ISO 27001:2022 Vedlegg A Kontroll 5.13

Merking av informasjon

Bestill en demonstrasjon

gruppe,med,glade,kolleger,diskuterer,i,konferanse,rom

Organisasjoner søker klassifiseringsetiketter til relevant informasjon eiendeler for å implementere deres informasjonsklassifiseringsordning.

Etter organisasjonens vedtatte informasjonsklassifiseringsskjema, definerer ISO 27001:2022 Annex A 5.13 et sett med prosedyrer for informasjonsmerking.

I tillegg til å identifisere fysiske og elektroniske eiendeler, må det utvikles prosedyrer for å identifisere informasjon som gjenspeiler klassifiseringsordningen beskrevet i 5.12.

Gjør etiketter enkle å gjenkjenne og administrere; ellers vil de ikke bli fulgt. I stedet for å få ansatte til å merke hver CRM-oppdatering med en kommersiell fortrolighetserklæring, kan det være lettere å bestemme de facto at alt i de digitale systemene er konfidensielt med mindre annet er uttrykkelig merket!

Ved å bruke klassifiseringsskjemaet som er vedtatt i vedlegg A-kontroll 5.12, beskriver vedlegg A-kontroll 5.13 hvordan organisasjoner bør utvikle, implementere og administrere en robust informasjonsmerkingsprosedyre.

Hva er formålet med ISO 27001:2022 vedlegg A 5.13?

Formålet med vedlegg A 5.13 er todelt; for å beskytte informasjonsressurser mot sikkerhetsrisikoer:

  • Informasjonsmidler kan klassifiseres på en enkel måte når de kommuniseres internt og eksternt. Dette er når ansatte og tredjeparter kan få tilgang til og bruke informasjonen.

  • Informasjonsbehandling og -administrasjon kan strømlinjeformes gjennom automatisering.

Hvem har eierskap til vedlegg A 5.13?

Informasjonsressurser kan merkes ved å legge til metadata, så metadataforvaltere må være ansvarlige for å implementere merkeprosessen på riktig måte.

Alle dataelementer må merkes på riktig måte, og eiere av eiendeler må gjøre endringer i merking med tilgangs- og endringsautorisasjoner.

Gå til emnet

Generelle retningslinjer for hvordan du overholder ISO 27001:2022 vedlegg A 5.13

Ved å bruke vedlegg A-kontroll 5.13 kan organisasjoner merke informasjon i samsvar med fire spesifikke trinn.

Etabler en prosedyre for merking av informasjon

Informasjonsklassifiseringsskjemaet opprettet i henhold til vedlegg A, kontroll 5.12, bør følges av organisasjonenes informasjonsmerkingsprosedyrer.

5.13 krever også at denne prosedyren gjelder for alle informasjonsressurser, enten digitale eller papir, og at etikettene må være lett gjenkjennelige.

Det er ingen grense for hva dette prosedyredokumentet kan inneholde, men vedlegg A Kontroll 5.13 krever at prosedyrene inkluderer følgende:

  • En forklaring på metodene for å feste etiketter til informasjonsressurser basert på typen lagringsmedium og hvordan dataene aksesseres.

  • For hver type informasjonselement, hvor etikettene skal festes.

  • For eksempel kan en organisasjon utelate å publisere offentlige data som en del av informasjonsmerkingsprosessen.

  • Tekniske, juridiske eller kontraktsmessige begrensninger forhindrer merking av visse typer informasjon.

  • Regler styrer hvordan informasjon skal merkes når den overføres internt eller eksternt.

  • Instruksjoner bør følge med digitale eiendeler om hvordan du setter inn metadata.

  • Alle eiendeler skal merkes med samme navn.

Gi de ansatte tilstrekkelig opplæring i merkeprosedyrer

Personell og andre relevante interessenter må forstå hvordan merke informasjon riktig og administrere merket informasjonsressurser før prosedyren for merkingsinformasjon kan tre i kraft.

Som et resultat bør organisasjoner lære opp ansatte og andre relevante parter om prosedyren.

Digitale informasjonsressurser bør merkes med metadata

Digitale informasjonsressurser må merkes ved hjelp av metadata i henhold til 5.13.

Metadatadistribusjon bør også gjøre det lettere å identifisere og søke etter informasjon og effektivisere beslutningstaking mellom systemer knyttet til merket informasjon.

Ekstra forholdsregler bør tas for å merke sensitive data som kan forlate systemet

Vedlegg A 5.13-anbefalingen fokuserer på å identifisere den mest passende etiketten for utad overføringer av kritisk og sensitiv informasjon eiendeler, tatt i betraktning de involverte risikoene.

Vedlegg A 5.13 Supplerende veiledning

For at datadelingsoperasjoner skal være sikre, er det viktig å nøyaktig identifisere og merke klassifisert informasjon.

Vedlegg A 5.13 anbefaler også at organisasjoner legger inn flere metadatapunkter. Dette vil si navnet på prosessen som skapte informasjonselementet og tidspunktet da det ble opprettet.

I tillegg beskriver vedlegg A 5.13 standard merketeknikker som organisasjoner kan bruke:

  • Fysiske merker

  • Headers og footers

  • metadata

  • vannmerking

  • Gummi-stempler

Til slutt understreker vedlegg A 5.13 at merking av informasjonsressurser som "konfidensiell" og "klassifisert" kan ha utilsiktede konsekvenser. Dette kan gjøre det lettere for ondsinnede aktører å oppdage og finne sensitive informasjonsressurser.

Hva er endringene og forskjellene fra ISO 27001:2013?

ISO 27001: 2022 Vedlegg A 5.13 erstatter ISO 27001:2013 vedlegg A 8.2.2 (Merking av informasjon).

Begge vedlegg A-kontrollene er til en viss grad like, men to viktige forskjeller gjør ISO 27001:2022-versjonen mer omfattende.

Bruk av metadata har vært nødvendig for å møte nye krav

Mens 2013-versjonen refererte til metadata som en merketeknikk, påla den ingen spesifikke forpliktelser for samsvar ved bruk av metadata.

I kontrast inneholder 2022-versjonen forskjeller og endringer fra ISO 27001:2013.

Bruk av metadata er nå et krav

I 2013 ble metadata omtalt som en merketeknikk, men det ble ikke pålagt spesifikke samsvarsforpliktelser.

I motsetning til dette har 2022-versjonen strenge krav til metadatateknikker. For eksempel krever 2022-versjonen følgende:

  • Å legge til metadata til informasjon letter identifikasjon, administrasjon og oppdagelse.

  • Det er nødvendig å sette inn metadata for navnet og datoen for prosessen som opprettet eiendelen.

Det er nødvendig å gi flere detaljer i prosedyren for informasjonsmerking

Informasjonsmerkingsprosedyrer i 2013-versjonen var ikke pålagt å inkludere minimumsinnholdet som i 2022-versjonen.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A Kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Implementerer ISO 27001 er enklere med vår trinnvise sjekkliste, som veileder deg fra å definere omfanget av ditt ISMS gjennom risikoidentifikasjon og vedlegg A kontrollimplementering.

Ved hjelp av plattformen vår er intuitivt og enkelt. Det er ikke bare for svært tekniske ansatte, men alle i bedriften din. Vi oppfordrer deg til å involvere hele arbeidsstyrken din i å bygge din ISMS, da det hjelper deg å bygge et virkelig bærekraftig system.

Ta kontakt i dag for å bestill en demo.

Oppdag vår plattform

Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer