امنیت

☐ ما تجزیه و تحلیل خطرات ناشی از پردازش ما را انجام می دهیم و از این برای ارزیابی سطح مناسب امنیتی که باید در نظر بگیریم استفاده می کنیم.

☐ هنگامی که تصمیم گیری چه اقداماتی برای پیاده سازی, ما حساب از دولت از هنر و هزینه های پیاده سازی.

☐ ما یک سیاست امنیت اطلاعات (یا معادل) داریم و برای اطمینان از اجرای خط مشی گام برمی داریم.

در صورت لزوم ما سیاستهای اضافی داریم و اطمینان حاصل میکنیم که کنترلها برای اعمال این سیاستها وجود دارد.

ما اطمینان حاصل می کنیم که به طور منظم سیاست ها و اقدامات امنیت اطلاعات خود را مرور کرده و در صورت لزوم بهبود می یابیم.

ما ارزیابی کرده ایم که باید با در نظر گرفتن نتایج امنیتی که می خواهیم به دست بیاوریم چه کار کنیم.

☐ ما کنترل های فنی اساسی مانند موارد مشخص شده توسط چارچوب های تعیین شده مانند ملزومات سایبری را اعمال کرده ایم.

☐ ما درک می کنیم که ما نیز ممکن است نیاز به قرار دادن دیگر اقدامات فنی در محل بسته به شرایط ما و نوع اطلاعات شخصی ما پردازش.

☐ ما در جایی که انجام این کار مناسب است از رمزگذاری و/یا نام مستعار استفاده می کنیم.

☐ ما درک می کنیم الزامات محرمانه بودن, یکپارچگی و در دسترس بودن برای اطلاعات شخصی ما پردازش.

☐ ما اطمینان حاصل می کنیم که می توانیم دسترسی به داده های شخصی را در صورت بروز هرگونه حادثه مانند ایجاد یک فرایند پشتیبان گیری مناسب بازیابی کنیم.

☐ ما تست ها و بررسی های منظم اقدامات خود را انجام می دهیم تا اطمینان حاصل شود که موثر هستند و بر اساس نتایج این تست ها عمل می کنند که زمینه های بهبود را برجسته می کنند.

Where در صورت لزوم ما اقداماتی را اجرا می کنیم که به یک کد رفتاری یا سازوکار صدور گواهینامه تایید شده پایبند باشد.

- ما اطمینان می دهیم که هر پردازنده داده ای که استفاده می کنیم اقدامات فنی و سازمانی مناسبی را نیز پیاده سازی می کند.

به طور خلاصه

تولید ناخالص داخلی بریتانیا چه می گویند در مورد امنیت?

ماده 5 (1) (ج) تولید ناخالص داخلی انگلستان مربوط به یکپارچگی و محرمانه بودن اطلاعات شخصی است. این گزارش می گوید که اطلاعات شخصی باید:

پردازش به شیوه ای است که تضمین امنیت مناسب از اطلاعات شخصی, از جمله حفاظت در برابر پردازش های غیر مجاز و یا غیر قانونی و در برابر از دست دادن تصادفی, تخریب و یا خسارت, با استفاده از اقدامات فنی یا سازمانی مناسب'

شما می توانید به این عنوان اصل امنیت تولید ناخالص داخلی بریتانیا مراجعه کنید. این مربوط به مفهوم گسترده امنیت اطلاعات است .

این به این معنی است که شما باید امنیت مناسب در محل برای جلوگیری از اطلاعات شخصی شما را نگه دارید که به طور تصادفی یا عمدا به خطر بیافتد. شما باید به یاد داشته باشید که در حالی که امنیت اطلاعات گاهی اوقات به عنوان امنیت سایبری در نظر گرفته می شود (حفاظت از شبکه ها و سیستم های اطلاعاتی شما از حمله) همچنین موارد دیگری مانند اقدامات امنیتی فیزیکی و سازمانی را پوشش می دهد.

شما باید اصل امنیت را در کنار ماده 32 تولید ناخالص داخلی انگلستان در نظر بگیرید که مشخصات بیشتری را در مورد امنیت پردازش شما فراهم می کند. ماده 32 (1) ایالت ها:

'با در نظر گرفتن وضعیت هنر, هزینه های پیاده سازی و ماهیت, دامنه, زمینه و اهداف پردازش و همچنین خطر ابتلا به احتمال و شدت های مختلف برای حقوق و ازادی اشخاص حقیقی, کنترل کننده و پردازنده باید اقدامات فنی و سازمانی مناسب را برای اطمینان از سطح امنیت متناسب با خطر اجرا کنند'

مطالعه بیشتر

مقررات مربوطه در تولید ناخالص داخلی انگلستان-به مواد 5(1)(و) و 32 و رسیتال های 39 و 83 مراجعه کنید

چرا ما باید در مورد امنیت اطلاعات نگران?

