ISO 27001:2022 Bilag A Kontrol 5.12

Klassificering af oplysninger

Book en demo

unge,forretning,kolleger,arbejder,i,et,travlt,åbent,plan,kontor

Klassificeringen af ​​oplysninger er en grundlæggende proces, der gør det muligt for organisationer at gruppere deres informationsaktiver i relevante kategorier baseret på deres nødvendige beskyttelsesniveau.

Ifølge ISO 27001: 2022 Bilag A 5.1.2 skal oplysninger klassificeres baseret på forskellige faktorer, herunder lovkrav, værdi, kritikalitet og følsomhed over for uautoriseret offentliggørelse eller ændring. Denne klassifikation bør udformes, så den afspejler organisationens unikke forretningsaktivitet uden at hæmme eller komplicere den.

F.eks. skal oplysninger, der er beregnet til offentligt forbrug, være passende mærket, hvorimod fortrolige eller kommercielt følsomme data skal tildeles en højere grad af sikkerhed. Det er afgørende at bemærke, at klassificeringen af ​​oplysninger er blandt de vigtigste kontroller i bilag A til sikre, at organisatoriske aktiver er beskyttet.

Formål med ISO 27001:2022 bilag A 5.12

Bilag A Kontrol 5.12 er en forebyggende kontrol, der gør det muligt for organisationer at identificere risici ved at bestemme det passende beskyttelsesniveau for hvert informationsaktiv baseret på dets betydning og følsomhed.

I den supplerende vejledning advarer bilag A kontrol 5.12 eksplicit mod over- eller underklassificering af oplysninger. Organisationer skal tage hensyn til kravene til fortrolighed, tilgængelighed og integritet, når de tildeler aktiver til deres respektive kategorier. Dette er med til at sikre, at klassifikationsordningen balancerer virksomhedens behov for information og sikkerhedskravene for hver informationskategori.

Ejerskab af bilag A 5.12

Selvom det er væsentligt at etablere en klassifikationsordning for informationsaktiver i hele organisationen, er det i sidste ende aktivejernes ansvar at sikre, at den implementeres korrekt.

I henhold til ISO 27001:2022 bilag A 5.12 skal personer med relevante informationsaktiver holdes ansvarlige. Eksempelvis bør regnskabsafdelingen klassificere oplysninger ud fra den organisationsdækkende klassifikationsordning ved adgang til mapper med lønindberetninger og kontoudtog.

Ved klassificering af oplysninger er det afgørende for aktivejere at tage hensyn til virksomhedens behov og potentiel indvirkning, som et kompromittering af information kan have på organisationen. Derudover bør de tage højde for informationens betydning og følsomhedsniveauer.

Gå til emne
Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

Generel vejledning om ISO 27001:2022 Bilag A 5.12

For at implementere et robust informationsklassifikationssystem med succes, bør organisationer tage en aktuel tilgang, overveje hver forretningsenheds specifikke informationsbehov og vurdere informationens følsomhed og kritiske niveau.

I henhold til bilag A Kontrol 5.12 skal organisationer evaluere følgende syv kriterier, når de implementerer en klassifikationsordning:

Etabler en emnespecifik politik og adresserer specifikke forretningsbehov

Bilag A Kontrol 5.12 i informationssikkerhedsstyringssystem henviser til bilag A Kontrol 5.1, som vedrører adgangskontrol. Den giver mandat til, at organisationer overholder emnespecifikke politikker fastsat i bilag A Kontrol 5.1. Derudover bør klassifikationsskemaet og niveauerne tage højde for specifikke forretningsbehov, når informationsaktiver klassificeres.

Organisationer skal overveje deres forretningsbehov for deling og brug af information, samt behovet for tilgængelighed af sådanne oplysninger. Klassificering af et informationsaktiv kan dog forstyrre kritiske forretningsfunktioner ved at begrænse adgangen til og brugen af ​​information.

Derfor bør organisationer balancere deres specifikke forretningsbehov for tilgængelighed og brug af data og kravet om at opretholde fortroligheden og integriteten af ​​disse oplysninger.

Overvej juridiske forpligtelser

Specifikke love kan kræve, at organisationer lægger vægt på at beskytte oplysningernes fortrolighed, integritet og tilgængelighed. Derfor bør juridiske forpligtelser prioriteres frem for organisationens interne klassifikation ved kategorisering af informationsaktiver.

