ISO 27001:2022 Bilag A Kontrol 5.13

Mærkning af information

Book en demo

gruppe,af,glade,kolleger,diskuterer,i,konference,værelse

Organisationer ansøger klassificeringsetiketter til relevante oplysninger aktiver til at implementere deres informationsklassificeringsordning.

I overensstemmelse med organisationens vedtagne informationsklassificeringsskema, definerer ISO 27001:2022 Annex A 5.13 et sæt procedurer for informationsmærkning.

Ud over at identificere fysiske og elektroniske aktiver skal der udvikles procedurer til identifikation af oplysninger, der afspejler klassifikationsskemaet beskrevet i 5.12.

Gør etiketter nemme at genkende og administrere; ellers vil de ikke blive fulgt. I stedet for at få personalet til at mærke hver CRM-opdatering med en kommerciel fortrolighedserklæring, kan det være lettere at beslutte de facto, at alt i de digitale systemer er fortroligt, medmindre andet udtrykkeligt er angivet!

Ved at bruge klassifikationsskemaet, der er vedtaget i bilag A, kontrol 5.12, beskriver bilag A, kontrol 5.13, hvordan organisationer skal udvikle, implementere og administrere en robust informationsmærkningsprocedure.

Hvad er formålet med ISO 27001:2022 Annex A 5.13?

Formålet med bilag A 5.13 er dobbelt; at beskytte informationsaktiver mod sikkerhedsrisici:

  • Informationsaktiver kan klassificeres på en ligetil måde, når de kommunikeres internt og eksternt. Det er her, medarbejdere og tredjeparter kan få adgang til og bruge oplysningerne.

  • Informationsbehandling og -styring kan strømlines gennem automatisering.

Hvem har ejerskab til bilag A 5.13?

Informationsaktiver kan mærkes ved at tilføje metadata, så metadataadministratorer skal være ansvarlige for korrekt implementering af mærkningsprocessen.

Alle dataaktiver skal være passende mærket, og aktivejere skal foretage eventuelle ændringer af mærkning med adgangs- og ændringstilladelser.

Gå til emne

Generelle retningslinjer for, hvordan man overholder ISO 27001:2022 Bilag A 5.13

Ved hjælp af bilag A Kontrol 5.13 kan organisationer mærke information i overensstemmelse med fire specifikke trin.

Etabler en procedure for mærkning af oplysninger

Informationsklassificeringsskemaet, der er oprettet i henhold til bilag A Kontrol 5.12, bør overholdes af organisationers informationsmærkningsprocedurer.

5.13 kræver også, at denne procedure gælder for alle informationsaktiver, uanset om de er digitale eller papirer, og at etiketterne skal være let genkendelige.

Der er ingen grænser for, hvad dette Proceduredokument kan indeholde, men Bilag A Kontrol 5.13 kræver, at procedurerne omfatter følgende:

  • En forklaring af metoderne til at vedhæfte etiketter til informationsaktiver baseret på typen af ​​lagringsmedie, og hvordan der tilgås data.

  • For hver type informationsaktiv, hvor etiketterne skal vedhæftes.

  • For eksempel kan en organisation undlade at offentliggøre offentlige data som en del af sin informationsmærkningsproces.

  • Tekniske, juridiske eller kontraktmæssige begrænsninger forhindrer mærkning af visse typer information.

  • Regler styrer, hvordan oplysninger skal mærkes, når de transmitteres internt eller eksternt.

  • Instruktioner bør ledsage digitale aktiver om, hvordan man indsætter metadata.

  • Alle aktiver skal mærkes med de samme navne.

Sørg for passende træning i mærkningsprocedurer til medarbejderne

Personale og andre relevante interessenter skal forstå, hvordan man mærker oplysninger korrekt og administrere mærkede informationsaktiver før proceduren for mærkningsoplysninger kan træde i kraft.

Som følge heraf bør organisationer uddanne personale og andre relevante parter om proceduren.

Digitale informationsaktiver skal mærkes med metadata

Digitale informationsaktiver skal mærkes ved hjælp af metadata i henhold til 5.13.

Udrulning af metadata bør også lette identifikation og søgning efter information og strømline beslutningstagning mellem systemer relateret til mærket information.

Der bør tages ekstra forholdsregler for at mærke følsomme data, der kan forlade systemet

Bilag A 5.13-anbefalingen fokuserer på at identificere den mest passende etiket til udadgående overførsler af kritiske og følsomme oplysninger aktiver under hensyntagen til de involverede risici.

Bilag A 5.13 ​​Supplerende vejledning

For at datadelingsoperationer skal være sikre, er det vigtigt at identificere og mærke klassificerede oplysninger nøjagtigt.

Bilag A 5.13 anbefaler også, at organisationer indsætter yderligere metadatapunkter. Det vil sige navnet på den proces, der skabte informationsaktivet, og det tidspunkt, hvor det blev oprettet.

Derudover beskriver bilag A 5.13 de standardmærkningsteknikker, som organisationer kan bruge:

  • Fysiske mærker

  • Headers og footers

  • Metadata

  • vandmærkning

  • Gummi-stempler

Endelig understreger bilag A 5.13, at mærkning af informationsaktiver som "fortrolige" og "klassificerede" kan have utilsigtede konsekvenser. Dette kan gøre det lettere for ondsindede aktører at opdage og finde følsomme informationsaktiver.

Hvad er ændringerne og forskellene fra ISO 27001:2013?

ISO 27001: 2022 Bilag A 5.13 erstatter ISO 27001:2013 Bilag A 8.2.2 (Mærkning af oplysninger).

Begge Annex A-kontroller ligner til en vis grad, men to vigtige forskelle gør ISO 27001:2022-versionen mere omfattende.

Brugen af ​​metadata har været påkrævet for at opfylde nye krav

Mens 2013-versionen omtalte metadata som en mærkningsteknik, pålagde den ingen specifikke forpligtelser for overholdelse ved brug af metadata.

I modsætning hertil inkorporerer 2022-versionen forskelle og ændringer fra ISO 27001:2013.

Brugen af ​​metadata er nu et krav

I 2013 blev metadata omtalt som en mærkningsteknik, men der blev ikke pålagt specifikke overholdelsesforpligtelser.

I modsætning hertil indeholder 2022-versionen strenge krav til metadatateknikker. For eksempel kræver 2022-versionen følgende:

  • Tilføjelse af metadata til information letter identifikation, styring og opdagelse.

  • Det er nødvendigt at indsætte metadata for navnet og datoen for den proces, der skabte aktivet.

Det er nødvendigt at angive flere detaljer i informationsmærkningsproceduren

Informationsmærkningsprocedurer i 2013-versionen var ikke forpligtet til at inkludere minimumsindholdet som i 2022-versionen.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

Implementering af ISO 27001 er nemmere med vores trinvise tjekliste, som guider dig fra at definere omfanget af dit ISMS gennem risikoidentifikation og Annex A kontrolimplementering.

Ved brug af vores platform er intuitiv og nem. Det er ikke kun for meget tekniske medarbejdere, men alle i din virksomhed. Vi opfordrer dig til at involvere hele din arbejdsstyrke i opbygningen af ​​din ismer, da det hjælper dig med at opbygge et virkelig bæredygtigt system.

Kontakt i dag for book en demo.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere