- Se ISO 27002:2022 Kontroll 5.13 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 8.2.2 for mer informasjon.
Rollen til merking i ISO 27001:2022 – vedlegg A 5.13 forklart
Organisasjoner søker klassifiseringsetiketter til relevant informasjon eiendeler for å implementere deres informasjonsklassifiseringsordning.
Etter organisasjonens vedtatte informasjonsklassifiseringsskjema, definerer ISO 27001:2022 Annex A 5.13 et sett med prosedyrer for informasjonsmerking.
I tillegg til å identifisere fysiske og elektroniske eiendeler, må det utvikles prosedyrer for å identifisere informasjon som gjenspeiler klassifiseringsordningen beskrevet i 5.12.
Gjør etiketter enkle å gjenkjenne og administrere; ellers vil de ikke bli fulgt. I stedet for å få ansatte til å merke hver CRM-oppdatering med en kommersiell fortrolighetserklæring, kan det være lettere å bestemme de facto at alt i de digitale systemene er konfidensielt med mindre annet er uttrykkelig merket!
Ved å bruke klassifiseringsskjemaet som er vedtatt i vedlegg A-kontroll 5.12, beskriver vedlegg A-kontroll 5.13 hvordan organisasjoner bør utvikle, implementere og administrere en robust informasjonsmerkingsprosedyre.
Hva er formålet med ISO 27001:2022 vedlegg A 5.13?
Formålet med vedlegg A 5.13 er todelt; for å beskytte informasjonsressurser mot sikkerhetsrisikoer:
- Informasjonsmidler kan klassifiseres på en enkel måte når de kommuniseres internt og eksternt. Dette er når ansatte og tredjeparter kan få tilgang til og bruke informasjonen.
- Informasjonsbehandling og -administrasjon kan strømlinjeformes gjennom automatisering.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hvem har eierskap til vedlegg A 5.13?
Informasjonsressurser kan merkes ved å legge til metadata, så metadataforvaltere må være ansvarlige for å implementere merkeprosessen på riktig måte.
Alle dataelementer må merkes på riktig måte, og eiere av eiendeler må gjøre endringer i merking med tilgangs- og endringsautorisasjoner.
Generelle retningslinjer for hvordan du overholder ISO 27001:2022 vedlegg A 5.13
Ved å bruke vedlegg A-kontroll 5.13 kan organisasjoner merke informasjon i samsvar med fire spesifikke trinn.
Etabler en prosedyre for merking av informasjon
Informasjonsklassifiseringsskjemaet opprettet i henhold til vedlegg A, kontroll 5.12, bør følges av organisasjonenes informasjonsmerkingsprosedyrer.
5.13 krever også at denne prosedyren gjelder for alle informasjonsressurser, enten digitale eller papir, og at etikettene må være lett gjenkjennelige.
Det er ingen grense for hva dette prosedyredokumentet kan inneholde, men vedlegg A Kontroll 5.13 krever at prosedyrene inkluderer følgende:
- En forklaring på metodene for å feste etiketter til informasjonsressurser basert på typen lagringsmedium og hvordan dataene aksesseres.
- For hver type informasjonselement, hvor etikettene skal festes.
- For eksempel kan en organisasjon utelate å publisere offentlige data som en del av informasjonsmerkingsprosessen.
- Tekniske, juridiske eller kontraktsmessige begrensninger forhindrer merking av visse typer informasjon.
- Regler styrer hvordan informasjon skal merkes når den overføres internt eller eksternt.
- Instruksjoner bør følge med digitale eiendeler om hvordan du setter inn metadata.
- Alle eiendeler skal merkes med samme navn.
Gi de ansatte tilstrekkelig opplæring i merkeprosedyrer
Personell og andre relevante interessenter må forstå hvordan merke informasjon riktig og administrere merket informasjonsressurser før prosedyren for merkingsinformasjon kan tre i kraft.
Som et resultat bør organisasjoner lære opp ansatte og andre relevante parter om prosedyren.
Digitale informasjonsressurser bør merkes med metadata
Digitale informasjonsressurser må merkes ved hjelp av metadata i henhold til 5.13.
Metadatadistribusjon bør også gjøre det lettere å identifisere og søke etter informasjon og effektivisere beslutningstaking mellom systemer knyttet til merket informasjon.
Ekstra forholdsregler bør tas for å merke sensitive data som kan forlate systemet
Vedlegg A 5.13-anbefalingen fokuserer på å identifisere den mest passende etiketten for utad overføringer av kritisk og sensitiv informasjon eiendeler, tatt i betraktning de involverte risikoene.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Vedlegg A 5.13 Supplerende veiledning
For at datadelingsoperasjoner skal være sikre, er det viktig å nøyaktig identifisere og merke klassifisert informasjon.
Vedlegg A 5.13 anbefaler også at organisasjoner legger inn flere metadatapunkter. Dette vil si navnet på prosessen som skapte informasjonselementet og tidspunktet da det ble opprettet.
I tillegg beskriver vedlegg A 5.13 standard merketeknikker som organisasjoner kan bruke:
- Fysiske merker
- Headers og footers
- metadata
- vannmerking
- Gummi-stempler
Til slutt understreker vedlegg A 5.13 at merking av informasjonsressurser som "konfidensiell" og "klassifisert" kan ha utilsiktede konsekvenser. Dette kan gjøre det lettere for ondsinnede aktører å oppdage og finne sensitive informasjonsressurser.
Hva er endringene og forskjellene fra ISO 27001:2013?
ISO 27001: 2022 Vedlegg A 5.13 erstatter ISO 27001:2013 vedlegg A 8.2.2 (Merking av informasjon).
Begge vedlegg A-kontrollene er til en viss grad like, men to viktige forskjeller gjør ISO 27001:2022-versjonen mer omfattende.
Bruk av metadata har vært nødvendig for å møte nye krav
Mens 2013-versjonen refererte til metadata som en merketeknikk, påla den ingen spesifikke forpliktelser for samsvar ved bruk av metadata.
I kontrast inneholder 2022-versjonen forskjeller og endringer fra ISO 27001:2013.
Bruk av metadata er nå et krav
I 2013 ble metadata omtalt som en merketeknikk, men det ble ikke pålagt spesifikke samsvarsforpliktelser.
I motsetning til dette har 2022-versjonen strenge krav til metadatateknikker. For eksempel krever 2022-versjonen følgende:
- Å legge til metadata til informasjon letter identifikasjon, administrasjon og oppdagelse.
- Det er nødvendig å sette inn metadata for navnet og datoen for prosessen som opprettet eiendelen.
Det er nødvendig å gi flere detaljer i prosedyren for informasjonsmerking
Informasjonsmerkingsprosedyrer i 2013-versjonen var ikke pålagt å inkludere minimumsinnholdet som i 2022-versjonen.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan ISMS.online hjelper
Implementerer ISO 27001 er enklere med vår trinnvise sjekkliste, som veileder deg fra å definere omfanget av ditt ISMS gjennom risikoidentifikasjon og vedlegg A kontrollimplementering.
Ved hjelp av plattformen vår er intuitivt og enkelt. Det er ikke bare for svært tekniske ansatte, men alle i bedriften din. Vi oppfordrer deg til å involvere hele arbeidsstyrken din i å bygge din ISMS, da det hjelper deg å bygge et virkelig bærekraftig system.
Ta kontakt i dag for å bestill en demo.
