Mærkning af information er en procedure, der gør det muligt for organisationer at omsætte deres informationsklassificeringsordning i praksis ved at knytte klassifikationsmærker til relevante informationsaktiver.
Kontrol 5.13 omhandler, hvordan organisationer skal udvikle, implementere og administrere en robust informationsmærkningsprocedure baseret på klassifikationsskemaet vedtaget gennem Kontrol 5.12.
5.13 er en forebyggende kontrol, der beskytter informationsaktiver mod sikkerhedsrisici ved at hjælpe organisationer med at opnå to forskellige formål:
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Informationsbeskyttelse | #Forsvar #Beskyttelse |
I betragtning af, at tilføjelse af metadata til digitale aktiver er den primære måde at mærke informationsaktiver på, skal metadataadministratorer være ansvarlige for korrekt implementering af mærkningsproceduren.
Udover metadataforvalterne skal aktivejere med adgangs- og ændringsautorisationer være ansvarlige for korrekt mærkning af alle dataaktiver og skal foretage nødvendige ændringer af mærkning, hvis det er nødvendigt.
Kontrol 5.13 identificerer fire specifikke trin, som organisationer bør implementere for at udføre mærkning af information i overensstemmelse med 5.13.
Organisationer bør udvikle en organisationsdækkende informationsmærkningsprocedure, der overholder informationsklassifikationsskemaet, der er oprettet i overensstemmelse med kontrol 5.12.
Endvidere kræver 5.13, at denne procedure udvides til at omfatte alle informationsaktiver, uanset om de er i digitalt eller papirformat, og at etiketterne skal være lette at genkende.
Selvom der ikke er nogen grænse for, hvad dette Proceduredokument kan indeholde, angiver Kontrol 5.13, at Procedurerne mindst skal omfatte følgende:
Proceduren for mærkning af information kan kun være effektiv i det omfang, personalet og andre relevante interessenter er velinformerede om, hvordan man korrekt mærker information, og hvordan man håndterer mærkede informationsaktiver.
Derfor bør organisationer give personale og andre relevante parter træning i proceduren.
5.13 kræver brug af metadata til mærkning af digitale informationsaktiver.
Endvidere bemærkes det, at metadataene bør implementeres på en måde, der gør det nemt og effektivt at identificere og søge efter information og også på en måde, der strømliner beslutningsprocessen mellem systemer relateret til mærket information.
I betragtning af de risici, der er forbundet med udadgående overførsel af følsomme data fra systemer, anbefaler 5.13 organisationer at mærke disse informationsaktiver med dem, der er mest passende i forhold til niveauet af kritik og følsomhed af de pågældende oplysninger.
5.13 fremhæver, at identifikation og nøjagtig mærkning af klassificerede oplysninger er afgørende for sikkerheden i forbindelse med datadelingsoperationer.
Ud over de fire specifikke trin beskrevet ovenfor, anbefaler 5.13 også, at organisationer indsætter yderligere metadatapunkter såsom navnet på den proces, der skabte informationsaktivet, og tidspunktet for en sådan oprettelse.
Desuden henviser 5.13 til de almindelige mærkningsteknikker, som organisationer kan implementere:
Endelig understreger 5.13, at mærkning af informationsaktiver som "fortrolige" og "klassificerede" kan have utilsigtede konsekvenser, fordi det kan gøre det lettere for ondsindede aktører at søge igennem og finde følsomme informationsaktiver.
27002:2022/5.13 erstatter 27002:2013/8.2.2 (Mærkning af oplysninger).
Mens de to kontroller til en vis grad ligner hinanden, er der to vigtige forskelle, som gør 2022-versionen mere omfattende.
Mens 2013-versionen omtalte metadata som en mærkningsteknik, pålagde den ingen specifikke forpligtelser for overholdelse ved brug af metadata.
I modsætning hertil stiller 2022-versionen strenge krav til, hvordan man bruger metadatateknik. For at illustrere kræver 2022-versionen, at:
I modsætning til 2022-versionen specificerede 2013-versionen ikke det minimumsindhold, der skulle inkluderes i en informationsmærkningsprocedure.
ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.
Vores platform er intuitiv og nem at bruge. Det er ikke kun for meget tekniske mennesker; det er for alle i din organisation. Vi opfordrer dig til at involvere medarbejdere på alle niveauer af din virksomhed i processen med at opbygge din ismer, fordi det hjælper dig med at bygge et virkelig bæredygtigt system.
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |