ISO 27001:2022 Bilag A 5.13 – Mærkning af information

Hvad er formålet med ISO 27001:2022 Annex A 5.13?

Formålet med bilag A 5.13 er dobbelt; at beskytte informationsaktiver mod sikkerhedsrisici:

• Informationsaktiver kan klassificeres på en ligetil måde, når de kommunikeres internt og eksternt. Det er her, medarbejdere og tredjeparter kan få adgang til og bruge oplysningerne.
• Informationsbehandling og -styring kan strømlines gennem automatisering.

Hvem har ejerskab til bilag A 5.13?

Informationsaktiver kan mærkes ved at tilføje metadata, så metadataadministratorer skal være ansvarlige for korrekt implementering af mærkningsprocessen.

Alle dataaktiver skal være passende mærket, og aktivejere skal foretage eventuelle ændringer af mærkning med adgangs- og ændringstilladelser.

Generelle retningslinjer for, hvordan man overholder ISO 27001:2022 Bilag A 5.13

Ved hjælp af bilag A Kontrol 5.13 kan organisationer mærke information i overensstemmelse med fire specifikke trin.

Etabler en procedure for mærkning af oplysninger

Informationsklassificeringsskemaet, der er oprettet i henhold til bilag A Kontrol 5.12, bør overholdes af organisationers informationsmærkningsprocedurer.

5.13 kræver også, at denne procedure gælder for alle informationsaktiver, uanset om de er digitale eller papirer, og at etiketterne skal være let genkendelige.

Der er ingen grænser for, hvad dette Proceduredokument kan indeholde, men Bilag A Kontrol 5.13 kræver, at procedurerne omfatter følgende:

• En forklaring af metoderne til at vedhæfte etiketter til informationsaktiver baseret på typen af ​​lagringsmedie, og hvordan der tilgås data.
• For hver type informationsaktiv, hvor etiketterne skal vedhæftes.
• For eksempel kan en organisation undlade at offentliggøre offentlige data som en del af sin informationsmærkningsproces.
• Tekniske, juridiske eller kontraktmæssige begrænsninger forhindrer mærkning af visse typer information.
• Regler styrer, hvordan oplysninger skal mærkes, når de transmitteres internt eller eksternt.
• Instruktioner bør ledsage digitale aktiver om, hvordan man indsætter metadata.
• Alle aktiver skal mærkes med de samme navne.

Sørg for passende træning i mærkningsprocedurer til medarbejderne

Personale og andre relevante interessenter skal forstå, hvordan man mærker oplysninger korrekt og administrere mærkede informationsaktiver før proceduren for mærkningsoplysninger kan træde i kraft.

Som følge heraf bør organisationer uddanne personale og andre relevante parter om proceduren.

Digitale informationsaktiver skal mærkes med metadata

Digitale informationsaktiver skal mærkes ved hjælp af metadata i henhold til 5.13.

Udrulning af metadata bør også lette identifikation og søgning efter information og strømline beslutningstagning mellem systemer relateret til mærket information.

Der bør tages ekstra forholdsregler for at mærke følsomme data, der kan forlade systemet

Bilag A 5.13-anbefalingen fokuserer på at identificere den mest passende etiket til udadgående overførsler af kritiske og følsomme oplysninger aktiver under hensyntagen til de involverede risici.

Bilag A 5.13 ​​Supplerende vejledning

For at datadelingsoperationer skal være sikre, er det vigtigt at identificere og mærke klassificerede oplysninger nøjagtigt.

Bilag A 5.13 anbefaler også, at organisationer indsætter yderligere metadatapunkter. Det vil sige navnet på den proces, der skabte informationsaktivet, og det tidspunkt, hvor det blev oprettet.

Derudover beskriver bilag A 5.13 de standardmærkningsteknikker, som organisationer kan bruge:

• Fysiske mærker
• Headers og footers
• Metadata
• vandmærkning
• Gummi-stempler

Endelig understreger bilag A 5.13, at mærkning af informationsaktiver som "fortrolige" og "klassificerede" kan have utilsigtede konsekvenser. Dette kan gøre det lettere for ondsindede aktører at opdage og finde følsomme informationsaktiver.

Hvad er ændringerne og forskellene fra ISO 27001:2013?

ISO 27001: 2022 Bilag A 5.13 erstatter ISO 27001:2013 Bilag A 8.2.2 (Mærkning af oplysninger).

Begge Annex A-kontroller ligner til en vis grad, men to vigtige forskelle gør ISO 27001:2022-versionen mere omfattende.

Brugen af ​​metadata har været påkrævet for at opfylde nye krav

Mens 2013-versionen omtalte metadata som en mærkningsteknik, pålagde den ingen specifikke forpligtelser for overholdelse ved brug af metadata.

I modsætning hertil inkorporerer 2022-versionen forskelle og ændringer fra ISO 27001:2013.

Brugen af ​​metadata er nu et krav

I 2013 blev metadata omtalt som en mærkningsteknik, men der blev ikke pålagt specifikke overholdelsesforpligtelser.

I modsætning hertil indeholder 2022-versionen strenge krav til metadatateknikker. For eksempel kræver 2022-versionen følgende:

• Tilføjelse af metadata til information letter identifikation, styring og opdagelse.
• Det er nødvendigt at indsætte metadata for navnet og datoen for den proces, der skabte aktivet.

Det er nødvendigt at angive flere detaljer i informationsmærkningsproceduren

Informationsmærkningsprocedurer i 2013-versionen var ikke forpligtet til at inkludere minimumsindholdet som i 2022-versionen.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

Hvordan ISMS.online hjælper

Implementering af ISO 27001 er nemmere med vores trinvise tjekliste, som guider dig fra at definere omfanget af dit ISMS gennem risikoidentifikation og Annex A kontrolimplementering.

Ved brug af vores platform er intuitiv og nem. Det er ikke kun for meget tekniske medarbejdere, men alle i din virksomhed. Vi opfordrer dig til at involvere hele din arbejdsstyrke i opbygningen af ​​din ismer, da det hjælper dig med at opbygge et virkelig bæredygtigt system.

Kontakt i dag for book en demo.