ISO 27001:2022 Vedlegg A Kontroll 5.12

Klassifisering av informasjon

Bestill en demonstrasjon

ung,bedrift,kolleger,jobber,på,et,opptatt,åpent,plan,kontor

Klassifiseringen av informasjon er en grunnleggende prosess som gjør det mulig for organisasjoner å gruppere informasjonsmidlene sine i relevante kategorier basert på deres nødvendige beskyttelsesnivå.

Ifølge ISO 27001: 2022 Vedlegg A 5.1.2 må informasjon klassifiseres basert på ulike faktorer, inkludert juridiske krav, verdi, kritikkverdighet og følsomhet for uautorisert avsløring eller modifikasjon. Denne klassifiseringen bør utformes for å gjenspeile den unike forretningsaktiviteten til organisasjonen uten å hindre eller komplisere den.

For eksempel må informasjon beregnet på offentlig forbruk være passende merket, mens konfidensielle eller kommersielt sensitive data må gis en høyere grad av sikkerhet. Det er avgjørende å merke seg at klassifiseringen av informasjon er blant de viktigste kontrollene i vedlegg A til sikre at organisatoriske eiendeler er beskyttet.

Formål med ISO 27001:2022 vedlegg A 5.12

Vedlegg A Kontroll 5.12 er en forebyggende kontroll som gjør det mulig for organisasjoner å identifisere risikoer ved å bestemme passende beskyttelsesnivå for hver informasjonsaktiva basert på dens betydning og sensitivitet.

I tilleggsveiledningen advarer vedlegg A kontroll 5.12 eksplisitt mot over- eller underklassifisering av informasjon. Organisasjoner må vurdere kravene til konfidensialitet, tilgjengelighet og integritet når de tilordner eiendeler til sine respektive kategorier. Dette er med på å sikre at klassifiseringsordningen balanserer virksomhetens behov for informasjon og sikkerhetskravene for hver informasjonskategori.

Eierskap til vedlegg A 5.12

Selv om det er viktig å etablere en klassifiseringsordning for informasjonsmidler i hele organisasjonen, er det til syvende og sist eiernes ansvar å sørge for at den implementeres riktig.

I henhold til ISO 27001:2022 vedlegg A 5.12, må de med relevante informasjonsressurser holdes ansvarlige. For eksempel bør regnskapsavdelingen klassifisere informasjon basert på den organisasjonsomfattende klassifiseringsordningen ved tilgang til mapper som inneholder lønnsrapporter og kontoutskrifter.

Ved klassifisering av informasjon er det avgjørende for eiendeler å vurdere virksomhetens behov og potensiell innvirkning som et kompromittering av informasjon kan ha på organisasjonen. I tillegg bør de ta hensyn til informasjonens viktighet og sensitivitetsnivåer.

Gå til emnet
Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

Generell veiledning for ISO 27001:2022 vedlegg A 5.12

For å lykkes med å implementere et robust informasjonsklassifiseringssystem, bør organisasjoner ta en aktuell tilnærming, vurdere hver forretningsenhets spesifikke informasjonsbehov, og evaluere nivået av sensitivitet og kritiskhet til informasjonen.

I henhold til vedlegg A, kontroll 5.12, må organisasjoner evaluere følgende syv kriterier når de implementerer et klassifiseringsskjema:

Etabler en emnespesifikk policy og adresser spesifikke forretningsbehov

Vedlegg A kontroll 5.12 i styringssystem for informasjonssikkerhet viser til vedlegg A Kontroll 5.1, som gjelder tilgangskontroll. Den pålegger at organisasjoner overholder emnespesifikke retningslinjer fastsatt i vedlegg A Kontroll 5.1. I tillegg bør klassifiseringsordningen og nivåene ta hensyn til spesifikke forretningsbehov ved klassifisering av informasjonsmidler.

Organisasjoner må vurdere sine forretningsbehov for deling og bruk av informasjon, samt behovet for tilgjengelighet av slik informasjon. Klassifisering av et informasjonselement kan imidlertid forstyrre kritiske forretningsfunksjoner ved å begrense tilgang til og bruk av informasjon.

Derfor bør organisasjoner balansere sine spesifikke forretningsbehov for tilgjengelighet og bruk av data og kravet om å opprettholde konfidensialiteten og integriteten til denne informasjonen.

Vurder juridiske forpliktelser

Spesifikke lover kan kreve at organisasjoner legger vekt på å ivareta konfidensialitet, integritet og tilgjengelighet til informasjon. Derfor bør juridiske forpliktelser prioriteres fremfor organisasjonens interne klassifisering ved kategorisering av informasjonsmidler.

Vedta en risikobasert tilnærming og vurdere den potensielle effekten av et sikkerhetsbrudd eller kompromiss informasjonskapasitet er tilrådelig. Dette vil bidra til å prioritere og implementere passende sikkerhetstiltak for å redusere identifiserte risikoer.

Hver form for informasjon har et unikt betydningsnivå for en organisasjons funksjoner og har varierende grad av sensitivitet avhengig av de spesielle omstendighetene.

Når en organisasjon implementerer en informasjonsklassifiseringsordning, bør den vurdere den potensielle innvirkningen det kan ha på organisasjonen å kompromittere informasjonens konfidensialitet, integritet eller tilgjengelighet.

For eksempel vil sensitiviteten og potensielle virkningen av en database som inneholder profesjonelle e-postadresser til kvalifiserte potensielle kunder være svært forskjellig fra ansattes helsejournaler. Derfor bør organisasjonen nøye vurdere beskyttelsesnivået som hver informasjonskategori krever og allokere ressurser deretter.

Regelmessig oppdatering og gjennomgang av klassifiseringen

Vedlegg A Kontroll 5.12 anerkjenner at informasjonens verdi, viktighet og sensitivitetsnivå kan endres over tid etter hvert som dataene går gjennom livssyklusen. Som et resultat må organisasjoner jevnlig gjennomgå klassifiseringen av informasjon og foreta nødvendige oppdateringer.

ISO 27001 vedlegg A Kontroll 5.12 gjelder å redusere verdien og sensitiviteten til informasjonen i betydelig grad.

Det er viktig å rådføre seg med andre organisasjoner med deg for å dele informasjon og løse eventuelle ulikheter.

Hver organisasjon kan ha distinkt terminologi, nivåer og standarder for sine informasjonsklassifiseringssystemer

Avvik i informasjonsklassifisering mellom organisasjoner kan føre til potensielle risikoer ved utveksling av informasjonsmidler.

Organisasjoner må samarbeide med sine motparter for å etablere en konsensus for å sikre enhetlighet i informasjonsklassifisering og konsistent tolkning av klassifiseringsnivåer for å redusere slike risikoer.

Konsistens på organisasjonsnivå

Hver avdeling i en organisasjon må ha en felles forståelse av klassifiseringsnivåer og protokoller for å sikre enhetlighet i klassifiseringer på tvers av hele organisasjonen.

Veiledning om hvordan man implementerer ordningen for klassifisering av informasjon

Mens vedlegg A 5.12 erkjenner at det ikke er noe universelt anvendelig klassifiseringssystem og organisasjoner har fleksibiliteten til å etablere og definere sine klassifiseringsnivåer, illustrerer det et informasjonsklassifiseringssystem:

  • Avsløring forårsaker ingen skade.

  • Avsløring forårsaker mindre omdømmeskade eller mindre driftsmessig påvirkning.

  • Offentliggjøring har en betydelig kortsiktig innvirkning på drift eller forretningsmål.

  • Avsløring har alvorlig innvirkning på langsiktige forretningsmål eller risikerer organisasjonens overlevelse.

Endringer og forskjeller fra ISO 27002:2013

Vedlegg A 8.2.1 i forrige versjon omhandlet klassifisering av informasjon.

Mens de to versjonene er ganske like, er det to hovedforskjeller:

  1. For det første nevnte ikke forrige versjon behovet for konsistens i klassifiseringsnivåer når informasjon deles mellom organisasjoner. ISO 27001:2022 krever imidlertid at organisasjoner samarbeider med sine kolleger for å sikre enhetlighet i informasjonsklassifisering og forståelse.

  2. For det andre krever den oppdaterte versjonen eksplisitt at organisasjoner utvikler retningslinjer skreddersydd for spesifikke emner. Bare en kort henvisning til tilgangskontroll ble gjort i den eldre versjonen.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 Vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online Hjelp

Vår plattformen er designet for å være brukervennlig og grei, henvender seg til svært tekniske personer og alle ansatte i organisasjonen din.

Vi tar til orde for å involvere ansatte på alle nivåer i virksomheten i å konstruere ditt ISMS, da det hjelper til med å etablere et bærekraftig system.

Finn ut mer av bestille en demo.

Jeg har gjort ISO 27001 på den harde måten, så jeg setter stor pris på hvor mye tid det sparte oss for å oppnå ISO 27001-sertifisering.

Carl Vaughan
Infosec-leder, MetCloud

Bestill demoen din

100 % ISO 27001 suksess

Din enkle, praktiske og tidsbesparende vei til første gangs ISO 27001-overholdelse eller sertifisering

Bestill demoen din
Metode for sikrede resultater

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer