La norme ISO/IEC 27038 décrit les caractéristiques des approches de rédaction numérique. La norme ISO 27038, publiée en 2014, définit également des critères pour les outils de rédaction de logiciels et pour compléter procédures de test en toute sécurité.
Parfois, vous devrez peut-être divulguer des informations à des tiers, voire au public, à des fins telles que la divulgation de documents officiels en vertu de la loi sur le libre accès ou comme preuve dans des affaires juridiques ou des procédures judiciaires. Cependant, la norme ISO 27038 ne prévoit pas de révision de la base de données. Les bases de données comptent comme des « unités d'informations enregistrées », mais elles sont expressément exclues du champ d'application de la norme.
La rédaction est la méthode permettant de supprimer des éléments d'un document avant sa publication. Dans le contexte juridique, le recours à la caviardage consiste à supprimer des informations sensibles, exclusives ou protégées des dossiers avant de les déposer auprès du tribunal, ou autrement, à les rendre disponibles pour consultation à l'extérieur du bureau. Une organisation peut également utiliser la rédaction pour supprimer des métadonnées ou du matériel (par exemple des images) importés dans un document.
La norme ISO 27038 décrit la rédaction comme la suppression permanente d'informations contenues dans un document où le document est officiellement défini comme une information enregistrée et considéré comme une unité. Les définitions sont essentielles puisque ces mots signifient également autre chose dans d’autres contextes et dans un usage général. Plus loin dans la norme, la rédaction est étendue pour inclure non seulement la suppression des informations sensibles, mais également l'indication de l'emplacement des éléments supprimés, si nécessaire.
Lorsqu’elle considère inacceptable de révéler des détails sensibles dans un document, l’organisation doit supprimer les informations en toute sécurité avant leur publication. Des exemples incluent les noms ou l'emplacement des personnes qui doivent rester anonymes et divers autres dossiers personnels ou exclusifs qui doivent rester strictement confidentiels.
Envisager la rédaction est généralement vital pour protéger les informations hautement sensibles. Des erreurs dans le processus conduisant à une divulgation non autorisée de données sont sérieux. Les défauts de rédaction ont conduit à des événements tels que le vol d'identité, la révélation de problèmes de sécurité sensibles, des violations de la vie privée et, dans certains cas extrêmes, la révélation de l'identité d'agents infiltrés et d'informateurs. En revanche, la divulgation de secrets commerciaux peut s’avérer très coûteuse dans un contexte commercial. Pour ceux qui sont considérés comme responsables, au moins, les erreurs de rédaction peuvent être humiliantes.
Cela nous aide à adopter un comportement positif qui fonctionne pour nous.
& notre culture.
Nous avons commencé à utiliser des feuilles de calcul et c'était un cauchemar. Avec la solution ISMS.online, tout le travail acharné a été facilité.
Il existe plusieurs données risques de sécurité liés à la rédaction numérique. L’une de ces menaces est l’incapacité à rendre irréversibles les informations expurgées. Cela peut être dû à divers facteurs, tels que la négligence de réécrire les données sensibles ou la suppression partielle des informations sensibles. En laissant les restes de données, cela peut permettre de récupérer des informations expurgées. L’utilisation de méthodes technologiques de rédaction incorrectes ou inadéquates, telles que la modification peu subtile des documents, présente également des risques en matière de données. Plutôt que de supprimer définitivement les données sensibles, en utilisant des techniques qui peuvent être ou autrement inversées, cela va à l'encontre de l'objectif de suppression des informations sensibles car elles peuvent toujours être découvertes.
Une autre vulnérabilité liée à la rédaction est le recours excessif à la retouche, à la pixellisation ou à l'utilisation d'autres techniques d'obscurcissement similaires pour masquer des sections d'images. Ces techniques sont souvent utilisées pour protéger la vie privée. En utilisant la déconvolution et différentes approches de transformation moins sophistiquées, une quantité suffisante d’informations originales peut être restaurée pour permettre la reconnaissance. Mais à l’autre extrême, un montage excessif ou inapproprié peut également accroître la risque de sécurité pour une organisation. Supprimer plus que des éléments particulièrement sensibles qui étaient censés avoir été écrits ou maladroitement réalisés pourrait involontairement modifier la signification des données résiduelles en raison de problèmes contextuels.
Une réécriture incorrecte des informations peut entraîner des fuites ou une erreur involontaire. violation des données. Des exemples de ce comportement incluent :
Un recours excessif à la rédaction peut également poser problème. risque de sécurité de l'information. Estimant qu'il suffit de garder les données sensibles totalement confidentielles dans tous les cas, alors que les erreurs technologiques et de processus sont inévitables et que des accidents se produisent souvent. A l’inverse, mettre zéro dépendance à l’écriture, en pensant qu’elle est incapable de défendre des informations sensibles, peut aussi augmenter votre risque.
La rédaction peut également contribuer à des problèmes de sécurité de l’information qui sont involontaires ou périphériques au processus lui-même. Des exemples de ceci sont :
Ces instances peuvent nuire à la crédibilité d’une organisation ou aux dossiers initiaux non écrits.
Une séance pratique sur mesure en fonction de vos besoins et de vos objectifs
Bien que la norme ISO 27038 ait un champ d'application limité, les risques auxquels il répond sont importants et bon nombre des contrôles sont sophistiqués sur les plans technique et procédural. Comme les autres ISO27k normes, l’ISO 27038 ne cherche pas à couvrir en profondeur tous les aléas du processus éditorial mais propose des orientations génériques et de haut niveau.
La technologie de rédaction numérique existe depuis de nombreuses années maintenant pour réviser électroniquement le texte confidentiel de tout document au format PDF. Une variété de les logiciels ont cette fonctionnalité. Malgré cela, et alors que les organisations créent et transmettent une quantité croissante de documents produits sous forme numérique, certaines utilisent encore des méthodes de rédaction manuelle sur papier.
Dans de nombreux cas, cela implique l'impression d'un document, la suppression manuelle des informations confidentielles avec de l'encre ou du ruban adhésif, la photocopie du dossier, puis le téléchargement du document dans le système. Avec ces outils disponibles, pourquoi certaines entreprises utilisent-elles encore la rédaction manuelle ?
Certain les entreprises ne sont pas au courant que les technologies de rédaction existent parce qu'elles ont été trop occupées pour se tenir au courant des développements techniques. Certaines entreprises pensent qu'elles n'ont pas le temps d'explorer leurs options de candidature et continuent donc à faire ce qu'elles ont l'habitude de faire. D’autres entreprises supposent que le logiciel est inexact et que les connaissances écrites et les métadonnées pourraient être découvertes d’une manière ou d’une autre, ce qui augmenterait leur appétit pour le risque. Alors que d'autres connaissent ce logiciel, mais ils ne pensent pas pouvoir se le permettre.
Les expurgations qui en résultent sont plus précises car elles ne font pas appel à des êtres humains pour localiser des informations sensibles et privilégiées. Les rédactions numériques sont généralement plus rapides que la modification manuelle d'un texte.
Il est plus facile d'étiqueter et d'effacer du texte avec de simples coups de souris que de mettre du ruban adhésif ou de l'encre noire sur des données classifiées. Ils peuvent modifier des centaines de pages d’écriture en une fraction du temps nécessaire pour réécrire manuellement la même quantité.
De plus, la rédaction numérique constitue une méthode permettant de réaliser d’importantes économies. Cela permet à une entreprise d'économiser de l'argent en ressources et en temps de personnel. Au lieu de perdre des heures à effectuer un travail très administratif, la rédaction numérique peut libérer les travailleurs pour qu'ils puissent effectuer un travail plus substantiel.
À plusieurs égards, ce processus numérique est supérieur à toute procédure papier. Le montage numérique est bien plus efficace. Étant donné que toutes les applications PDF dotées d'une fonction de rédaction disposent de fonctionnalités de recherche, les utilisateurs peuvent rechercher des détails sensibles, tels que des numéros de compte et des expressions particulières.
ISMS.online rend la configuration et la gestion de votre ISMS aussi simple que possible.
La norme ISO 27038 s'applique à toute organisation échangeant des informations sensibles en externe. Par exemple, lors du partage d'un politique de sécurité de l'information en dehors de l’entreprise, toute information confidentielle qu’elle contient doit être expurgée avant sa diffusion. La norme intègre deux niveaux éditoriaux :
Cette distinction rend la norme ISO 27038 cruciale pour de nombreuses organisations de tous les secteurs.
Alors que les lignes directrices de spécification ISO utilisent généralement « doit » uniquement pour désigner des conditions obligatoires, la norme ISO 27038 utilise souvent « devrait » par endroits et offre des éclaircissements au-delà des spécifications formelles. En pratique, cela facilite la compréhension et la mise en œuvre de la norme par les utilisateurs, mais rend plus difficile la vérification et l’application de la conformité, si jamais elle est anticipée.
La norme ne dit cependant rien sur la gestion globale du processus de rédaction. Au lieu de cela, la norme ISO 27038 définit ce qui doit être écrit, pourquoi, comment et par qui, ou évaluer et gérer les risques dans une situation de rédaction donnée. La norme traite également mesures de sécurité à appliquer ou liés au processus, par exemple pour empêcher la divulgation inappropriée ou la clarification de contenus non écrits.
L'ISO 27038 est composée de 9 articles et d'une annexe.
Article 1 : Champ d'application
Article 2 : Termes et définitions
Article 3 : Symboles et termes abrégés
Article 4 : Principes généraux de rédaction numérique
Article 5 : Exigences
Article 6 : Processus de rédaction
Article 7 : Tenue des registres des travaux de rédaction
Article 8 : Caractéristiques des outils de rédaction logiciels
Article 9 : Exigences relatives aux tests de rédaction
Annexe A : Rédaction de documents PDF
Réservez une séance pratique sur mesure en fonction de vos besoins et de vos objectifs.
100% de nos utilisateurs obtiennent la certification ISO 27001 du premier coup