- Se ISO 27002:2022 Kontrol 5.12 for mere information.
- Se ISO 27001:2013 Bilag A 8.2.1 for mere information.
Opbygning af et stærkere ISMS med informationsklassificering – ISO 27001:2022 Bilag A 5.12
Klassificeringen af oplysninger er en grundlæggende proces, der gør det muligt for organisationer at gruppere deres informationsaktiver i relevante kategorier baseret på deres nødvendige beskyttelsesniveau.
Ifølge ISO 27001: 2022 Bilag A 5.1.2 skal oplysninger klassificeres baseret på forskellige faktorer, herunder lovkrav, værdi, kritikalitet og følsomhed over for uautoriseret offentliggørelse eller ændring. Denne klassifikation bør udformes, så den afspejler organisationens unikke forretningsaktivitet uden at hæmme eller komplicere den.
F.eks. skal oplysninger, der er beregnet til offentligt forbrug, være passende mærket, hvorimod fortrolige eller kommercielt følsomme data skal tildeles en højere grad af sikkerhed. Det er afgørende at bemærke, at klassificeringen af oplysninger er blandt de vigtigste kontroller i bilag A til sikre, at organisatoriske aktiver er beskyttet.
Formål med ISO 27001:2022 bilag A 5.12
Bilag A Kontrol 5.12 er en forebyggende kontrol, der gør det muligt for organisationer at identificere risici ved at bestemme det passende beskyttelsesniveau for hvert informationsaktiv baseret på dets betydning og følsomhed.
I den supplerende vejledning advarer bilag A kontrol 5.12 eksplicit mod over- eller underklassificering af oplysninger. Organisationer skal tage hensyn til kravene til fortrolighed, tilgængelighed og integritet, når de tildeler aktiver til deres respektive kategorier. Dette er med til at sikre, at klassifikationsordningen balancerer virksomhedens behov for information og sikkerhedskravene for hver informationskategori.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af bilag A 5.12
Selvom det er væsentligt at etablere en klassifikationsordning for informationsaktiver i hele organisationen, er det i sidste ende aktivejernes ansvar at sikre, at den implementeres korrekt.
I henhold til ISO 27001:2022 bilag A 5.12 skal personer med relevante informationsaktiver holdes ansvarlige. Eksempelvis bør regnskabsafdelingen klassificere oplysninger ud fra den organisationsdækkende klassifikationsordning ved adgang til mapper med lønindberetninger og kontoudtog.
Ved klassificering af oplysninger er det afgørende for aktivejere at tage hensyn til virksomhedens behov og potentiel indvirkning, som et kompromittering af information kan have på organisationen. Derudover bør de tage højde for informationens betydning og følsomhedsniveauer.
Generel vejledning om ISO 27001:2022 Bilag A 5.12
For at implementere et robust informationsklassifikationssystem med succes, bør organisationer tage en aktuel tilgang, overveje hver forretningsenheds specifikke informationsbehov og vurdere informationens følsomhed og kritiske niveau.
I henhold til bilag A Kontrol 5.12 skal organisationer evaluere følgende syv kriterier, når de implementerer en klassifikationsordning:
Etabler en emnespecifik politik og adresserer specifikke forretningsbehov
Bilag A Kontrol 5.12 i informationssikkerhedsstyringssystem henviser til bilag A Kontrol 5.1, som vedrører adgangskontrol. Den giver mandat til, at organisationer overholder emnespecifikke politikker fastsat i bilag A Kontrol 5.1. Derudover bør klassifikationsskemaet og niveauerne tage højde for specifikke forretningsbehov, når informationsaktiver klassificeres.
Organisationer skal overveje deres forretningsbehov for deling og brug af information, samt behovet for tilgængelighed af sådanne oplysninger. Klassificering af et informationsaktiv kan dog forstyrre kritiske forretningsfunktioner ved at begrænse adgangen til og brugen af information.
Derfor bør organisationer balancere deres specifikke forretningsbehov for tilgængelighed og brug af data og kravet om at opretholde fortroligheden og integriteten af disse oplysninger.
Overvej juridiske forpligtelser
Specifikke love kan kræve, at organisationer lægger vægt på at beskytte oplysningernes fortrolighed, integritet og tilgængelighed. Derfor bør juridiske forpligtelser prioriteres frem for organisationens interne klassifikation ved kategorisering af informationsaktiver.
