ISO 27001:2022 Bilag A 5.12 – Klassificering af oplysninger

Formål med ISO 27001:2022 bilag A 5.12

Bilag A Kontrol 5.12 er en forebyggende kontrol, der gør det muligt for organisationer at identificere risici ved at bestemme det passende beskyttelsesniveau for hvert informationsaktiv baseret på dets betydning og følsomhed.

I den supplerende vejledning advarer bilag A kontrol 5.12 eksplicit mod over- eller underklassificering af oplysninger. Organisationer skal tage hensyn til kravene til fortrolighed, tilgængelighed og integritet, når de tildeler aktiver til deres respektive kategorier. Dette er med til at sikre, at klassifikationsordningen balancerer virksomhedens behov for information og sikkerhedskravene for hver informationskategori.

Ejerskab af bilag A 5.12

Selvom det er væsentligt at etablere en klassifikationsordning for informationsaktiver i hele organisationen, er det i sidste ende aktivejernes ansvar at sikre, at den implementeres korrekt.

I henhold til ISO 27001:2022 bilag A 5.12 skal personer med relevante informationsaktiver holdes ansvarlige. Eksempelvis bør regnskabsafdelingen klassificere oplysninger ud fra den organisationsdækkende klassifikationsordning ved adgang til mapper med lønindberetninger og kontoudtog.

Ved klassificering af oplysninger er det afgørende for aktivejere at tage hensyn til virksomhedens behov og potentiel indvirkning, som et kompromittering af information kan have på organisationen. Derudover bør de tage højde for informationens betydning og følsomhedsniveauer.

Generel vejledning om ISO 27001:2022 Bilag A 5.12

For at implementere et robust informationsklassifikationssystem med succes, bør organisationer tage en aktuel tilgang, overveje hver forretningsenheds specifikke informationsbehov og vurdere informationens følsomhed og kritiske niveau.

I henhold til bilag A Kontrol 5.12 skal organisationer evaluere følgende syv kriterier, når de implementerer en klassifikationsordning:

Etabler en emnespecifik politik og adresserer specifikke forretningsbehov

Bilag A Kontrol 5.12 i informationssikkerhedsstyringssystem henviser til bilag A Kontrol 5.1, som vedrører adgangskontrol. Den giver mandat til, at organisationer overholder emnespecifikke politikker fastsat i bilag A Kontrol 5.1. Derudover bør klassifikationsskemaet og niveauerne tage højde for specifikke forretningsbehov, når informationsaktiver klassificeres.

Organisationer skal overveje deres forretningsbehov for deling og brug af information, samt behovet for tilgængelighed af sådanne oplysninger. Klassificering af et informationsaktiv kan dog forstyrre kritiske forretningsfunktioner ved at begrænse adgangen til og brugen af ​​information.

Derfor bør organisationer balancere deres specifikke forretningsbehov for tilgængelighed og brug af data og kravet om at opretholde fortroligheden og integriteten af ​​disse oplysninger.

Overvej juridiske forpligtelser

Specifikke love kan kræve, at organisationer lægger vægt på at beskytte oplysningernes fortrolighed, integritet og tilgængelighed. Derfor bør juridiske forpligtelser prioriteres frem for organisationens interne klassifikation ved kategorisering af informationsaktiver.

Vedtagelse af en risikobaseret tilgang og vurdering af den potentielle indvirkning af et sikkerhedsbrud eller et kompromis på informationsaktiver er tilrådeligt. Dette vil hjælpe med at prioritere og implementere passende sikkerhedsforanstaltninger for at mindske de identificerede risici.

Enhver form for information har et unikt betydningsniveau for en organisations funktioner og besidder varierende grader af følsomhed afhængigt af de særlige omstændigheder.

Når en organisation implementerer en informationsklassificeringsordning, bør den overveje den potentielle indvirkning, som kompromittering af oplysningernes fortrolighed, integritet eller tilgængelighed kan have på organisationen.

For eksempel vil følsomheden og den potentielle indvirkning af en database, der indeholder professionelle e-mail-adresser på kvalificerede kundeemner, være meget forskellig fra medarbejdernes sundhedsjournaler. Derfor bør organisationen nøje overveje det beskyttelsesniveau, som hver kategori af informationer kræver, og allokere ressourcer i overensstemmelse hermed.

Regelmæssig opdatering og gennemgang af klassifikationen

Bilag A Kontrol 5.12 anerkender, at informations værdi, vigtighed og følsomhedsniveau kan ændre sig over tid, efterhånden som dataene gennemgår deres livscyklus. Som følge heraf skal organisationer regelmæssigt gennemgå deres klassificering af oplysninger og foretage de nødvendige opdateringer.

ISO 27001 Bilag A Kontrol 5.12 vedrører reduktion af værdien og følsomheden af ​​oplysningerne i væsentlig grad.

Det er vigtigt at rådføre sig med andre organisationer med dig for at dele oplysninger og løse eventuelle uligheder.

Hver organisation kan have særskilt terminologi, niveauer og standarder for deres informationsklassifikationssystemer

Forskelle i informationsklassificering mellem organisationer kan føre til potentielle risici ved udveksling af informationsaktiver.

Organisationer skal samarbejde med deres modparter for at etablere en konsensus for at sikre ensartet informationsklassificering og ensartet fortolkning af klassifikationsniveauer for at mindske sådanne risici.

Konsistens på organisationsniveau

Hver afdeling i en organisation skal have en fælles forståelse af klassifikationsniveauer og protokoller for at sikre ensartethed i klassifikationer på tværs af hele organisationen.

Vejledning om, hvordan man implementerer klassificering af informationsordningen

Mens bilag A 5.12 anerkender, at der ikke er noget universelt anvendeligt klassifikationssystem, og organisationer har fleksibiliteten til at etablere og definere deres klassifikationsniveauer, illustrerer det et informationsklassifikationssystem:

• Afsløring forårsager ingen skade.
• Offentliggørelse forårsager mindre omdømmeskader eller mindre driftspåvirkning.
• Offentliggørelse har en væsentlig kortsigtet indvirkning på driften eller forretningsmålene.
• Offentliggørelse har alvorlig indvirkning på langsigtede forretningsmål eller risikerer organisationens overlevelse.

Ændringer og forskelle fra ISO 27002:2013

Bilag A 8.2.1 i den tidligere version omhandlede klassifikation af oplysninger.

Mens de to versioner er ret ens, er der to hovedforskelle:

1. For det første nævnte den tidligere version ikke behovet for konsistens i klassifikationsniveauer, når oplysninger deles mellem organisationer. ISO 27001:2022 pålægger imidlertid organisationer at samarbejde med deres modparter for at sikre ensartethed i informationsklassificering og forståelse.
2. For det andet kræver den opdaterede version eksplicit, at organisationer udvikler politikker, der er skræddersyet til specifikke emner. Kun en kort henvisning til adgangskontrol blev lavet i den ældre version.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.

Hvordan ISMS.online Hjælp

Vores platformen er designet til at være brugervenlig og ligetil, der henvender sig til meget tekniske personer og alle medarbejdere i din organisation.

Vi går ind for at involvere medarbejdere på alle niveauer af virksomheden i opbygningen af ​​dit ISMS, da det hjælper med at etablere et bæredygtigt system.

Find ud af mere ved booking af en demo.