Spring til indhold
ISMS.online

ISO 27002:2022 – Kontrol 5.13 – Mærkning af information

Mærkning af information er en procedure, der gør det muligt for organisationer at omsætte deres informationsklassificeringsordning i praksis ved at knytte klassifikationsmærker til relevante informationsaktiver. Kontrol 5.13 omhandler, hvordan organisationer skal udvikle, implementere og administrere en robust informationsmærkningsprocedure baseret på klassifikationsskemaet vedtaget gennem Kontrol 5.12.

Forfatter
Sam Peters
Opdateret juli 25, 2025
4/5 stjerner

Formål med kontrol 5.13

5.13 er en forebyggende kontrol, der beskytter informationsaktiver mod sikkerhedsrisici ved at hjælpe organisationer med at opnå to forskellige formål:

  • Gør det nemmere at demonstrere klassificeringsniveauet for hvert informationsaktiv, når oplysningerne kommunikeres internt og eksternt, og når de tilgås og bruges af medarbejdere og tredjeparter.
  • Strømlining af processen med at automatisere informationshåndtering og -behandling.

Kontrolattributter 5.13

Kontrol type Informationssikkerhedsegenskaber Cybersikkerhedskoncepter Operationelle evner Sikkerhedsdomæner
#Forebyggende #Fortrolighed #Beskytte #Informationsbeskyttelse #Forsvar
#Integritet #Beskyttelse
#Tilgængelighed

Ejerskab af kontrol 5.13

I betragtning af, at tilføjelse af metadata til digitale aktiver er den primære måde at mærke informationsaktiver på, skal metadataadministratorer være ansvarlige for korrekt implementering af mærkningsproceduren.

Udover metadataforvalterne skal aktivejere med adgangs- og ændringsautorisationer være ansvarlige for korrekt mærkning af alle dataaktiver og skal foretage nødvendige ændringer af mærkning, hvis det er nødvendigt.



ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Et forspring på 81% fra dag ét

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang


Generel vejledning om, hvordan man overholder

Kontrol 5.13 identificerer fire specifikke trin, som organisationer bør implementere for at udføre mærkning af information i overensstemmelse med 5.13.

Udvikle og implementere en informationsmærkningsprocedure

Organisationer bør udvikle en organisationsdækkende informationsmærkningsprocedure, der overholder informationsklassifikationsskemaet, der er oprettet i overensstemmelse med kontrol 5.12.

Endvidere kræver 5.13, at denne procedure udvides til at omfatte alle informationsaktiver, uanset om de er i digitalt eller papirformat, og at etiketterne skal være lette at genkende.

Selvom der ikke er nogen grænse for, hvad dette Proceduredokument kan indeholde, angiver Kontrol 5.13, at Procedurerne mindst skal omfatte følgende:

  • Beskrivelse af metoderne til at vedhæfte etiketter til informationsaktiver afhængigt af lagringsmediet og hvordan der tilgås data.
  • Hvor etiketterne skal vedhæftes for hver type informationsaktiv.
  • Hvilke informationsaktiver vil ikke blive mærket, hvis nogen. For eksempel kan en organisation undlade at mærke offentlige data for at strømline informationsmærkningsprocessen.
  • Beskrivelse af foranstaltninger for tilfælde, hvor det ikke er muligt at mærke visse typer information på grund af tekniske, juridiske eller kontraktmæssige begrænsninger.
  • Reglerne om, hvordan mærkning af oplysninger, der sendes til interne eller eksterne parter, skal håndteres.
  • For digitale aktiver skal Proceduren forklare, hvordan metadataene skal indsættes.
  • Navne på etiketter, der skal bruges til alle aktiver.

Giv personalet tilstrækkelig træning i, hvordan man overholder mærkningsproceduren

Proceduren for mærkning af information kan kun være effektiv i det omfang, personalet og andre relevante interessenter er velinformerede om, hvordan man korrekt mærker information, og hvordan man håndterer mærkede informationsaktiver.

Derfor bør organisationer give personale og andre relevante parter træning i proceduren.

Brug metadata til mærkning af digitale informationsaktiver

5.13 kræver brug af metadata til mærkning af digitale informationsaktiver.

Endvidere bemærkes det, at metadataene bør implementeres på en måde, der gør det nemt og effektivt at identificere og søge efter information og også på en måde, der strømliner beslutningsprocessen mellem systemer relateret til mærket information.

Træf ekstra foranstaltninger for at mærke følsomme data, der kan strømme ud af systemet

I betragtning af de risici, der er forbundet med udadgående overførsel af følsomme data fra systemer, anbefaler 5.13 organisationer at mærke disse informationsaktiver med dem, der er mest passende i forhold til niveauet af kritik og følsomhed af de pågældende oplysninger.

