek van de betrokkene en het alleen bepaalde personeelsleden toegang geven tot de voor hen relevante onderdelen.
- Hun datamaskeringsoperatie opbouwen rond specifieke wettelijke en regelgevende richtlijnen.
- Wanneer pseudonimisering wordt toegepast, wordt het algoritme dat wordt gebruikt om de gegevens te ‘ontmaskeren’ veilig gehouden.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 standaarden
en regelgeving, waardoor u er één krijgt
platform voor al uw compliance-behoeften.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
Geen. Controle 8.11 heeft geen precedent in ISO 27002:2013 omdat het nieuw is.
Nieuwe ISO 27002-controles
Nieuwe bedieningselementen
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | Nieuw | Bedreigingsintelligentie |
| 5.23 | Nieuw | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | Nieuw | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 8.9 | Nieuw | Configuratiebeheer |
| 8.10 | Nieuw | Verwijdering van informatie |
| 8.11 | Nieuw | Gegevensmaskering |
| 8.12 | Nieuw | Preventie van gegevenslekken |
| 8.16 | Nieuw | Monitoring activiteiten |
| 8.23 | Nieuw | Web filtering |
| 8.28 | Nieuw | Veilige codering |
Organisatorische controles
Mensencontroles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
Fysieke controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | Nieuw | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Technologische controles
Hoe ISMS.online helpt
Ons cloudgebaseerde platform biedt u een robuust raamwerk van informatiebeveiligingscontroles, zodat u uw ISMS-proces kunt controleren terwijl u bezig bent om er zeker van te zijn dat het voldoet aan de vereisten van ISO 27002:2022.
Neem vandaag nog contact op met boek een demo.
Ga naar onderwerp
Word tot 5x sneller gecertificeerd
Vul gewoon de ontbrekende woorden in.
Demo Aanvragen Ontvang een offerte
