Previous
Next

Triage process for publication or disclosure of information

4.7 Establish governance, publication and maintenance arrangements

4.7.1 Juhtimiskorraldus
Mõistlik on eeldada ja ette näha, et infokeskkond, kuhu teave avaldatakse, muutub aja jooksul, see võib olla tingitud tehnoloogilistest arengutest, saadaoleva teabe suurenemisest, uute analüüsivahendite ja -tehnikate väljatöötamisest, või muutustest kasutajaskonnas. Teabeomaniku ja haldajate kohustused ei lõpe andmete avaldamisega, tuleks kehtestada asjakohane juhtimiskorraldus. Kui mõni teave loetakse isikuandmeteks, tuleb andmekaitseseaduse sätted lisada juhtimiskorraldusse.

Kuigi teie avaldatud teavet võidakse lugeda avalikustamise ajal turva- või privaatsusriski mitte kujutavaks, ei pruugi see keskpikas perspektiivis nii jääda. Isikuandmete osas peaks olema seisukoht:

Isikute tuvastamise viisid, mis on teostatavad ja kulutõhusad ning seetõttu tõenäoliselt kasutatavad, muutuvad aja jooksul. Kui otsustate, et teie valduses olevad andmed ei võimalda isikuid tuvastada, peaksite selle otsuse regulaarselt üle vaatama, pidades silmas uut tehnoloogiat või turvalisuse arengut või muudatusi teatud dokumentide avalikus kättesaadavuses.

Sama kehtib ka muud tüüpi tundliku teabe kohta, uued vahendid ja/või muudatused infokeskkonnas võivad võimaldada turvalisuse või äriliselt tundlikku teavet järeldada või tuvastada.

Juhtimise seisukohast on mõistlik võtta kasutusele vähemalt järgmised meetmed:

  • tuvastada ja jätkata avaldatavate andmete kvaliteedi jälgimist ja hindamist (vt punkt 3.1) ning teha see kvaliteetteave kõigile kasutajatele hõlpsasti kättesaadavaks;
  • pidama registrit kogu teie poolt jagatud või avaldatud teabe kohta;
  • kasutada käesolevas dokumendis kirjeldatud protsessi, et võrrelda kavandatud avaldamistegevusi varasemate avalikustamistega, et võtta arvesse võimalust, et väljaannete vahel võib olla seos või väljaannete variatsioone, mis põhjustavad tundliku teabe tahtmatut avalikustamist;
  • jälgida ja olla teadlik teabekeskkonnas toimuvatest muutustest ja sellest, kuidas need võivad avaldatud teavet mõjutada:
    • teadlikkuse hoidmine uute tehnoloogiate ja turvalisuse arengutest, mis võivad mõjutada teie teabeolukorda;
    • teie avaldatava, jagatava ja levitatava teabetüüpide eeskirjade, määruste ja juhiste muudatuste jälgimine;
    • praeguste ja uute avalike teabeallikate jälgimine, mis on saadaval nii internetis kui ka vajaduse korral traditsioonilisematest allikatest, nagu avalikest registritest, kohalikest kogukondadest, kinnisvaramaaklerite nimekirjadest, kutseregistritest, raamatukogust jne.
  • võimalusel peaksite jälgima ka seda, kuidas teie teavet kasutatakse.

Ehkki võib soovitada, et avaldatud andmed peaksid olema avatud, tekitab see teabeomanikele kaks väljakutset:

  • teil pole ettekujutust sellest, kes teavet alla laadib ja kasutab, ega võimalust mõõta, kas sellest on praktilist kasu;
  • teabe kasutajaga ei ole võimalik kontakteeruda teabe paranduste teavitamiseks juhul, kui pärast avaldamist avastatakse vigu või puudusi.
Ettevaatlik lähenemine on käsitleda teavet pigem avaliku teabena kui avaandmetena, võttes kasutusele lihtsa protsessi, mille käigus kasutajad registreeruvad, st esitavad enne allalaadimist oma nime, e-posti aadressi ja kasutusotstarbe. See registreerimisteave võib olla hiljem otsustava tähtsusega, kui soovite näidata teabe avaldamise väärtust või mõju, arvestades järgmist väljaannet, täpsustades selle kasutusjuhtu või uute kasutusjuhtude väljatöötamine ning riskide ja kasulikkuse kompromisside kaalumine enne uue või ajakohastatud teabe avaldamist.

Juhtimiskorralduse osana tuleks kaaluda teabe turbepoliitikat. Kuigi seda saab käsitleda igal üksikjuhul eraldi, on mõistlik lähenemine, et organisatsioon kehtestab infoturbe strateegia, mis tagab koordineeritud ja järjepideva lähenemisviisi järgmistele küsimustele:

  • teabe tundlikkuse ja turvalisuse hindamine, mida organisatsioon:
    • kaalub avaldamist, avalikustamist või jagamist; ja
    • on juba avaldanud, avalikustanud või jaganud;
  • otsused teabe asjakohase ja proportsionaalse käsitlemise kohta pärast hindamist:
    • vähendada tundlikkust või turvaprobleeme vastuvõetava tasemeni; või
    • ei teosta avaldamist;
  • teabe jagamise lepingute läbivaatamine ja heakskiitmine, kui teabele juurdepääs ja teabe kasutamine on seotud teabeomaniku seatud piirangutega;
  • infokeskkonda mõjutavate asjaolude muutumise käsitlemine.
Turbestrateegias tuleks käsitleda ka juhtkonna vastutust ja vastutust infoturbeotsuste ja avaldamisprotsesside eest. 

4.7.2 Hoolduskorraldus
See hõlmab tegevusi, mille eesmärk on edastada teave avaldamiseks ja kasutamiseks sobival kujul ja viisil nende eesmärkide jaoks, milleks seda avalikustatakse. Hooldustööd hõlmavad tõenäoliselt järgmiste meetmete kombinatsioone:

  • valideerimine ja kontrollimine;
  • puhastamine; ümbervormindamine;
  • rikastamine; liigutamine;
  • integreerimine mitmest süsteemist;
  • avaldatud teabe ajakohastamine; ja kus nõutud
  • avaldatud teabe tagasivõtmine.
Need tegevused on vajalikud tagamaks, et avaldamine ei oleks lihtsalt avaldamise ja unustamise tegevus, vigu võib olla vaja parandada ja kasutajatel võib tekkida küsimusi teabe kvaliteedi kohta.

Teabe tagasivõtmisel tuleks kaaluda, kas on vaja seda arhiveerida, st andmeid paljundada või paigutada arhiivi, kus seda hoitakse, kuid kus ei toimu hooldust, kasutamist ega avaldamist. Kui teave on tagasi võetud ja vajaduse korral arhiveeritud, tuleks teave kustutada. See hõlmab teabe kõigi teadaolevate koopiate eemaldamist, et vältida teabe tahtmatut uuesti avaldamist. 

4.7.3 Avaldamiskorraldus
Avaldamisprotsess, mis teeb teabe kättesaadavaks väljaspool organisatsiooni, peaks hõlmama asjakohaseid sõltumatuid läbivaatusi, et tagada väljastamisprotsessi osana nõutavate andmete kõik muudatused, mis on õigesti tehtud. Neid kontrolle tuleks kohaldada esmasel väljalaskmisel ja mis tahes hilisematel värskendustel.


Previous
Next