Infoturbe nõuded (EN ISO 19650-5)
Infoturbe nõuded (EN ISO 19650-5)
Establishing high-level information need and management requirements
Define information management requirements
Selle etapi eesmärk on luua infohaldusprotsessid, mis on vajalikud teabe kvaliteedi tagamiseks ja selle haldamiseks kogu selle elukaare jooksul.
Üldine teabe elukaar hõlmab:
- Hõive – teabe, sealhulgas selle metaandmete loomise ja esmase salvestamisega seotud tegevus.
- Hooldus – tegevused, mis edastavad teabe sobival kujul ja viisil kasutusvalmis. Need tegevused hõlmava: valideerimine ja kontrollimine; puhastamine; ümbervormindamine; rikastamine; tõstmine; integreerimine; ja värskendamine.
- Süntees – lisateabe loomine infoallikate kombineerimise teel.
- Kasutamine – teabe rakendamine tegevustele, funktsioonidele või ülesannetele.
- Arhiveerimine – teabe paigutamine arhiivi, kus seda hoitakse, kuid kus ei toimu hooldust, kasutamist ega avaldamist.
- Avaldamine – teabe avaldamine müügiks või üldsusele levitamiseks trükitud või digitaalsel kujul.
- Puhastamine – teabe iga teadaoleva koopia eemaldamine organisatsioonist ja selle töövõtjatelt/tarneahelast, partneritelt jne. Puhastamine ei tähenda tingimata teabe kõigi koopiate hävitamist, näiteks võib see alles jääda avalikku registrisse (kus selle hoidmine on nõutud), kuid teistest asukohtadest vastav tundlik info eemaldatakse.
Millist teabehaldust on vaja minimaalselt määratletud teabekvaliteedi ja infoturbe nõuete täitmiseks?
On oluline, et väljatöötatud teabehaldusmeetmeid saaks rakendada kogu teabe elukaare jooksul. Tundliku teabe olemasolu süsteemis või rakenduses mõjutab selle elukaare haldamist. Seetõttu tuleks süsteemi või rakendust rakendada viisil, mis toetab neljandas etapis otsustatud turvariskide maandamise meetmeid.
Kui teavet on ettenähtud otstarbel kasutatud, siis kui kaua seda säilitatakse ja mis eesmärgil?
Säilitusperiood ja teabe vorm mõjutavad teabe haldamist, sealhulgas nõutavat turvalisust. Teabehalduse hea tava on säilitada säilitatud teabe ülevaatamiseks dokumenteeritud protsess, et seda turvaliselt kõrvaldada või kustutada, kui seda enam ei vajata. Nende ülevaatuste sagedus tuleks kindlaks määrata andmete säilitamist ja auditeerimist käsitlevate juriidiliste ja lepinguliste nõuetega. Näiteks isikustatavatele andmetele tuleb tagada nende elukaareülene kaitse lähtuvalt andmekaitseseadusest. Samas kui anonüümseks muudetud statistilised andmed seda kaitsetaset ei nõua. Teatud teave ehitatud varade kohta võib olla vajalik vara elukaare jooksul, mis võib olla 60–100 aastat, samas kui muud teavet võidakse nõuda ainult garantiiperioodi jooksul.
Seetõttu tuleb otsused teabe säilitamisperioodi ja võimaliku kasutuse kohta vastu võtta planeerimisperioodil, et seda saaks säilitada vormingus, mis säilitab selle pikaajalise kasulikkuse ning asjakohase ja proportsionaalsuse turvalisuse aspektidega.
Kuidas ja kes juhib teabe elukaart?
Teabe omandiõigus tuleks selgelt kindlaks määrata enne mis tahes lepingu sõlmimist või andmete jagamise lepingu kinnitamist. Teabeomanik peaks igas lepingus või andmete jagamise lepingus täpsustama elukaare haldamise vastutuse ja vastutuse korralduse. Teavet käitlevate osaliste vastutus peaks olema selgepiiriline, sealhulgas vajaduse korral tarneahelate kaudu allapoole suunatuna.
Kus andmeid ja/või teavet säilitatakse ja töödeldakse?
Teenuste või lahenduste pakkujad kasutavad sageli pilvepõhiseid töötlemis- ja salvestusplatvorme, mis võib tähendada, et see teenusepakkuja töötleb või salvestab teavet nende valitud kohas, mida võidakse lepingu alusel muuta ilma ette teatamata. Paljudel juhtudel ei paku tarnija või teenusepakkuja pilveplatvormi tarnivat riist- või tarkvara, vaid hangib need pilveteenuse pakkujalt, kes võib omakorda olla teenuse osutamise edasine alltöövõtja. Nõuetekohase hoolsusega tuleks mõista, kuidas ja kus teavet töödeldakse ja säilitatakse.