Vedtagelse af en risikobaseret tilgang og vurdering af den potentielle indvirkning af et sikkerhedsbrud eller et kompromis på informationsaktiver er tilrådeligt. Dette vil hjælpe med at prioritere og implementere passende sikkerhedsforanstaltninger for at mindske de identificerede risici.

Enhver form for information har et unikt betydningsniveau for en organisations funktioner og besidder varierende grader af følsomhed afhængigt af de særlige omstændigheder.

Når en organisation implementerer en informationsklassificeringsordning, bør den overveje den potentielle indvirkning, som kompromittering af oplysningernes fortrolighed, integritet eller tilgængelighed kan have på organisationen.

For eksempel vil følsomheden og den potentielle indvirkning af en database, der indeholder professionelle e-mail-adresser på kvalificerede kundeemner, være meget forskellig fra medarbejdernes sundhedsjournaler. Derfor bør organisationen nøje overveje det beskyttelsesniveau, som hver kategori af informationer kræver, og allokere ressourcer i overensstemmelse hermed.

Regelmæssig opdatering og gennemgang af klassifikationen

Bilag A Kontrol 5.12 anerkender, at informations værdi, vigtighed og følsomhedsniveau kan ændre sig over tid, efterhånden som dataene gennemgår deres livscyklus. Som følge heraf skal organisationer regelmæssigt gennemgå deres klassificering af oplysninger og foretage de nødvendige opdateringer.

ISO 27001 Bilag A Kontrol 5.12 vedrører reduktion af værdien og følsomheden af ​​oplysningerne i væsentlig grad.

Det er vigtigt at rådføre sig med andre organisationer med dig for at dele oplysninger og løse eventuelle uligheder.

Hver organisation kan have særskilt terminologi, niveauer og standarder for deres informationsklassifikationssystemer

Forskelle i informationsklassificering mellem organisationer kan føre til potentielle risici ved udveksling af informationsaktiver.

Organisationer skal samarbejde med deres modparter for at etablere en konsensus for at sikre ensartet informationsklassificering og ensartet fortolkning af klassifikationsniveauer for at mindske sådanne risici.

Konsistens på organisationsniveau

Hver afdeling i en organisation skal have en fælles forståelse af klassifikationsniveauer og protokoller for at sikre ensartethed i klassifikationer på tværs af hele organisationen.

Vejledning om, hvordan man implementerer klassificering af informationsordningen

Mens bilag A 5.12 anerkender, at der ikke er noget universelt anvendeligt klassifikationssystem, og organisationer har fleksibiliteten til at etablere og definere deres klassifikationsniveauer, illustrerer det et informationsklassifikationssystem:

  • Afsløring forårsager ingen skade.

  • Offentliggørelse forårsager mindre omdømmeskader eller mindre driftspåvirkning.

  • Offentliggørelse har en væsentlig kortsigtet indvirkning på driften eller forretningsmålene.

  • Offentliggørelse har alvorlig indvirkning på langsigtede forretningsmål eller risikerer organisationens overlevelse.

Ændringer og forskelle fra ISO 27002:2013

Bilag A 8.2.1 i den tidligere version omhandlede klassifikation af oplysninger.

Mens de to versioner er ret ens, er der to hovedforskelle:

  1. For det første nævnte den tidligere version ikke behovet for konsistens i klassifikationsniveauer, når oplysninger deles mellem organisationer. ISO 27001:2022 pålægger imidlertid organisationer at samarbejde med deres modparter for at sikre ensartethed i informationsklassificering og forståelse.

  2. For det andet kræver den opdaterede version eksplicit, at organisationer udvikler politikker, der er skræddersyet til specifikke emner. Kun en kort henvisning til adgangskontrol blev lavet i den ældre version.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online Hjælp

Vores platformen er designet til at være brugervenlig og ligetil, der henvender sig til meget tekniske personer og alle medarbejdere i din organisation.

Vi går ind for at involvere medarbejdere på alle niveauer af virksomheden i opbygningen af ​​dit ISMS, da det hjælper med at etablere et bæredygtigt system.

Find ud af mere ved booking af en demo.

Jeg har gjort ISO 27001 på den hårde måde, så jeg værdsætter virkelig, hvor meget tid det har sparet os med at opnå ISO 27001-certificering.

Carl Vaughan
Infosec Lead, MetCloud

Book din demo

100 % ISO 27001 succes

Din enkle, praktiske, tidsbesparende vej til første gangs ISO 27001-overensstemmelse eller certificering

Book din demo
Metode med sikre resultater

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere