- Se ISO 27002:2022 Kontrol 5.13 for mere information.
- Se ISO 27001:2013 Bilag A 8.2.2 for mere information.
Mærkningens rolle i ISO 27001:2022 – Bilag A 5.13 Forklaret
Organisationer ansøger klassificeringsetiketter til relevante oplysninger aktiver til at implementere deres informationsklassificeringsordning.
I overensstemmelse med organisationens vedtagne informationsklassificeringsskema, definerer ISO 27001:2022 Annex A 5.13 et sæt procedurer for informationsmærkning.
Ud over at identificere fysiske og elektroniske aktiver skal der udvikles procedurer til identifikation af oplysninger, der afspejler klassifikationsskemaet beskrevet i 5.12.
Gør etiketter nemme at genkende og administrere; ellers vil de ikke blive fulgt. I stedet for at få personalet til at mærke hver CRM-opdatering med en kommerciel fortrolighedserklæring, kan det være lettere at beslutte de facto, at alt i de digitale systemer er fortroligt, medmindre andet udtrykkeligt er angivet!
Ved at bruge klassifikationsskemaet, der er vedtaget i bilag A, kontrol 5.12, beskriver bilag A, kontrol 5.13, hvordan organisationer skal udvikle, implementere og administrere en robust informationsmærkningsprocedure.
Hvad er formålet med ISO 27001:2022 Annex A 5.13?
Formålet med bilag A 5.13 er dobbelt; at beskytte informationsaktiver mod sikkerhedsrisici:
- Informationsaktiver kan klassificeres på en ligetil måde, når de kommunikeres internt og eksternt. Det er her, medarbejdere og tredjeparter kan få adgang til og bruge oplysningerne.
- Informationsbehandling og -styring kan strømlines gennem automatisering.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvem har ejerskab til bilag A 5.13?
Informationsaktiver kan mærkes ved at tilføje metadata, så metadataadministratorer skal være ansvarlige for korrekt implementering af mærkningsprocessen.
Alle dataaktiver skal være passende mærket, og aktivejere skal foretage eventuelle ændringer af mærkning med adgangs- og ændringstilladelser.
Generelle retningslinjer for, hvordan man overholder ISO 27001:2022 Bilag A 5.13
Ved hjælp af bilag A Kontrol 5.13 kan organisationer mærke information i overensstemmelse med fire specifikke trin.
Etabler en procedure for mærkning af oplysninger
Informationsklassificeringsskemaet, der er oprettet i henhold til bilag A Kontrol 5.12, bør overholdes af organisationers informationsmærkningsprocedurer.
5.13 kræver også, at denne procedure gælder for alle informationsaktiver, uanset om de er digitale eller papirer, og at etiketterne skal være let genkendelige.
Der er ingen grænser for, hvad dette Proceduredokument kan indeholde, men Bilag A Kontrol 5.13 kræver, at procedurerne omfatter følgende:
- En forklaring af metoderne til at vedhæfte etiketter til informationsaktiver baseret på typen af lagringsmedie, og hvordan der tilgås data.
- For hver type informationsaktiv, hvor etiketterne skal vedhæftes.
- For eksempel kan en organisation undlade at offentliggøre offentlige data som en del af sin informationsmærkningsproces.
- Tekniske, juridiske eller kontraktmæssige begrænsninger forhindrer mærkning af visse typer information.
- Regler styrer, hvordan oplysninger skal mærkes, når de transmitteres internt eller eksternt.
- Instruktioner bør ledsage digitale aktiver om, hvordan man indsætter metadata.
- Alle aktiver skal mærkes med de samme navne.
Sørg for passende træning i mærkningsprocedurer til medarbejderne
Personale og andre relevante interessenter skal forstå, hvordan man mærker oplysninger korrekt og administrere mærkede informationsaktiver før proceduren for mærkningsoplysninger kan træde i kraft.
Som følge heraf bør organisationer uddanne personale og andre relevante parter om proceduren.
Digitale informationsaktiver skal mærkes med metadata
Digitale informationsaktiver skal mærkes ved hjælp af metadata i henhold til 5.13.
Udrulning af metadata bør også lette identifikation og søgning efter information og strømline beslutningstagning mellem systemer relateret til mærket information.
Der bør tages ekstra forholdsregler for at mærke følsomme data, der kan forlade systemet
Bilag A 5.13-anbefalingen fokuserer på at identificere den mest passende etiket til udadgående overførsler af kritiske og følsomme oplysninger aktiver under hensyntagen til de involverede risici.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Bilag A 5.13 Supplerende vejledning
For at datadelingsoperationer skal være sikre, er det vigtigt at identificere og mærke klassificerede oplysninger nøjagtigt.
Bilag A 5.13 anbefaler også, at organisationer indsætter yderligere metadatapunkter. Det vil sige navnet på den proces, der skabte informationsaktivet, og det tidspunkt, hvor det blev oprettet.
Derudover beskriver bilag A 5.13 de standardmærkningsteknikker, som organisationer kan bruge:
- Fysiske mærker
- Headers og footers
- Metadata
- vandmærkning
- Gummi-stempler
Endelig understreger bilag A 5.13, at mærkning af informationsaktiver som "fortrolige" og "klassificerede" kan have utilsigtede konsekvenser. Dette kan gøre det lettere for ondsindede aktører at opdage og finde følsomme informationsaktiver.
Hvad er ændringerne og forskellene fra ISO 27001:2013?
ISO 27001: 2022 Bilag A 5.13 erstatter ISO 27001:2013 Bilag A 8.2.2 (Mærkning af oplysninger).
Begge Annex A-kontroller ligner til en vis grad, men to vigtige forskelle gør ISO 27001:2022-versionen mere omfattende.
Brugen af metadata har været påkrævet for at opfylde nye krav
Mens 2013-versionen omtalte metadata som en mærkningsteknik, pålagde den ingen specifikke forpligtelser for overholdelse ved brug af metadata.
I modsætning hertil inkorporerer 2022-versionen forskelle og ændringer fra ISO 27001:2013.
Brugen af metadata er nu et krav
I 2013 blev metadata omtalt som en mærkningsteknik, men der blev ikke pålagt specifikke overholdelsesforpligtelser.
I modsætning hertil indeholder 2022-versionen strenge krav til metadatateknikker. For eksempel kræver 2022-versionen følgende:
- Tilføjelse af metadata til information letter identifikation, styring og opdagelse.
- Det er nødvendigt at indsætte metadata for navnet og datoen for den proces, der skabte aktivet.
Det er nødvendigt at angive flere detaljer i informationsmærkningsproceduren
Informationsmærkningsprocedurer i 2013-versionen var ikke forpligtet til at inkludere minimumsindholdet som i 2022-versionen.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvordan ISMS.online hjælper
Implementering af ISO 27001 er nemmere med vores trinvise tjekliste, som guider dig fra at definere omfanget af dit ISMS gennem risikoidentifikation og Annex A kontrolimplementering.
Ved brug af vores platform er intuitiv og nem. Det er ikke kun for meget tekniske medarbejdere, men alle i din virksomhed. Vi opfordrer dig til at involvere hele din arbejdsstyrke i opbygningen af din ismer, da det hjælper dig med at opbygge et virkelig bæredygtigt system.
Kontakt i dag for book en demo.
