Hvad kræver kontrol A.3.6?
Et passende sæt procedurer for informationsmærkning, der tager højde for personligt identificerbare oplysninger, skal udvikles og implementeres i overensstemmelse med den informationsklassificeringsordning, som organisationen har vedtaget.
Denne kontrol ligger inden for delte sikkerhedskontroller (Tabel A.3) og arbejder direkte med A.3.5 (Klassificering)Klassificering tildeler et følsomhedsniveau; mærkning gør dette niveau synligt for alle, der håndterer informationen.
Hvad siger implementeringsvejledningen?
Bilag B (afsnit B.3.6) indeholder fokuseret vejledning:
- Sørg for, at personer under organisationens kontrol er opmærksom på definitionen af personoplysninger og hvordan man genkender oplysninger, der er personoplysninger
- Mærkningsprocedurer bør dække alle formater: digitale filer, fysiske dokumenter, e-mails, databaser, lagringsmedier og systemgrænseflader
- Etiketter skal være klare, ensartede og i overensstemmelse med den klassificeringsordning, der er defineret under A.3.5 Klassificering af oplysninger
- Hvor der anvendes automatiserede mærkningsværktøjer, bør de konfigureres til at identificere og mærke personligt identificerbare oplysninger korrekt
- Se også A.3.20: Lagringsmedier for relaterede krav
- Se også A.3.21: Sikker bortskaffelse eller genbrug af udstyr for relaterede krav
Vejledningen er bevidst kortfattet, fordi den centrale udfordring ikke er teknisk, men adfærdsmæssig: folk har brug for at vide, hvordan personoplysninger ser ud, og hvordan de skal mærkes korrekt. Uden denne bevidsthed vil selv den bedste klassificeringsordning ikke blive anvendt konsekvent.
Hvordan relaterer dette sig til GDPR?
Kontrol A.3.6 knytter sig til GDPR Artikel 5(1)(f) (integritet og fortrolighed). GDPR foreskriver ikke specifikke mærkningskrav, men princippet om passende tekniske og organisatoriske foranstaltninger omfatter at synliggøre informationsfølsomhed, så den kan håndteres korrekt. Mærkning understøtter den praktiske implementering af databeskyttelse gennem design og som standard (artikel 25).
Hvordan hænger dette sammen med ISO 29100-principperne for privatlivsbeskyttelse?
Som en delt sikkerhedskontrol understøtter A.3.6 den bredere ISO 29100 ramme. Ensartet mærkning af aktiver, der indeholder personoplysninger, er en praktisk implementering af informationssikkerhedsprincippet, der sikrer, at alle, der håndterer oplysninger, kan identificere deres følsomhed med et hurtigt blik og anvende de korrekte håndteringsprocedurer.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvilken dokumentation forventer revisorer?
Ved vurdering af overholdelse af A.3.6 vil revisorer typisk se efter:
- Mærkningsprocedurer — Dokumenterede procedurer, der beskriver, hvordan oplysninger (herunder personoplysninger) skal mærkes på tværs af alle formater
- Overensstemmelse med klassificering — Dokumentation for, at mærkningen er i overensstemmelse med den klassificeringsordning, der er defineret i henhold til A.3.5 Klassificering af oplysninger
- Træning og bevidsthed — Bevis for, at personalet ved, hvad personoplysninger er, hvordan man genkender dem, og hvordan man mærker dem korrekt
- Stikprøvekontroller — Stikprøvedokumentation for mærkning i praksis: dokumenter med korrekte klassificeringsmarkeringer, databaser med PII-flag, e-mails med følsomhedsmærkninger
- Automatiseret mærkning — Hvor der anvendes værktøjer, dokumentation for konfiguration og periodisk validering af, at automatiserede etiketter er nøjagtige
Hvad er de relaterede kontroller?
| kontrol | Relationship |
|---|---|
| A.3.5 Klassificering af oplysninger | Mærkning implementerer klassificeringsskemaet ved at synliggøre følsomhedsniveauer |
| A.3.7 Informationsoverførsel | Etiketter hjælper med at håndhæve overførselsregler ved at gøre det klart, hvilke oplysninger der kræver yderligere sikkerhedsforanstaltninger under overførsel |
| A.3.3 Politikker for informationssikkerhed | Mærkningsprocedurer bør henvises til eller udledes af informationssikkerhedspolitikken. |
| A.3.8 Identitetsstyring | Mærkede oplysninger kan bruges til at håndhæve adgangsbegrænsninger via identitetsstyringssystemer |
| A.3.4 Roller og ansvarsområder | Informationsejere er ansvarlige for at sikre, at deres aktiver er korrekt mærket |
Hvad har ændret sig fra ISO 27701:2019?
For en trinvis fremgangsmåde, se Overgangen fra 2019 til 2025.
I 2019-udgaven var dette krav dækket under punkt 6.5.2.2. Indholdet er uændret. Omstruktureringen i 2025 placerer mærkning sammen med klassificering i de delte sikkerhedskontroller, hvilket understreger, at de to fungerer som et par. Implementeringsvejledningen i B.3.6 bevarer kernebudskabet: sørg for, at folk kan genkende personoplysninger og vide, hvordan de skal mærkes. Se Bilag F korrespondancetabel for den fulde kortlægning.
Kom nemt i gang med en personlig produktdemo
En af vores onboarding-specialister vil guide dig gennem vores platform for at hjælpe dig med at komme godt i gang med selvtillid.
Hvorfor vælge ISMS.online til informationsmærkning?
ISMS.online hjælper dig med at implementere og vedligeholde ensartet mærkning på tværs af din organisation:
- Mærkning af aktiver — Mærk alle informationsaktiver i registret med deres klassificeringsniveau og PII-status, hvilket skaber én enkelt sandhedskilde
- Skabeloner til mærkningsprocedurer — Brug præbyggede procedureskabeloner, der dækker digital, fysisk og e-mail-mærkning, og tilpas derefter til dit miljø
- Trænings- og oplysningskampagner — Distribuer mærkningsvejledning til alt personale og spor, hvem der har gennemført træningen
- Overholdelseskontrol — Registrer resultaterne af stikprøvekontroller og -gennemgange af mærkningen, og kobling af resultaterne til korrigerende handlinger, hvor det er nødvendigt
- Integration med klassificering — Klassificeringsniveauer og etiketter administreres samlet, hvilket sikrer overensstemmelse mellem, hvad ordningen siger, og hvilke etiketter der rent faktisk anvendes
Ofte Stillede Spørgsmål
Hvilke mærkningsmetoder er acceptable?
Enhver metode, der gør klassificeringsniveauet synligt og handlingsrettet. For digitale dokumenter kan dette være header-/fodtekstmarkeringer, metadatatags eller følsomhedsmærkater i e-mail og samarbejdsværktøjer (f.eks. Microsoft Purview Information Protection). For fysiske dokumenter fungerer trykte klassificeringsmarkeringer eller farvekodede mapper godt. For databaser og systemer kan mærkater anvendes via metadatafelter eller adgangskontroltags.
Hvordan sikrer vi, at folk genkender personoplysninger?
Angiv klare definitioner og eksempler i dine træningsmaterialer. Personoplysninger omfatter åbenlyse identifikatorer som navne, e-mailadresser og nationale ID-numre, men også mindre åbenlyse data, der kan identificere en person i kombination, såsom stillingsbetegnelse, afdeling og lokation. Brug eksempler fra den virkelige verden fra dine egne systemer (anonymiseret) for at hjælpe folk med at genkende personoplysninger i kontekst. Regelmæssig opfriskningstræning holder bevidstheden opdateret.
Skal automatiseret mærkning erstatte manuel mærkning?
Automatiserede mærkningsværktøjer kan forbedre konsistensen betydeligt og reducere byrden for enkeltpersoner, især i forbindelse med mærkning af e-mails og dokumenter. De bør dog supplere snarere end erstatte menneskelig vurdering. Automatiserede værktøjer identificerer muligvis ikke alle personoplysninger korrekt, især i ustruktureret indhold. En kombination af automatiseret standardmærkning med manuel tilsidesættelsesfunktion og periodisk validering er den mest praktiske tilgang.
Se vores vejledning om krav til revisionsbeviser hvad revisorerne forventer.
