ISO/IEC 27038 schetst de kenmerken van digitale redactiebenaderingen. ISO 27038, uitgebracht in 2014, definieert ook criteria voor softwareredactietools en voor het invullen testprocedures veilig.
Soms moet u mogelijk informatie bekendmaken aan derden, of zelfs aan het publiek, voor doeleinden zoals openbaarmaking van officiële documenten onder de Wet op Vrije Toegang of als bewijsmateriaal in juridische zaken of gerechtelijke procedures. ISO 27038 voorziet echter niet in een herziening van de gegevensdatabase. Databases gelden als 'eenheden van vastgelegde informatie', maar vallen uitdrukkelijk buiten het toepassingsgebied van de standaard.
Redactie is de methode om materiaal uit een document te verwijderen voordat het wordt vrijgegeven. In de juridische context is het gebruik van redactie het verwijderen van gevoelige, bedrijfseigen of beschermde informatie uit documenten voordat deze bij de rechtbank wordt ingediend, of op andere wijze beschikbaar maken voor inzage buiten het kantoor. Een organisatie kan redactie ook gebruiken om metagegevens of materiaal (bijvoorbeeld afbeeldingen) dat in een document is geïmporteerd, te verwijderen.
ISO 27038 beschrijft redactie als het permanent verwijderen van informatie in een document, waarbij het document officieel wordt gedefinieerd als vastgelegde informatie en als een eenheid wordt beschouwd. Definities zijn essentieel omdat deze woorden ook andere dingen betekenen in andere contexten en algemeen gebruik. Later in de standaard wordt de redactie uitgebreid en omvat niet alleen het verwijderen van gevoelige informatie, maar ook het laten zien waar het verwijderde materiaal zich bevindt, indien nodig.
Wanneer het onaanvaardbaar wordt geacht om gevoelige details in een document openbaar te maken, moet de organisatie de informatie veilig verwijderen vóór publicatie. Voorbeelden hiervan zijn onder meer de namen of locaties van personen die anoniem moeten blijven en diverse andere persoonlijke of bedrijfseigen documenten die strikt vertrouwelijk moeten blijven.
Het overwegen van redactie is doorgaans essentieel bij het beschermen van zeer gevoelige informatie. Fouten in de proces dat leidt tot ongeoorloofde openbaarmaking van gegevens zijn serieus. Tekortkomingen in de redactie leidden tot gebeurtenissen als identiteitsdiefstal, het blootleggen van gevoelige veiligheidskwesties, schendingen van de privacy en, in sommige extreme gevallen, het blootleggen van de identiteit van undercoveragenten en informanten. Daarentegen kan de openbaarmaking van bedrijfsgeheimen in een commerciële context zeer kostbaar zijn. Voor degenen die aansprakelijk worden geacht, kunnen redactiefouten op zijn minst vernederend zijn.
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
We zijn begonnen met het gebruik van spreadsheets en het was een nachtmerrie. Met de ISMS.online-oplossing werd al het harde werk gemakkelijk gemaakt.
Er zijn verschillende gegevens veiligheidsrisico's gerelateerd aan digitale redactie. Eén van deze bedreigingen is het onvermogen om de geredigeerde informatie onomkeerbaar te maken. Dit kan te wijten zijn aan verschillende factoren, zoals het nalaten gevoelige gegevens te herschrijven of gevoelige informatie slechts gedeeltelijk te verwijderen. Door de gegevensresten achter te laten, kan geredigeerde informatie worden opgehaald. Het gebruik van onjuiste of ontoereikende technologische redactiemethoden, zoals het ongemerkt wijzigen van documenten, brengt ook gegevensrisico's met zich mee. In plaats van het permanent verwijderen van gevoelige gegevens, door gebruik te maken van technieken die kunnen worden of anderszins kunnen worden teruggedraaid, wordt het doel van het redigeren van de gevoelige informatie, aangezien deze nog steeds kan worden ontdekt, tenietgedaan.
Een andere kwetsbaarheid op het gebied van redactie is het overdreven vertrouwen op retoucheren, pixeleren of het gebruik van andere vergelijkbare verduisteringstechnieken om gedeelten van afbeeldingen te maskeren. Deze technieken worden vaak gebruikt om de persoonlijke privacy te beschermen. Door deconvolutie en andere, minder geavanceerde transformatiebenaderingen te gebruiken, kan voldoende van de oorspronkelijke informatie worden hersteld om herkenning mogelijk te maken. Maar in het andere uiterste geval kan overmatige of ongepaste bewerking ook de kans vergroten veiligheidsrisico voor een organisatie. Het verwijderen van meer dan alleen bepaalde gevoelige dingen die zo onhandig geschreven of gedaan zouden zijn, zou onbedoeld de betekenis van de resterende gegevens kunnen veranderen als gevolg van contextuele problemen.
Het onjuist herschrijven van informatie kan leiden tot lekkage of onbedoelde informatie inbreuk op gegevens. Voorbeelden van dit gedrag zijn onder meer:
Een te groot vertrouwen in redactie kan ook tot een probleem leiden informatiebeveiligingsrisico. Geloven dat het voldoende is om gevoelige gegevens in alle gevallen volledig vertrouwelijk te houden, terwijl technologische en procesfouten onvermijdelijk zijn en er vaak ongelukken gebeuren. Omgekeerd kan het ook uw risico vergroten als u geen enkele afhankelijkheid van schrijven stelt, omdat u denkt dat het niet in staat is gevoelige informatie te verdedigen.