امنیت اطلاعات ضعیف سیستم ها و خدمات شما را در معرض خطر قرار می دهد و ممکن است باعث صدمه و ناراحتی واقعی به افراد شود – زندگی حتی ممکن است در برخی موارد شدید به خطر بیفتد.

برخی از نمونه های مضرات ناشی از از دست دادن یا سو استفاده از داده های شخصی عبارتند از:

• کلاهبرداری هویت;
• معاملات کارت اعتباری جعلی;
• هدف قرار دادن افراد توسط کلاهبرداران, به طور بالقوه قانع کننده تر توسط داده های شخصی به خطر بیافتد ساخته شده;
• شاهدان در معرض خطر صدمه جسمی یا ارعاب قرار می گیرند;
• مجرمان در معرض خطر از اوباش;
• قرار گرفتن در معرض نشانی های پرسنل خدماتی, پلیس و افسران زندان, و کسانی که در معرض خطر خشونت خانگی;
• درخواست های جعلی برای اعتبار مالیاتی; و
• تقلب وام مسکن.

اگر چه این عواقب همیشه اتفاق نمی افتد, شما باید تشخیص دهند که افراد هنوز هم حق دارند از انواع کمتر جدی از صدمات محافظت می شود, برای مثال خجالت و یا ناراحتی.

امنیت اطلاعات مهم است, نه تنها به این دلیل که خود یک الزام قانونی است, بلکه به این دلیل که می تواند از حاکمیت خوب داده ها پشتیبانی کند و به شما کمک کند انطباق خود را با سایر جنبه های تولید ناخالص داخلی انگلستان نشان دهید.

همچنین لازم است که اقدامات فنی و سازمانی شما در هنگام در نظر گرفتن جریمه اداری در نظر گرفته شود.

چه اقدامات امنیتی ما نیاز به محافظت?

اصل امنیت فراتر از نحوه ذخیره یا انتقال اطلاعات است. هر جنبه ای از پردازش اطلاعات شخصی شما پوشش داده می شود نه فقط امنیت سایبری. این به این معنی اقدامات امنیتی شما در محل قرار داده باید به دنبال اطمینان حاصل شود که:

• داده ها فقط توسط کسانی که مجاز به انجام این کار هستند قابل دسترسی یا تغییر یا حذف هستند (و این افراد فقط در محدوده اختیاراتی که به شما می دهند عمل می کنند);
• اطلاعات شما را نگه دارید دقیق و کامل در رابطه با چرا شما در حال پردازش است; و
• داده ها در دسترس و قابل استفاده باقی می ماند, به عنوان مثال, اگر اطلاعات شخصی است که به طور تصادفی از دست داده, تغییر و یا نابود, شما باید قادر به بازیابی و در نتیجه جلوگیری از هر گونه خسارت و یا پریشانی به افراد نگران.

این به عنوان شناخته شده 'محرمانه, صداقت و در دسترس بودن' و تحت تولید ناخالص داخلی بریتانیا, بخشی از تعهدات خود را تشکیل می دهند.

چه سطح امنیتی مورد نیاز است?

تولید ناخالص داخلی انگلیس اقدامات امنیتی را که باید انجام دهید تعریف نمی کند. این نیاز شما را به یک سطح امنیتی است که 'مناسب' به خطرات ارایه شده توسط پردازش خود را. شما نیاز به در نظر گرفتن این در رابطه با دولت از هنر و هزینه های اجرای, و همچنین ماهیت, دامنه, زمینه و هدف از پردازش خود را.

این نشان دهنده رویکرد مبتنی بر ریسک تولید ناخالص داخلی بریتانیا است و هیچ راه حلی برای امنیت اطلاعات وجود ندارد. این بدان معنی است که چه چیزی برای شما مناسب است بستگی به شرایط شما و پردازش شما و خطراتی که برای سازمان شما ایجاد می کند.

بنابراین, قبل از تصمیم گیری چه اقدامات مناسب هستند, شما نیاز به ارزیابی خطر اطلاعات شما. شما باید دادههای شخصی خود و نحوه استفاده خود را مرور کنید تا ارزیابی کنید که چقدر ارزشمند است, حساس یا محرمانه است – و همچنین خسارت یا ناراحتی که ممکن است در صورت به خطر افتادن دادهها ایجاد شود. شما همچنین باید عواملی مانند:

• ماهیت و وسعت محل و سیستم های کامپیوتری سازمان شما;
• تعداد کارکنان شما و میزان دسترسی خود را به اطلاعات شخصی; و
• هر گونه اطلاعات شخصی برگزار شد و یا استفاده شده توسط یک پردازنده داده اقدام از طرف شما.

مطالعه بیشتر

مقررات مربوطه در تولید ناخالص داخلی انگلستان-به ماده 32(2) و رسیتال 83 مراجعه کنید

ما نمی توانیم یک راهنمای کامل برای تمام جنبه های امنیتی در هر شرایطی برای همه سازمان ها فراهم کنیم اما این راهنما در نظر گرفته شده است تا نکات اصلی را برای شما در نظر بگیرد.

چه اقدامات سازمانی ما نیاز به در نظر گرفتن?

انجام ارزیابی ریسک اطلاعات یک نمونه از اقدامات سازمانی است اما شما باید اقدامات دیگری را نیز انجام دهید. شما باید یک فرهنگ هوشیاری امنیتی در سازمان خود ایجاد کنید. شما باید فردی را با مسوولیت روزانه امنیت اطلاعات در سازمان خود شناسایی کنید و اطمینان حاصل کنید که این فرد دارای منابع و اختیارات مناسب برای انجام کار خود به طور موثر است.

مثال

رییس اجراییه یک سازمان متوسط از مدیر منابع میخواهد تا اطمینان حاصل کند که تدابیر امنیتی مناسبی اتخاذ شده و گزارشهای منظمی به هیات مدیره داده میشود.

دپارتمان منابع مسوولیت طراحی و اجرای سیاست امنیتی سازمان را بر عهده میگیرد و رویه هایی را برای کارکنان مینویسد تا تربیت کارکنان را سازماندهی کنند و بررسی کنند که تدابیر امنیتی در واقع رعایت میشود یا خیر و بررسی حوادث امنیتی.

پاسخگویی واضح برای امنیت تضمین می کند که از این موارد غافل نشوید و وضعیت کلی امنیتی شما ناقص یا قدیمی نشود.

اگر چه سیاست امنیت اطلاعات نمونه ای از یک اقدام سازمانی مناسب است, شما ممکن است یک سند سیاست رسمی یا مجموعه ای از سیاست های مرتبط در مناطق خاص لازم نیست. این به اندازه و مقدار و ماهیت داده های شخصی شما و نحوه استفاده از این داده ها بستگی دارد. با این حال, داشتن یک سیاست می کند شما را قادر به نشان دادن چگونه شما در حال بدست گرفتن گام برای پیروی از اصل امنیتی.

یا نه شما چنین سیاست, شما هنوز هم نیاز به در نظر گرفتن امنیت و سایر موارد مرتبط مانند:

• هماهنگی بین افراد کلیدی در سازمان شما (به عنوان مثال مدیر امنیت باید در مورد راه اندازی و دفع تجهیزات فناوری اطلاعات بداند);
• دسترسی به محل و یا تجهیزات داده شده به هر کسی خارج از سازمان شما (به عنوان مثال برای تعمیر و نگهداری کامپیوتر) و ملاحظات امنیتی اضافی این تولید خواهد شد;
• ترتیبات تداوم کسب و کار است که شناسایی چگونه شما را محافظت و بازیابی هر گونه اطلاعات شخصی شما را نگه دارید; و
• بررسی های دوره ای برای اطمینان از مناسب و به روز بودن اقدامات امنیتی شما.

چه اقدامات فنی ما نیاز به در نظر گرفتن?

اقدامات فنی گاهی اوقات به عنوان حفاظت از اطلاعات شخصی در رایانه ها و شبکه ها در نظر گرفته می شود. در حالی که این از اهمیت واضح, بسیاری از حوادث امنیتی می تواند به دلیل سرقت و یا از دست دادن تجهیزات, رها از کامپیوتر های قدیمی و یا سخت کپی سوابق از دست داده, به سرقت رفته و یا به اشتباه از دفع. بنابراین اقدامات فنی شامل امنیت فیزیکی و رایانه ای یا فناوری اطلاعات است.

هنگام در نظر گرفتن امنیت فیزیکی باید به عواملی مانند:

• کیفیت درب و قفل, و حفاظت از محل خود را با چنین وسیله ای به عنوان هشدار دهنده, روشنایی امنیتی و یا دوربین مدار بسته;
• نحوه کنترل دسترسی به محل خود و نحوه نظارت بر بازدیدکنندگان;
• چگونه شما را از هر کاغذ و زباله های الکترونیکی دور; و
• چگونه تجهیزات فناوری اطلاعات به ویژه دستگاه های تلفن همراه را ایمن نگه می دارید.

