Mục đích của Kiểm soát 5.13
5.13 là biện pháp kiểm soát phòng ngừa giúp bảo vệ tài sản thông tin khỏi các rủi ro bảo mật bằng cách giúp các tổ chức đạt được hai mục đích riêng biệt:
- Giúp dễ dàng chứng minh mức độ phân loại của từng tài sản thông tin khi thông tin được truyền đạt nội bộ và bên ngoài cũng như khi nhân viên và bên thứ ba truy cập và sử dụng.
- Đơn giản hóa quy trình tự động hóa quản lý và xử lý thông tin.
Thuộc tính của Kiểm soát 5.13
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật | #Bảo vệ | #Bảo vệ thông tin | #Phòng thủ |
| #Chính trực | #Sự bảo vệ | |||
| #Khả dụng |
Quyền sở hữu kiểm soát 5.13
Xem xét rằng việc thêm siêu dữ liệu vào tài sản kỹ thuật số là cách chính để dán nhãn tài sản thông tin, người quản lý siêu dữ liệu sẽ chịu trách nhiệm thực hiện đúng quy trình dán nhãn.
Cùng với người quản lý siêu dữ liệu, chủ sở hữu tài sản có quyền truy cập và sửa đổi sẽ chịu trách nhiệm dán nhãn đúng cho tất cả tài sản dữ liệu và sẽ thực hiện các sửa đổi cần thiết đối với nhãn nếu cần.
Hướng dẫn chung về cách tuân thủ
Kiểm soát 5.13 xác định bốn bước cụ thể mà các tổ chức nên thực hiện để dán nhãn thông tin theo tuân thủ 5.13.
Phát triển và triển khai Quy trình dán nhãn thông tin
Các tổ chức phải xây dựng Quy trình dán nhãn thông tin trên toàn tổ chức tuân thủ theo sơ đồ phân loại thông tin được tạo theo Kiểm soát 5.12.
Hơn nữa, 5.13 yêu cầu rằng Quy trình này phải được mở rộng cho tất cả các tài sản thông tin, bất kể ở dạng kỹ thuật số hay giấy và nhãn phải dễ nhận biết.
Mặc dù không có giới hạn nào về nội dung mà tài liệu Quy trình này có thể chứa, nhưng Điều khoản kiểm soát 5.13 nêu rõ rằng Quy trình ít nhất phải bao gồm những nội dung sau:
- Mô tả các phương pháp gắn nhãn vào tài sản thông tin tùy thuộc vào phương tiện lưu trữ và cách truy cập dữ liệu.
- Nơi gắn nhãn cho từng loại tài sản thông tin.
- Những tài sản thông tin nào sẽ không được dán nhãn, nếu có. Ví dụ, một tổ chức có thể bỏ qua việc dán nhãn dữ liệu công khai để hợp lý hóa quy trình dán nhãn thông tin.
- Mô tả các biện pháp dành cho những trường hợp không thể dán nhãn một số loại thông tin nhất định do hạn chế về mặt kỹ thuật, pháp lý hoặc hợp đồng.
- Các quy tắc về cách dán nhãn thông tin truyền tới các bên nội bộ hoặc bên ngoài.
- Đối với tài sản kỹ thuật số, Quy trình này phải giải thích cách chèn siêu dữ liệu.
- Tên nhãn sẽ được sử dụng cho tất cả tài sản.
Cung cấp đào tạo đầy đủ cho nhân viên về cách tuân thủ quy trình dán nhãn
Quy trình dán nhãn Thông tin chỉ có thể có hiệu quả khi Nhân sự và các bên liên quan khác được thông báo đầy đủ về cách dán nhãn thông tin chính xác và cách xử lý tài sản thông tin đã dán nhãn.
Do đó, các tổ chức nên cung cấp cho nhân viên và các bên liên quan khác chương trình đào tạo về Quy trình này.
Sử dụng Siêu dữ liệu để dán nhãn Tài sản thông tin số
5.13 yêu cầu sử dụng siêu dữ liệu để dán nhãn tài sản thông tin số.
Hơn nữa, tài liệu lưu ý rằng siêu dữ liệu nên được triển khai theo cách giúp xác định và tìm kiếm thông tin dễ dàng và hiệu quả, đồng thời hợp lý hóa quy trình ra quyết định giữa các hệ thống liên quan đến thông tin được gắn nhãn.
Thực hiện các biện pháp bổ sung để dán nhãn dữ liệu nhạy cảm có thể bị rò rỉ khỏi hệ thống
Xét đến những rủi ro liên quan đến việc chuyển dữ liệu nhạy cảm ra bên ngoài từ các hệ thống, 5.13 khuyến nghị các tổ chức dán nhãn các tài sản thông tin này bằng nhãn phù hợp nhất với mức độ quan trọng và nhạy cảm của thông tin liên quan.
Hướng dẫn bổ sung về Kiểm soát 5.13
Tiêu chuẩn 5.13 nhấn mạnh rằng việc nhận dạng và dán nhãn chính xác thông tin được phân loại là rất quan trọng đối với tính bảo mật của hoạt động chia sẻ dữ liệu.
Ngoài bốn bước cụ thể được mô tả ở trên, 5.13 cũng khuyến nghị các tổ chức chèn thêm các điểm siêu dữ liệu như tên của quy trình tạo ra tài sản thông tin và thời gian tạo ra tài sản đó.
Hơn nữa, 5.13 đề cập đến các kỹ thuật dán nhãn phổ biến mà các tổ chức có thể triển khai:
- Nhãn vật lý
- Tiêu đề và chân trang
- Siêu dữ liệu
- Đánh dấu bằng hình mờ
- Con dấu cao su
Cuối cùng, 5.13 nhấn mạnh rằng việc dán nhãn tài sản thông tin là ‘bí mật’ và ‘phân loại’ có thể gây ra hậu quả không mong muốn vì nó có thể giúp kẻ xấu dễ dàng tìm kiếm và tìm thấy tài sản thông tin nhạy cảm.
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022/5.13 thay thế 27002:2013/8.2.2 (Gắn nhãn thông tin).
Mặc dù hai cách điều khiển có phần giống nhau nhưng vẫn có hai điểm khác biệt chính khiến phiên bản 2022 toàn diện hơn.
Yêu cầu mới về việc sử dụng siêu dữ liệu
Trong khi phiên bản năm 2013 coi siêu dữ liệu là một kỹ thuật dán nhãn, thì phiên bản này không áp đặt bất kỳ nghĩa vụ cụ thể nào về việc tuân thủ khi sử dụng siêu dữ liệu.
Ngược lại, phiên bản 2022 đưa ra các yêu cầu nghiêm ngặt về cách sử dụng kỹ thuật siêu dữ liệu. Ví dụ, phiên bản 2022 yêu cầu:
- Siêu dữ liệu được thêm vào thông tin theo cách giúp dễ dàng nhận dạng, quản lý và khám phá thông tin một cách hiệu quả.
- Cần chèn siêu dữ liệu cho tên quy trình tổ chức đã tạo ra tài sản cụ thể và thời gian của quy trình đó.
Nội dung của Quy trình dán nhãn thông tin phải chi tiết hơn
Trái ngược với phiên bản năm 2022, phiên bản năm 2013 không chỉ định nội dung tối thiểu phải có trong Quy trình dán nhãn thông tin.
