Klassificeringen af oplysninger er en grundlæggende proces, der gør det muligt for organisationer at gruppere deres informationsaktiver i relevante kategorier baseret på deres nødvendige beskyttelsesniveau.
Ifølge ISO 27001: 2022 Bilag A 5.1.2 skal oplysninger klassificeres baseret på forskellige faktorer, herunder lovkrav, værdi, kritikalitet og følsomhed over for uautoriseret offentliggørelse eller ændring. Denne klassifikation bør udformes, så den afspejler organisationens unikke forretningsaktivitet uden at hæmme eller komplicere den.
F.eks. skal oplysninger, der er beregnet til offentligt forbrug, være passende mærket, hvorimod fortrolige eller kommercielt følsomme data skal tildeles en højere grad af sikkerhed. Det er afgørende at bemærke, at klassificeringen af oplysninger er blandt de vigtigste kontroller i bilag A til sikre, at organisatoriske aktiver er beskyttet.
Bilag A Kontrol 5.12 er en forebyggende kontrol, der gør det muligt for organisationer at identificere risici ved at bestemme det passende beskyttelsesniveau for hvert informationsaktiv baseret på dets betydning og følsomhed.
I den supplerende vejledning advarer bilag A kontrol 5.12 eksplicit mod over- eller underklassificering af oplysninger. Organisationer skal tage hensyn til kravene til fortrolighed, tilgængelighed og integritet, når de tildeler aktiver til deres respektive kategorier. Dette er med til at sikre, at klassifikationsordningen balancerer virksomhedens behov for information og sikkerhedskravene for hver informationskategori.
Selvom det er væsentligt at etablere en klassifikationsordning for informationsaktiver i hele organisationen, er det i sidste ende aktivejernes ansvar at sikre, at den implementeres korrekt.
I henhold til ISO 27001:2022 bilag A 5.12 skal personer med relevante informationsaktiver holdes ansvarlige. Eksempelvis bør regnskabsafdelingen klassificere oplysninger ud fra den organisationsdækkende klassifikationsordning ved adgang til mapper med lønindberetninger og kontoudtog.
Ved klassificering af oplysninger er det afgørende for aktivejere at tage hensyn til virksomhedens behov og potentiel indvirkning, som et kompromittering af information kan have på organisationen. Derudover bør de tage højde for informationens betydning og følsomhedsniveauer.
For at implementere et robust informationsklassifikationssystem med succes, bør organisationer tage en aktuel tilgang, overveje hver forretningsenheds specifikke informationsbehov og vurdere informationens følsomhed og kritiske niveau.
I henhold til bilag A Kontrol 5.12 skal organisationer evaluere følgende syv kriterier, når de implementerer en klassifikationsordning:
Bilag A Kontrol 5.12 i informationssikkerhedsstyringssystem henviser til bilag A Kontrol 5.1, som vedrører adgangskontrol. Den giver mandat til, at organisationer overholder emnespecifikke politikker fastsat i bilag A Kontrol 5.1. Derudover bør klassifikationsskemaet og niveauerne tage højde for specifikke forretningsbehov, når informationsaktiver klassificeres.
Organisationer skal overveje deres forretningsbehov for deling og brug af information, samt behovet for tilgængelighed af sådanne oplysninger. Klassificering af et informationsaktiv kan dog forstyrre kritiske forretningsfunktioner ved at begrænse adgangen til og brugen af information.
Derfor bør organisationer balancere deres specifikke forretningsbehov for tilgængelighed og brug af data og kravet om at opretholde fortroligheden og integriteten af disse oplysninger.
Specifikke love kan kræve, at organisationer lægger vægt på at beskytte oplysningernes fortrolighed, integritet og tilgængelighed. Derfor bør juridiske forpligtelser prioriteres frem for organisationens interne klassifikation ved kategorisering af informationsaktiver.
Vedtagelse af en risikobaseret tilgang og vurdering af den potentielle indvirkning af et sikkerhedsbrud eller et kompromis på informationsaktiver er tilrådeligt. Dette vil hjælpe med at prioritere og implementere passende sikkerhedsforanstaltninger for at mindske de identificerede risici.
Enhver form for information har et unikt betydningsniveau for en organisations funktioner og besidder varierende grader af følsomhed afhængigt af de særlige omstændigheder.
Når en organisation implementerer en informationsklassificeringsordning, bør den overveje den potentielle indvirkning, som kompromittering af oplysningernes fortrolighed, integritet eller tilgængelighed kan have på organisationen.
For eksempel vil følsomheden og den potentielle indvirkning af en database, der indeholder professionelle e-mail-adresser på kvalificerede kundeemner, være meget forskellig fra medarbejdernes sundhedsjournaler. Derfor bør organisationen nøje overveje det beskyttelsesniveau, som hver kategori af informationer kræver, og allokere ressourcer i overensstemmelse hermed.
Bilag A Kontrol 5.12 anerkender, at informations værdi, vigtighed og følsomhedsniveau kan ændre sig over tid, efterhånden som dataene gennemgår deres livscyklus. Som følge heraf skal organisationer regelmæssigt gennemgå deres klassificering af oplysninger og foretage de nødvendige opdateringer.
ISO 27001 Bilag A Kontrol 5.12 vedrører reduktion af værdien og følsomheden af oplysningerne i væsentlig grad.
Det er vigtigt at rådføre sig med andre organisationer med dig for at dele oplysninger og løse eventuelle uligheder.
Forskelle i informationsklassificering mellem organisationer kan føre til potentielle risici ved udveksling af informationsaktiver.
Organisationer skal samarbejde med deres modparter for at etablere en konsensus for at sikre ensartet informationsklassificering og ensartet fortolkning af klassifikationsniveauer for at mindske sådanne risici.
Hver afdeling i en organisation skal have en fælles forståelse af klassifikationsniveauer og protokoller for at sikre ensartethed i klassifikationer på tværs af hele organisationen.
Mens bilag A 5.12 anerkender, at der ikke er noget universelt anvendeligt klassifikationssystem, og organisationer har fleksibiliteten til at etablere og definere deres klassifikationsniveauer, illustrerer det et informationsklassifikationssystem:
Bilag A 8.2.1 i den tidligere version omhandlede klassifikation af oplysninger.
Mens de to versioner er ret ens, er der to hovedforskelle:
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Bilag A Kontrollere.
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Vores platformen er designet til at være brugervenlig og ligetil, der henvender sig til meget tekniske personer og alle medarbejdere i din organisation.
Vi går ind for at involvere medarbejdere på alle niveauer af virksomheden i opbygningen af dit ISMS, da det hjælper med at etablere et bæredygtigt system.
Find ud af mere ved booking af en demo.
Jeg har gjort ISO 27001 på den hårde måde, så jeg værdsætter virkelig, hvor meget tid det har sparet os med at opnå ISO 27001-certificering.