ISO/IEC 27001 : 2022 附录 A 8.12 数据泄露防护
ISO 27001:2022 附录 A 8.12 的目的
数据泄露可以定义为内部和外部人员和系统,或针对组织信息系统的恶意实体未经授权访问、传输或提取信息。
对于在多个不同且相互关联的 IT 系统、应用程序和文件服务器上管理大量数据(包括不同分类)的组织来说,数据泄露是一个常见问题。
谁拥有附录 A 8.12 的所有权?
ISO 27001:2022 附录 A 8.12 涉及在系统管理员访问下进行的 ICT 操作,并属于网络管理和维护的范畴。因此,IT 主管或同等人员应监督此控制。
ISO 27001:2022 附录 A 8.12 合规性指南
很难完全根除数据泄露。然而,为了降低其运营所独有的风险,组织应:
根据行业标准(PII、商业数据、产品信息)组织数据,以分配不同的风险级别。
仔细检查使用率高且容易泄露的数据出口(即电子邮件、向内和向外文件传输、USB 小工具)。
积极主动地保护数据不被泄露。设置严格的文件限制,并设置适当的授权方法。
限制用户仅将数据复制和粘贴到某些平台和系统以及从某些平台和系统复制和粘贴数据的能力。
在进行任何大规模出口之前,需要获得数据持有者的授权。
考虑规范或阻止用户捕获屏幕截图或拍摄显示受保护数据类型的监视器的照片。
加密包含敏感数据的任何备份。确保所有机密信息都受到保护。
构建网关安全和防泄漏措施,防范外部影响,包括(但不限于)工业间谍、破坏、商业干扰和IP盗窃。
数据泄漏预防与其他 ISO 安全指南密切相关,旨在保护整个公司网络的信息和数据,包括访问控制(参见 ISO 27001:2022 附录 A 控制 5.12)和安全文档管理(参见 ISO 27001:2022 附录 A 控制 5.15)。
数据泄露工具指南
组织应考虑使用专门的数据泄漏工具和实用程序,以便:
与组织的数据分类系统协作,识别高风险类别中数据泄露的可能性。
主动检测数据传输/泄露并发出警报,尤其是对未经批准的系统、文件共享站点或应用程序的传输/披露。
请注意某些数据传输技术所涉及的风险,例如,将财务数据从数据库传输到电子表格。
数据泄漏预防工具本质上是侵入性的,应根据有关用户隐私的任何适用法规或立法进行使用和管理。