Supplerende vejledning om kontrol 5.13

5.13 fremhæver, at identifikation og nøjagtig mærkning af klassificerede oplysninger er afgørende for sikkerheden i forbindelse med datadelingsoperationer.

Ud over de fire specifikke trin beskrevet ovenfor, anbefaler 5.13 også, at organisationer indsætter yderligere metadatapunkter såsom navnet på den proces, der skabte informationsaktivet, og tidspunktet for en sådan oprettelse.

Desuden henviser 5.13 til de almindelige mærkningsteknikker, som organisationer kan implementere:

  • Fysiske mærker
  • Headers og footers
  • Metadata
  • vandmærkning
  • Gummi-stempler

Endelig understreger 5.13, at mærkning af informationsaktiver som "fortrolige" og "klassificerede" kan have utilsigtede konsekvenser, fordi det kan gøre det lettere for ondsindede aktører at søge igennem og finde følsomme informationsaktiver.



ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Administrer al din compliance, alt på ét sted

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo


Ændringer og forskelle fra ISO 27002:2013

27002:2022/5.13 erstatter 27002:2013/8.2.2 (Mærkning af oplysninger).

Mens de to kontroller til en vis grad ligner hinanden, er der to vigtige forskelle, som gør 2022-versionen mere omfattende.

Nye krav til brug af metadata

Mens 2013-versionen omtalte metadata som en mærkningsteknik, pålagde den ingen specifikke forpligtelser for overholdelse ved brug af metadata.

I modsætning hertil stiller 2022-versionen strenge krav til, hvordan man bruger metadatateknik. For at illustrere kræver 2022-versionen, at:

  • Metadata føjes til information på en måde, der gør det nemt at identificere, administrere og opdage information på en effektiv måde.
  • Metadata for navnet på den organisatoriske proces, der skabte et bestemt aktiv, og dets tidspunkt skal indsættes.

Indholdet af informationsmærkningsproceduren skal være mere detaljeret

I modsætning til 2022-versionen specificerede 2013-versionen ikke det minimumsindhold, der skulle inkluderes i en informationsmærkningsprocedure.

Nye ISO 27002 kontroller

Ny kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.7 NY Trusselsintelligens
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.30 NY IKT-parathed til forretningskontinuitet
7.4 NY Fysisk sikkerhedsovervågning
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.16 NY Overvågning af aktiviteter
8.23 NY Webfiltrering
8.28 NY Sikker kodning
Organisatoriske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
5.1 05.1.1, 05.1.2 Politikker for informationssikkerhed
5.2 06.1.1 Informationssikkerhedsroller og -ansvar
5.3 06.1.2 Opdeling af pligter
5.4 07.2.1 Ledelsesansvar
5.5 06.1.3 Kontakt med myndigheder
5.6 06.1.4 Kontakt til særlige interessegrupper
5.7 NY Trusselsintelligens
5.8 06.1.5, 14.1.1 Informationssikkerhed i projektledelse
5.9 08.1.1, 08.1.2 Opgørelse af information og andre tilhørende aktiver
5.10 08.1.3, 08.2.3 Acceptabel brug af information og andre tilknyttede aktiver
5.11 08.1.4 Tilbagelevering af aktiver
5.12 08.2.1 Klassificering af oplysninger
5.13 08.2.2 Mærkning af information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsoverførsel
5.15 09.1.1, 09.1.2 Adgangskontrol
5.16 09.2.1 Identitetsstyring
5.17 09.2.4, 09.3.1, 09.4.3 Godkendelsesoplysninger
5.18 09.2.2, 09.2.5, 09.2.6 Adgangsrettigheder
5.19 15.1.1 Informationssikkerhed i leverandørforhold
5.20 15.1.2 Håndtering af informationssikkerhed inden for leverandøraftaler
5.21 15.1.3 Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22 15.2.1, 15.2.2 Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23 NY Informationssikkerhed til brug af cloud-tjenester
5.24 16.1.1 Planlægning og forberedelse af informationssikkerhedshændelser
5.25 16.1.4 Vurdering og beslutning om informationssikkerhedshændelser
5.26 16.1.5 Reaktion på informationssikkerhedshændelser
5.27 16.1.6 Lær af informationssikkerhedshændelser
5.28 16.1.7 Indsamling af beviser
5.29 17.1.1, 17.1.2, 17.1.3 Informationssikkerhed under afbrydelse
5.30 5.30 IKT-parathed til forretningskontinuitet
5.31 18.1.1, 18.1.5 Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32 18.1.2 Intellektuelle ejendomsrettigheder
5.33 18.1.3 Beskyttelse af optegnelser
5.34 18.1.4 Privatliv og beskyttelse af PII
5.35 18.2.1 Uafhængig gennemgang af informationssikkerhed
5.36 18.2.2, 18.2.3 Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37 12.1.1 Dokumenterede driftsprocedurer
People Controls
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansættelse
6.3 07.2.2 Informationssikkerhedsbevidsthed, uddannelse og træning
6.4 07.2.3 Disciplinær proces
6.5 07.3.1 Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6 13.2.4 Aftaler om fortrolighed eller tavshedspligt
6.7 06.2.2 Fjernbetjening
6.8 16.1.2, 16.1.3 Informationssikkerhedshændelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
7.1 11.1.1 Fysiske sikkerhedsomkredse
7.2 11.1.2, 11.1.6 Fysisk adgang
7.3 11.1.3 Sikring af kontorer, lokaler og faciliteter
7.4 NY Fysisk sikkerhedsovervågning
7.5 11.1.4 Beskyttelse mod fysiske og miljømæssige trusler
7.6 11.1.5 Arbejde i sikre områder
7.7 11.2.9 Overskueligt skrivebord og klar skærm
7.8 11.2.1 Udstyrsplacering og beskyttelse
7.9 11.2.6 Sikkerhed af aktiver uden for lokalerne
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagermedier
7.11 11.2.2 Understøttende hjælpeprogrammer
7.12 11.2.3 Kabler sikkerhed
7.13 11.2.4 Vedligeholdelse af udstyr
7.14 11.2.7 Sikker bortskaffelse eller genbrug af udstyr
Teknologisk kontrol
ISO/IEC 27002:2022 kontrolidentifikator ISO/IEC 27002:2013 kontrolidentifikator Kontrolnavn
8.1 06.2.1, 11.2.8 Bruger slutpunktsenheder
8.2 09.2.3 Privilegerede adgangsrettigheder
8.3 09.4.1 Begrænsning af informationsadgang
8.4 09.4.5 Adgang til kildekode
8.5 09.4.2 Sikker autentificering
8.6 12.1.3 Kapacitetsstyring
8.7 12.2.1 Beskyttelse mod malware
8.8 12.6.1, 18.2.3 Håndtering af tekniske sårbarheder
8.9 NY Konfigurationsstyring
8.10 NY Sletning af oplysninger
8.11 NY Datamaskering
8.12 NY Forebyggelse af datalækage
8.13 12.3.1 Sikkerhedskopiering af information
8.14 17.2.1 Redundans af informationsbehandlingsfaciliteter
8.15 12.4.1, 12.4.2, 12.4.3 Logning
8.16 NY Overvågning af aktiviteter
8.17 12.4.4 Ur synkronisering
8.18 09.4.4 Brug af privilegerede hjælpeprogrammer
8.19 12.5.1, 12.6.2 Installation af software på operativsystemer
8.20 13.1.1 Netværkssikkerhed
8.21 13.1.2 Sikkerhed af netværkstjenester
8.22 13.1.3 Adskillelse af netværk
8.23 NY Webfiltrering
8.24 10.1.1, 10.1.2 Brug af kryptografi
8.25 14.2.1 Sikker udviklingslivscyklus
8.26 14.1.2, 14.1.3 Krav til applikationssikkerhed
8.27 14.2.5 Sikker systemarkitektur og tekniske principper
8.28 NY Sikker kodning
8.29 14.2.8, 14.2.9 Sikkerhedstest i udvikling og accept
8.30 14.2.7 Udliciteret udvikling
8.31 12.1.4, 14.2.6 Adskillelse af udviklings-, test- og produktionsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Forandringsledelse
8.33 14.3.1 Testinformation
8.34 12.7.1 Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.

Vores platform er intuitiv og nem at bruge. Det er ikke kun for meget tekniske mennesker; det er for alle i din organisation. Vi opfordrer dig til at involvere medarbejdere på alle niveauer af din virksomhed i processen med at opbygge din ismer, fordi det hjælper dig med at bygge et virkelig bæredygtigt system.

Kontakt i dag for book en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder udviklingen af ​​alle produktfunktioner og funktionalitet. Sam er ekspert inden for mange områder af overholdelse og arbejder med kunder på alle skræddersyede eller storskala projekter.

Tag en virtuel rundvisning

Start din gratis 2-minutters interaktive demo nu og se
ISMS.online i aktion!

Prøv det nu
platformsdashboard fuldt på krystal

Vi er førende inden for vores felt

4/5 stjerner
Brugere elsker os
Leder - Efterår 2025
Højtydende, små virksomheder - Efterår 2025 Storbritannien
Regional leder - Efterår 2025 Europa
Regional leder - Efterår 2025 EMEA
Regional leder - Efterår 2025 Storbritannien
Højtydende - Efterår 2025 Europa Mellemmarked

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

— Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

— Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

— Ben H.