Vedtagelse af en risikobaseret tilgang og vurdering af den potentielle indvirkning af et sikkerhedsbrud eller et kompromis på informationsaktiver er tilrådeligt. Dette vil hjælpe med at prioritere og implementere passende sikkerhedsforanstaltninger for at mindske de identificerede risici.
Enhver form for information har et unikt betydningsniveau for en organisations funktioner og besidder varierende grader af følsomhed afhængigt af de særlige omstændigheder.
Når en organisation implementerer en informationsklassificeringsordning, bør den overveje den potentielle indvirkning, som kompromittering af oplysningernes fortrolighed, integritet eller tilgængelighed kan have på organisationen.
For eksempel vil følsomheden og den potentielle indvirkning af en database, der indeholder professionelle e-mail-adresser på kvalificerede kundeemner, være meget forskellig fra medarbejdernes sundhedsjournaler. Derfor bør organisationen nøje overveje det beskyttelsesniveau, som hver kategori af informationer kræver, og allokere ressourcer i overensstemmelse hermed.
Regelmæssig opdatering og gennemgang af klassifikationen
Bilag A Kontrol 5.12 anerkender, at informations værdi, vigtighed og følsomhedsniveau kan ændre sig over tid, efterhånden som dataene gennemgår deres livscyklus. Som følge heraf skal organisationer regelmæssigt gennemgå deres klassificering af oplysninger og foretage de nødvendige opdateringer.
ISO 27001 Bilag A Kontrol 5.12 vedrører reduktion af værdien og følsomheden af oplysningerne i væsentlig grad.
Det er vigtigt at rådføre sig med andre organisationer med dig for at dele oplysninger og løse eventuelle uligheder.
Hver organisation kan have særskilt terminologi, niveauer og standarder for deres informationsklassifikationssystemer
Forskelle i informationsklassificering mellem organisationer kan føre til potentielle risici ved udveksling af informationsaktiver.
Organisationer skal samarbejde med deres modparter for at etablere en konsensus for at sikre ensartet informationsklassificering og ensartet fortolkning af klassifikationsniveauer for at mindske sådanne risici.
Konsistens på organisationsniveau
Hver afdeling i en organisation skal have en fælles forståelse af klassifikationsniveauer og protokoller for at sikre ensartethed i klassifikationer på tværs af hele organisationen.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Vejledning om, hvordan man implementerer klassificering af informationsordningen
Mens bilag A 5.12 anerkender, at der ikke er noget universelt anvendeligt klassifikationssystem, og organisationer har fleksibiliteten til at etablere og definere deres klassifikationsniveauer, illustrerer det et informationsklassifikationssystem:
- Afsløring forårsager ingen skade.
- Offentliggørelse forårsager mindre omdømmeskader eller mindre driftspåvirkning.
- Offentliggørelse har en væsentlig kortsigtet indvirkning på driften eller forretningsmålene.
- Offentliggørelse har alvorlig indvirkning på langsigtede forretningsmål eller risikerer organisationens overlevelse.
Ændringer og forskelle fra ISO 27002:2013
Bilag A 8.2.1 i den tidligere version omhandlede klassifikation af oplysninger.
Mens de to versioner er ret ens, er der to hovedforskelle:
- For det første nævnte den tidligere version ikke behovet for konsistens i klassifikationsniveauer, når oplysninger deles mellem organisationer. ISO 27001:2022 pålægger imidlertid organisationer at samarbejde med deres modparter for at sikre ensartethed i informationsklassificering og forståelse.
- For det andet kræver den opdaterede version eksplicit, at organisationer udvikler politikker, der er skræddersyet til specifikke emner. Kun en kort henvisning til adgangskontrol blev lavet i den ældre version.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvordan ISMS.online Hjælp
Vores platformen er designet til at være brugervenlig og ligetil, der henvender sig til meget tekniske personer og alle medarbejdere i din organisation.
Vi går ind for at involvere medarbejdere på alle niveauer af virksomheden i opbygningen af dit ISMS, da det hjælper med at etablere et bæredygtigt system.
Find ud af mere ved booking af en demo.
