- Se ISO 27002:2022 Kontroll 5.12 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 8.2.1 for mer informasjon.
Bygge et sterkere ISMS med informasjonsklassifisering – ISO 27001:2022 vedlegg A 5.12
Klassifiseringen av informasjon er en grunnleggende prosess som gjør det mulig for organisasjoner å gruppere informasjonsmidlene sine i relevante kategorier basert på deres nødvendige beskyttelsesnivå.
Ifølge ISO 27001: 2022 Vedlegg A 5.1.2 må informasjon klassifiseres basert på ulike faktorer, inkludert juridiske krav, verdi, kritikkverdighet og følsomhet for uautorisert avsløring eller modifikasjon. Denne klassifiseringen bør utformes for å gjenspeile den unike forretningsaktiviteten til organisasjonen uten å hindre eller komplisere den.
For eksempel må informasjon beregnet på offentlig forbruk være passende merket, mens konfidensielle eller kommersielt sensitive data må gis en høyere grad av sikkerhet. Det er avgjørende å merke seg at klassifiseringen av informasjon er blant de viktigste kontrollene i vedlegg A til sikre at organisatoriske eiendeler er beskyttet.
Formål med ISO 27001:2022 vedlegg A 5.12
Vedlegg A Kontroll 5.12 er en forebyggende kontroll som gjør det mulig for organisasjoner å identifisere risikoer ved å bestemme passende beskyttelsesnivå for hver informasjonsaktiva basert på dens betydning og sensitivitet.
I tilleggsveiledningen advarer vedlegg A kontroll 5.12 eksplisitt mot over- eller underklassifisering av informasjon. Organisasjoner må vurdere kravene til konfidensialitet, tilgjengelighet og integritet når de tilordner eiendeler til sine respektive kategorier. Dette er med på å sikre at klassifiseringsordningen balanserer virksomhetens behov for informasjon og sikkerhetskravene for hver informasjonskategori.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Eierskap til vedlegg A 5.12
Selv om det er viktig å etablere en klassifiseringsordning for informasjonsmidler i hele organisasjonen, er det til syvende og sist eiernes ansvar å sørge for at den implementeres riktig.
I henhold til ISO 27001:2022 vedlegg A 5.12, må de med relevante informasjonsressurser holdes ansvarlige. For eksempel bør regnskapsavdelingen klassifisere informasjon basert på den organisasjonsomfattende klassifiseringsordningen ved tilgang til mapper som inneholder lønnsrapporter og kontoutskrifter.
Ved klassifisering av informasjon er det avgjørende for eiendeler å vurdere virksomhetens behov og potensiell innvirkning som et kompromittering av informasjon kan ha på organisasjonen. I tillegg bør de ta hensyn til informasjonens viktighet og sensitivitetsnivåer.
Generell veiledning for ISO 27001:2022 vedlegg A 5.12
For å lykkes med å implementere et robust informasjonsklassifiseringssystem, bør organisasjoner ta en aktuell tilnærming, vurdere hver forretningsenhets spesifikke informasjonsbehov, og evaluere nivået av sensitivitet og kritiskhet til informasjonen.
I henhold til vedlegg A, kontroll 5.12, må organisasjoner evaluere følgende syv kriterier når de implementerer et klassifiseringsskjema:
Etabler en emnespesifikk policy og adresser spesifikke forretningsbehov
Vedlegg A kontroll 5.12 i styringssystem for informasjonssikkerhet viser til vedlegg A Kontroll 5.1, som gjelder tilgangskontroll. Den pålegger at organisasjoner overholder emnespesifikke retningslinjer fastsatt i vedlegg A Kontroll 5.1. I tillegg bør klassifiseringsordningen og nivåene ta hensyn til spesifikke forretningsbehov ved klassifisering av informasjonsmidler.
Organisasjoner må vurdere sine forretningsbehov for deling og bruk av informasjon, samt behovet for tilgjengelighet av slik informasjon. Klassifisering av et informasjonselement kan imidlertid forstyrre kritiske forretningsfunksjoner ved å begrense tilgang til og bruk av informasjon.
Derfor bør organisasjoner balansere sine spesifikke forretningsbehov for tilgjengelighet og bruk av data og kravet om å opprettholde konfidensialiteten og integriteten til denne informasjonen.
Vurder juridiske forpliktelser
Spesifikke lover kan kreve at organisasjoner legger vekt på å ivareta konfidensialitet, integritet og tilgjengelighet til informasjon. Derfor bør juridiske forpliktelser prioriteres fremfor organisasjonens interne klassifisering ved kategorisering av informasjonsmidler.
Vedta en risikobasert tilnærming og vurdere den potensielle effekten av et sikkerhetsbrudd eller kompromiss informasjonskapasitet er tilrådelig. Dette vil bidra til å prioritere og implementere passende sikkerhetstiltak for å redusere identifiserte risikoer.
Hver form for informasjon har et unikt betydningsnivå for en organisasjons funksjoner og har varierende grad av sensitivitet avhengig av de spesielle omstendighetene.
Når en organisasjon implementerer en informasjonsklassifiseringsordning, bør den vurdere den potensielle innvirkningen det kan ha på organisasjonen å kompromittere informasjonens konfidensialitet, integritet eller tilgjengelighet.
For eksempel vil sensitiviteten og potensielle virkningen av en database som inneholder profesjonelle e-postadresser til kvalifiserte potensielle kunder være svært forskjellig fra ansattes helsejournaler. Derfor bør organisasjonen nøye vurdere beskyttelsesnivået som hver informasjonskategori krever og allokere ressurser deretter.
Regelmessig oppdatering og gjennomgang av klassifiseringen
Vedlegg A Kontroll 5.12 anerkjenner at informasjonens verdi, viktighet og sensitivitetsnivå kan endres over tid etter hvert som dataene går gjennom livssyklusen. Som et resultat må organisasjoner jevnlig gjennomgå klassifiseringen av informasjon og foreta nødvendige oppdateringer.
ISO 27001 vedlegg A Kontroll 5.12 gjelder å redusere verdien og sensitiviteten til informasjonen i betydelig grad.
Det er viktig å rådføre seg med andre organisasjoner med deg for å dele informasjon og løse eventuelle ulikheter.
Hver organisasjon kan ha distinkt terminologi, nivåer og standarder for sine informasjonsklassifiseringssystemer
Avvik i informasjonsklassifisering mellom organisasjoner kan føre til potensielle risikoer ved utveksling av informasjonsmidler.
Organisasjoner må samarbeide med sine motparter for å etablere en konsensus for å sikre enhetlighet i informasjonsklassifisering og konsistent tolkning av klassifiseringsnivåer for å redusere slike risikoer.
Konsistens på organisasjonsnivå
Hver avdeling i en organisasjon må ha en felles forståelse av klassifiseringsnivåer og protokoller for å sikre enhetlighet i klassifiseringer på tvers av hele organisasjonen.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Veiledning om hvordan man implementerer ordningen for klassifisering av informasjon
Mens vedlegg A 5.12 erkjenner at det ikke er noe universelt anvendelig klassifiseringssystem og organisasjoner har fleksibiliteten til å etablere og definere sine klassifiseringsnivåer, illustrerer det et informasjonsklassifiseringssystem:
- Avsløring forårsaker ingen skade.
- Avsløring forårsaker mindre omdømmeskade eller mindre driftsmessig påvirkning.
- Offentliggjøring har en betydelig kortsiktig innvirkning på drift eller forretningsmål.
- Avsløring har alvorlig innvirkning på langsiktige forretningsmål eller risikerer organisasjonens overlevelse.
Endringer og forskjeller fra ISO 27002:2013
Vedlegg A 8.2.1 i forrige versjon omhandlet klassifisering av informasjon.
Mens de to versjonene er ganske like, er det to hovedforskjeller:
- For det første nevnte ikke forrige versjon behovet for konsistens i klassifiseringsnivåer når informasjon deles mellom organisasjoner. ISO 27001:2022 krever imidlertid at organisasjoner samarbeider med sine kolleger for å sikre enhetlighet i informasjonsklassifisering og forståelse.
- For det andre krever den oppdaterte versjonen eksplisitt at organisasjoner utvikler retningslinjer skreddersydd for spesifikke emner. Bare en kort henvisning til tilgangskontroll ble gjort i den eldre versjonen.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan ISMS.online Hjelp
Våre plattformen er designet for å være brukervennlig og grei, henvender seg til svært tekniske personer og alle ansatte i organisasjonen din.
Vi tar til orde for å involvere ansatte på alle nivåer i virksomheten i å konstruere ditt ISMS, da det hjelper til med å etablere et bærekraftig system.
Finn ut mer av bestille en demo.