Redactie kan ook bijdragen aan informatiebeveiligingsproblemen die onbedoeld of perifeer zijn voor het proces zelf. Voorbeelden hiervan zijn:
Deze gevallen kunnen schade toebrengen aan de geloofwaardigheid van een organisatie of aan de aanvankelijke ongeschreven bestanden.
Een praktijkgerichte sessie op maat, afgestemd op uw wensen en doelstellingen
Hoewel de ISO 27038-norm een beperkte reikwijdte heeft, is de risico’s die het aanpakt zijn aanzienlijk, en veel van de controles zijn zowel technisch als procedureel geavanceerd. Zoals andere ISO27k ISO 27038 streeft er niet naar om alle grillen van het redactionele proces diepgaand te behandelen, maar biedt gedegen, generieke richtlijnen van hoog niveau.
Digitale redactietechnologie bestaat al vele jaren om vertrouwelijke tekst uit elk document in PDF-formaat elektronisch te herzien. Een verscheidenheid aan softwareprogramma's hebben deze functie. Desondanks, en omdat organisaties een groeiend aantal digitaal geproduceerde documenten creëren en verzenden, maken sommige nog steeds gebruik van handmatige papierredactiemethoden.
In veel gevallen gaat het hierbij om het afdrukken van een document, het handmatig verwijderen van vertrouwelijke informatie met inkt of tape, het fotokopiëren van het document en het vervolgens terug downloaden van het document naar het systeem. Waarom gebruiken sommige bedrijven, nu deze tools beschikbaar zijn, nog steeds handmatige redactie?
sommige bedrijven zijn zich er niet van bewust dat redactietechnologieën bestaan omdat ze het te druk hebben gehad om op de hoogte te blijven van de technische ontwikkelingen. Sommige bedrijven denken dat ze geen tijd hebben om hun toepassingsmogelijkheden te verkennen en blijven daarom doen wat ze gewend zijn. Andere bedrijven gaan ervan uit dat de software onnauwkeurig is en dat schriftelijke kennis en metagegevens op de een of andere manier aan het licht kunnen komen en hun risicobereidheid vergroten. Terwijl anderen op de hoogte zijn van deze software, maar denken dat ze het niet kunnen betalen.
De resulterende redacties zijn nauwkeuriger omdat ze niet afhankelijk zijn van mensen om gevoelige en bevoorrechte informatie te lokaliseren. Digitale redacties zijn doorgaans sneller dan het handmatig redigeren van een tekst.
Het is gemakkelijker om tekst met simpele muisbewegingen te labelen en te wissen dan om geheime gegevens af te dekken met tape of zwarte inkt. Ze kunnen honderden pagina's aan tekst wijzigen in een fractie van de tijd die nodig is om hetzelfde aantal handmatig te herschrijven.
Daarnaast is digitale redactie een aanzienlijke kostenbesparende methode. Het bespaart een bedrijf geld aan middelen en personeelstijd. In plaats van uren te verspillen aan een zeer administratieve taak, kan digitale redactie werknemers de ruimte geven om meer inhoudelijk werk te verrichten.
In meerdere opzichten is dit digitale proces superieur aan welke papieren procedure dan ook. Digitale bewerking is veel effectiever. Omdat alle PDF-toepassingen met een redactiefunctie zoekmogelijkheden hebben, kunnen gebruikers zoeken naar gevoelige details, zoals rekeningnummers en bepaalde zinsneden.
ISMS.online maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
ISO 27038 is van toepassing op elke organisatie die extern gevoelige informatie uitwisselt. Als u bijvoorbeeld een informatiebeveiligingsbeleid buiten het bedrijf moet alle vertrouwelijke informatie die deze bevat, worden geredigeerd voordat deze wordt vrijgegeven. De standaard kent twee redactionele niveaus:
Dit onderscheid maakt ISO 27038 van cruciaal belang voor veel organisaties in alle sectoren.
Terwijl de ISO-specificatierichtlijnen gewoonlijk “shall” uitsluitend gebruiken om verplichte voorwaarden aan te duiden, gebruikt ISO 27038 vaak “should” op sommige plaatsen en biedt verduidelijking die verder gaat dan de formele specificaties. In de praktijk maakt dit het voor gebruikers gemakkelijker om de standaard te begrijpen en te implementeren, maar een grotere uitdaging om naleving te verifiëren en af te dwingen, als dat ooit wordt verwacht.
De standaard zegt echter niets over het algehele beheer van het redactieproces. In plaats daarvan definieert ISO 27038 wat er geschreven moet worden, waarom, hoe en door wie inschatten en omgaan met risico’s in een bepaalde redactiesituatie. De standaard bespreekt ook beveiligingsmaatregelen die moeten worden toegepast aan of verband houdend met het proces, bijvoorbeeld het voorkomen van ongepaste vrijgave of verduidelijking van ongeschreven inhoud.
ISO 27038 bestaat uit 9 clausules en één bijlage.
Artikel 1: Toepassingsgebied
Artikel 2: Termen en definities
Artikel 3: Symbolen en verkorte termen
Artikel 4: Algemene principes van digitale redactie
Artikel 5: Vereisten
Artikel 6: Redactieprocessen
Artikel 7: Het bijhouden van een administratie van redactiewerkzaamheden
Artikel 8: Kenmerken van software-redactietools
Artikel 9: Vereisten voor redactietests
Bijlage A: Redigeren van PDF-documenten
Boek een hands-on sessie op maat op basis van uw behoeften en doelen.
100% van onze gebruikers behaalt de eerste keer de ISO 27001-certificering