ISO/IEC 27038 skisserer funksjonene til digitale redigeringstilnærminger. ISO 27038, utgitt i 2014, definerer også kriterier for programvareredigeringsverktøy og for å fullføre testprosedyrer sikkert.
Noen ganger kan det hende du må avsløre informasjon til tredjeparter, eller til og med til offentligheten, for formål som avsløring av offisielle registre under Free Access Law eller som bevis i juridiske saker eller rettssaker. ISO 27038 gir imidlertid ikke datadatabaserevisjon. Databaser teller som "enheter av registrert informasjon", men de er uttrykkelig unntatt fra standardens omfang.
Redaksjon er metoden for å fjerne materiale fra et dokument før utgivelse. I juridisk kontekst er bruken av redaksjon å slette sensitiv, proprietær eller beskyttet informasjon fra registre før innlevering til retten, eller på annen måte gjøre den tilgjengelig for visning utenfor kontoret. En organisasjon kan også bruke redigering for å slette metadata eller materiale (f.eks. bilder) importert til et dokument.
ISO 27038 beskriver redaksjon som permanent fjerning av informasjon i et dokument der dokumentet er offisielt definert som registrert informasjon og betraktet som en enhet. Definisjoner er essensielle siden disse ordene også betyr andre ting i andre sammenhenger og generell bruk. Senere i standarden utvides redaksjonen til å inkludere ikke bare fjerning av sensitiv informasjon, men også vise hvor det fjernede materialet er om nødvendig.
Når det anses som uakseptabelt å avsløre sensitive detaljer i et dokument, må organisasjonen trygt slette informasjonen før publisering. Eksempler på dette inkluderer navnene eller plasseringene til enkeltpersoner som må forbli anonyme og diverse andre personlige eller proprietære poster som må forbli strengt konfidensielle.
Å vurdere redaksjon er vanligvis viktig for å beskytte svært sensitiv informasjon. Feil i prosess som fører til uautorisert utlevering av data er seriøse. Redaksjonsmangler førte til hendelser som identitetstyveri, eksponering av sensitive sikkerhetshensyn, brudd på personvernet og, i noen ekstreme tilfeller, avsløring av identiteten til undercover-agenter og informanter. I motsetning til dette kan avsløring av forretningshemmeligheter være svært kostbart i kommersiell sammenheng. For de som anses ansvarlige kan i det minste redaksjonsfeil være ydmykende.
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
Vi begynte å bruke regneark, og det var et mareritt. Med ISMS.online-løsningen ble alt det harde arbeidet gjort enkelt.
Det er flere data sikkerhetsrisiko knyttet til digital redigering. En av disse truslene er unnlatelsen av å gjøre den redigerte informasjonen irreversibel. Dette kan skyldes en rekke faktorer, for eksempel å unnlate å omskrive sensitive data eller å fjerne sensitiv informasjon bare delvis. Ved å forlate datarestene kan det gjøre det mulig å hente redigert informasjon. Bruken av feil eller utilstrekkelige teknologiske redaksjonsmetoder, for eksempel ufine endring av poster, utgjør også datarisiko. I stedet for å permanent fjerne sensitive data, ved å bruke teknikker som kan eller på annen måte kan reverseres, bekjemper formålet med å redigere den sensitive informasjonen ettersom den fortsatt kan oppdages.
En annen sårbarhet som involverer redaksjon er overdreven avhengighet av retusjering, pikselering eller bruk av andre lignende teknikker for tilsløring for å maskere deler av bilder. Disse teknikkene brukes ofte for å beskytte personvernet. Ved å bruke dekonvolusjon og forskjellige, mindre sofistikerte transformasjonsmetoder, kan nok av den opprinnelige informasjonen gjenopprettes til å tillate gjenkjennelse. Men i den andre ytterligheten kan overdreven eller feil redigering også øke sikkerhetsrisiko for en organisasjon. Å fjerne mer enn bare spesielle sensitive ting som skulle ha blitt skrevet eller gjort så klønete kan utilsiktet endre betydningen av gjenværende data som en konsekvens av kontekstuelle problemer.
Feil omskriving av informasjon kan føre til lekkasje eller utilsiktet brudd på data. Eksempler på denne oppførselen inkluderer:
En overavhengighet av redaksjon kan også utgjøre en informasjonssikkerhetsrisiko. Å tro at det er tilstrekkelig å holde sensitive data fullstendig konfidensiell under alle saker, mens teknologiske og prosessmessige feil er uunngåelige og ulykker ofte oppstår. Omvendt kan det å sette null avhengighet av skriving, og tenke at det ikke er i stand til å forsvare sensitiv informasjon, øke risikoen.
Redaksjon kan også bidra til informasjonssikkerhetsproblemer som er utilsiktede eller perifere for selve prosessen. Forekomster av dette er:
Disse tilfellene kan skade troverdigheten til en organisasjon eller de første uskrevne filene.
En skreddersydd praktisk økt basert på dine behov og mål
Selv om ISO 27038-standarden har et begrenset omfang, er det risikoer den adresserer er betydelige, og mange av kontrollene er teknisk så vel som prosedyremessig sofistikerte. Som andre ISO27k standarder, søker ikke ISO 27038 å dekke alle lunkene i den redaksjonelle prosessen i dybden, men tilbyr god generisk veiledning på høyt nivå.
Digital redigeringsteknologi har eksistert i mange år nå for å revidere konfidensiell tekst fra ethvert dokument i PDF-format elektronisk. En rekke programvare har denne funksjonen. Til tross for dette, og ettersom organisasjoner lager og overfører en økende mengde digitalt produserte dokumenter, bruker noen fortsatt manuelle papirredigeringsmetoder.
I mange tilfeller innebærer dette å skrive ut et dokument, manuelt fjerne konfidensiell informasjon med blekk eller tape, fotokopiere posten og deretter laste ned dokumentet tilbake til systemet. Med disse verktøyene tilgjengelig, hvorfor bruker noen selskaper fortsatt manuell redigering?
Litt selskaper er ikke klar over at redaksjonsteknologier eksisterer fordi de har vært for opptatt til å holde seg oppdatert med teknisk utvikling. Noen selskaper tror de ikke har tid til å utforske applikasjonsalternativene sine, så de fortsetter å gjøre det de er vant til. Andre selskaper antar at programvaren er unøyaktig og at skriftlig kunnskap og metadata på en eller annen måte vil være avdekkelig og øke risikoviljen deres. Mens andre er klar over denne programvaren, men de tror ikke de har råd til det.
De resulterende redaksjonene er mer nøyaktige fordi de ikke er avhengige av at mennesker finner sensitiv og privilegert informasjon. Digitale redigeringer er vanligvis raskere enn å redigere en tekst manuelt.
Det er lettere å merke og slette tekst med enkle musestrøk enn å sette tape eller svart blekk som dekker klassifisert data. De kan endre hundrevis av sider med skriving på en brøkdel av tiden som kreves for å omskrive samme mengde manuelt.
I tillegg til dette er digital redigering en betydelig kostnadsbesparende metode. Det sparer penger fra et firma i ressurser og i personaltid. I stedet for å kaste bort timer på å utføre en svært administrativ jobb, kan digital redaksjon frigjøre arbeidere til å utføre mer omfattende arbeid.
På flere måter er denne digitale prosessen overlegen enhver papirprosedyre. Digital redigering er mye mer effektiv. Siden alle PDF-applikasjoner med en Redaction-funksjon har søkefunksjoner, kan brukere søke etter sensitive detaljer, for eksempel kontonumre og bestemte fraser.
ISMS.online gjør det så enkelt som mulig å sette opp og administrere ISMS.
ISO 27038 gjelder for alle organisasjoner som utveksler sensitiv informasjon eksternt. For eksempel når du deler en informasjonssikkerhetspolitikk utenfor selskapet, bør all konfidensiell informasjon som den inneholder, redigeres før utgivelse. Standarden inneholder to redaksjonelle nivåer:
Denne forskjellen gjør ISO 27038 avgjørende for mange organisasjoner i alle sektorer.
Mens ISO-spesifikasjonsretningslinjene vanligvis bruker "skal" utelukkende for å angi obligatoriske betingelser, bruker ISO 27038 ofte "bør" på steder og gir avklaringer utover de formelle spesifikasjonene. I praksis gjør dette det lettere for brukere å forstå og implementere standarden, men mer utfordrende å verifisere og håndheve samsvar, hvis noen gang forventet.
Standarden sier imidlertid ikke noe om den overordnede styringen av redaksjonsprosessen. I stedet definerer ISO 27038 hva som skal skrives, hvorfor, hvordan og av hvem, eller vurdere og hvordan håndtere risiko i en gitt redaksjonssituasjon. Standarden diskuterer også sikkerhetstiltak som må iverksettes til eller knyttet til prosessen, for eksempel å forhindre uriktig utgivelse eller klargjøring av uskreven innhold.
ISO 27038 er sammensatt av 9 klausuler og ett vedlegg.
Punkt 1: Omfang
Punkt 2: Begreper og definisjoner
Klausul 3: Symboler og forkortede termer
Punkt 4: Generelle prinsipper for digital redigering
Punkt 5: Krav
Punkt 6: Redaksjonsprosesser
Punkt 7: Føre journal over redaksjonsarbeid
Klausul 8: Kjennetegn på programvareredigeringsverktøy
Punkt 9: Krav til redaksjonstesting
Vedlegg A: Redigering av PDF-dokumenter
Bestill en skreddersydd praktisk økt basert på dine behov og mål.
100 % av brukerne våre oppnår ISO 27001-sertifisering første gang