در زمینه فناوری اطلاعات ممکن است گاهی از اقدامات فنی به عنوان 'امنیت سایبری'یاد شود. این یک حوزه فنی پیچیده است که به طور مداوم در حال تکامل است و تهدیدها و نقاط ضعف جدید همیشه در حال ظهور است. بنابراین ممکن است منطقی باشد که فرض کنیم سیستم های شما در معرض خطر هستند و برای محافظت از سیستم های شما گام برمی دارند.

هنگام در نظر گرفتن امنیت سایبری باید به عواملی مانند:

• امنیت سیستم-امنیت شبکه و سیستم های اطلاعاتی شما از جمله مواردی که داده های شخصی را پردازش می کنند;
• امنیت داده ها-امنیت داده های شما را در سیستم های خود را نگه دارید, به عنوان مثال حصول اطمینان از کنترل دسترسی مناسب در محل هستند و داده ها امن برگزار می شود;
• امنیت اینترنتی-به عنوان مثال امنیت وب سایت شما و هر سرویس یا برنامه دیگری که استفاده می کنید
• امنیت دستگاه-از جمله سیاست های مربوط به دستگاه خود را بیاورید (بایود) اگر پیشنهاد دهید.

بسته به پیچیدگی سیستم های شما, نیازهای استفاده شما و تخصص فنی کارکنان شما, شما ممکن است نیاز به دریافت مشاوره تخصصی امنیت اطلاعات داشته باشید که فراتر از محدوده این راهنمایی است. با این حال ممکن است برای ایمن سازی سیستم ها و داده های شخصی که پردازش می کنند به زمان و منابع زیادی نیاز نداشته باشید.

هر کاری که انجام می دهید باید موارد زیر را به خاطر بسپارید:

• اقدامات امنیت سایبری شما باید متناسب با اندازه و استفاده از شبکه و سیستم های اطلاعاتی شما باشد;
• شما باید وضعیت توسعه فناوری را در نظر بگیرید اما می توانید هزینه های اجرا را نیز در نظر بگیرید;
• امنیت شما باید متناسب با شیوه های کسب و کار شما باشد. مثلا, اگر شما را به کارکنان توانایی کار از خانه, شما نیاز به قرار دادن اقدامات در محل به اطمینان حاصل شود که این امنیت خود را به خطر نمی اندازد; و
• اقدامات شما باید متناسب با ماهیت داده های شخصی شما و صدمه ای باشد که ممکن است ناشی از هرگونه سازش باشد.

یک نقطه شروع خوب این است که اطمینان حاصل کنید که شما با الزامات ملزومات سایبری مطابقت دارید – یک طرح دولتی که شامل مجموعه ای از کنترل های فنی اساسی است که می توانید به راحتی در محل قرار دهید.

با این حال باید توجه داشته باشید که بسته به فعالیتهای پردازش شما ممکن است مجبور شوید فراتر از این نیازها بروید. ملزومات سایبری فقط برای ایجاد مجموعه ای از کنترل ها در نظر گرفته شده است و به شرایط هر سازمان یا خطرات ناشی از هر عملیات پردازشی نمی پردازد.

در زیر لیستی از منابع مفید اطلاعات در مورد امنیت سایبری فراهم شده است.

مطالعه بیشتر – نتایج امنیتی ایکو/شورای امنیت ملی

ما از نزدیک با شورای امنیت ملی همکاری کرده ایم تا مجموعه ای از نتایج امنیتی را توسعه دهیم که می توانید برای تعیین اقدامات مناسب برای شرایط خود استفاده کنید.

چارچوب پاسخگویی به انتظارات سازمان ایکو در رابطه با امنیت نگاه می کند.

مطالعه بیشتر – راهنمای ایکو

طبق قانون 1998 ایکو تعدادی از قطعات راهنمایی دقیق تر را در مورد جنبه های مختلف امنیت فناوری اطلاعات منتشر کرد. در صورت لزوم, ما خواهد شد به روز رسانی هر یک از این به منعکس کننده الزامات تولید ناخالص داخلی بریتانیا در موعد مقرر. تا زمانی که ممکن است به شما کمک کنند یا چیزهایی را در نظر بگیرند.

(پی دی اف) – راهنمایی برای کمک به سازمان ها به طور ایمن از رایانه های قدیمی و سایر تجهیزات فناوری اطلاعات دور; (پی دی اف); (پی دی اف) – راهنمایی فنی دقیق در مورد خطاهای فنی رایج که ایکو در پرونده خود دیده است; (پی دی اف) – راهنمایی برای سازمان هایی که می خواهند به کارکنان اجازه استفاده از دستگاه های شخصی برای پردازش داده های شخصی; (پی دی اف) – راهنمایی در مورد چگونگی اعمال الزامات امنیتی برای داده های شخصی پردازش شده در ابر; و-مشاوره در مورد رمزگذاری برای محافظت از اطلاعات شخصی.

سایر منابع

اگر ما در یک بخش است که نیازهای امنیتی خود را به کار گیرند? r

برخی از صنایع الزامات امنیتی خاصی دارند یا شما را ملزم به رعایت چارچوب ها یا استانداردهای خاصی می کنند. این ممکن است در مجموع مجموعه, برای مثال توسط نهادهای صنعت و یا انجمن های تجاری, و یا می تواند توسط تنظیم کننده های دیگر تنظیم. اگر شما در این بخش کار, شما نیاز به توجه داشته باشید از الزامات خود را, به خصوص اگر اقدامات فنی خاص مشخص شده است.

اگرچه پیروی از این الزامات لزوما با رعایت اصل امنیتی تولید ناخالص داخلی بریتانیا برابر نخواهد بود اما سازمان ایکو این موارد را با دقت در هرگونه ملاحظات مربوط به اقدامات نظارتی در نظر خواهد گرفت. ممکن است اقدامات خاصی را که باید انجام دهید مشخص کنند و این اقدامات به وضعیت کلی امنیت شما کمک می کند.

مثال

اگر شما در حال پردازش داده های کارت پرداخت, شما موظف به پیروی از صنعت کارت پرداخت استاندارد امنیت داده ها . این شرکت تعدادی از اقدامات فنی و سازمانی خاص را تشریح می کند که صنعت کارت پرداخت هر زمان که چنین داده هایی پردازش می شود قابل اجرا می داند.

اگرچه انطباق با اصل امنیت تولید ناخالص داخلی انگلستان لزوما معادل رعایت اصل امنیت تولید ناخالص داخلی انگلستان نیست اما اگر اطلاعات کارت را پردازش کنید و دچار نقض اطلاعات شخصی شوید سازمان ایکو میزان تدابیری را که لازم است به خصوص اگر نقض مربوط به عدم کنترل یا فرایند خاصی باشد که توسط استاندارد اعمال شده است در نظر خواهد گرفت.

چه کار کنیم هنگامی که یک پردازنده درگیر است?

اگر یک یا چند سازمان پردازش اطلاعات شخصی از طرف شما, سپس این پردازنده داده تحت تولید ناخالص داخلی بریتانیا. این می تواند پتانسیل ایجاد مشکلات امنیتی را داشته باشد – شما به عنوان یک کنترل کننده داده وظیفه اطمینان از انطباق با تولید ناخالص داخلی انگلستان را بر عهده دارید و این شامل کاری است که پردازنده با داده ها انجام می دهد. با این حال, علاوه بر این, الزامات امنیتی تولید ناخالص داخلی بریتانیا نیز به هر پردازنده استفاده می کنید اعمال می شود.

این بدان معنی است که:

• شما باید یک پردازنده داده را انتخاب کنید که تضمین های کافی در مورد اقدامات امنیتی خود را فراهم می کند;
• قرارداد کتبی شما باید تصریح کند که پردازنده تمام اقدامات لازم را طبق ماده 32 انجام می دهد-اساسا قرارداد باید پردازنده را ملزم به انجام همان اقدامات امنیتی کند که اگر خودتان پردازش را انجام می دادید باید انجام دهید
• شما باید اطمینان حاصل شود که قرارداد خود را شامل یک نیاز است که پردازنده در دسترس می سازد تمام اطلاعات لازم برای نشان دادن انطباق. این ممکن است شامل اجازه می دهد برای شما به ممیزی و بازرسی پردازنده, هم خود و یا یک شخص ثالث مجاز.

همزمان, پردازنده خود را می تواند به شما در حصول اطمینان از انطباق با تعهدات امنیتی خود را کمک. مثلا, اگر شما فاقد منابع و یا تخصص فنی برای پیاده سازی اقدامات خاص, درگیر شدن یک پردازنده است که این منابع می تواند به شما در اطمینان از اطلاعات شخصی پردازش ایمن کمک, به شرطی که ترتیبات قراردادی خود را مناسب هستند.