ISO 27002, Kontroll 5.12, Klassifisering av informasjon

ISO 27002:2022 – Kontroll 5.12 – Klassifisering av informasjon

Klassifisering av informasjon er en prosess som gjør organisasjoner i stand til gruppeinformasjonsressurser inn i relevante kategorier avhengig av beskyttelsesnivået hver informasjonskategori skal gis. Kontroll 5.12 omhandler implementering av en klassifisering av informasjonsordning basert på krav til konfidensialitet, integritet og tilgjengelighet for informasjonsmidler.

Formål med kontroll 5.12

5.12 er en forebyggende kontroll som identifiserer risikoer ved å gjøre det mulig for organisasjoner å bestemme beskyttelsesnivået for hver informasjonsressurs basert på informasjonens nivå av viktighet og sensitivitet.

5.12 advarer eksplisitt organisasjoner mot over- eller underklassifisering av informasjon i tilleggsveiledningen. Den sier at organisasjoner bør ta hensyn til kravene til konfidensialitet, tilgjengelighet og integritet når de tildeler eiendeler til relevante kategorier.

Dette sikrer at klassifiseringsordningen gir en passende balanse mellom virksomhetens behov for informasjon og sikkerhetskravene for hver informasjonskategori.

Kontrollattributter 5.12

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Identifisere	#Informasjonsbeskyttelse	#Beskyttelse
	#Integritet			#Forsvar
	#Tilgjengelighet

Eierskap til kontroll 5.12

Mens det bør være en organisasjonsomfattende klassifisering av informasjonsordninger med klassifiseringsnivåer og kriterier for hvordan klassifisere informasjonsmidler, eiere av informasjonsmidler er til syvende og sist ansvarlige for gjennomføringen av en klassifiseringsordning.

5.12 anerkjenner eksplisitt at eiere av de relevante informasjonsmiddel bør stå til ansvar.

Hvis for eksempel regnskapsavdelingen har tilgang til mappene med lønnsrapporter og kontoutskrifter, bør de klassifisere informasjon ut fra den organisasjonsdekkende klassifiseringsordningen.

Ved klassifisering av opplysninger bør eiendelseieren ta hensyn til ta hensyn til virksomhetens behov, nivå av innvirkning kompromiss av informasjon vil ha på organisasjonen og nivået av viktighet og sensitivitet av informasjon.

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Generell veiledning om kontroll 5.12

For å implementere et robust system for klassifisering av informasjon, bør organisasjoner ta i bruk en emnespesifikk tilnærming, forstå hver forretningsenhets behov for informasjon og bestemme nivået av sensitivitet og kritisk informasjon.

5.12 krever at organisasjoner tar hensyn til følgende syv kriterier når de implementerer en klassifiseringsordning:

Etabler en emnespesifikk policy og adresser de spesifikke forretningsbehovene

5.12 refererer eksplisitt til 5.1, Tilgangskontroll og krever at organisasjoner overholder emnespesifikke retningslinjer som beskrevet i 5.1. I tillegg bør klassifiseringsordningen og nivåene ta hensyn til spesifikke forretningsbehov.

Ta hensyn til virksomhetens behov for deling og bruk av informasjon og behovet for tilgjengelighet

Hvis du tilordner en informasjonsressurs til en klassifiseringskategori som er unødvendig høyere, kan dette føre til risiko for forstyrrelse av dine kritiske forretningsfunksjoner ved å begrense tilgang til og bruk av informasjon.

Derfor bør du strebe etter å finne en balanse mellom dine spesifikke forretningsbehov for tilgjengelighet og bruk av informasjon og kravene til konfidensialitet og integritet til denne informasjonen.

Vurder juridiske forpliktelser

Noen lover kan pålegge deg strengere forpliktelser for å sikre konfidensialitet, integritet og tilgjengelighet av informasjon. Når du tildeler informasjonsressurser til kategorier, bør juridiske forpliktelser prioriteres over din egen klassifisering.

Ta en risikobasert tilnærming og vurder den potensielle effekten av et kompromiss

Hver type informasjon har et ulikt nivå av kritikkverdighet for hver virksomhets virksomhet og har et ulikt nivå av sensitivitet avhengig av konteksten.

Ved implementering av klassifisering av informasjonsordningen, bør organisasjoner spørre:

Hvilken innvirkning vil kompromitteringen av integritet, tilgjengelighet og konfidensialitet til denne informasjonen ha på organisasjonen?

For eksempel er databaser med profesjonelle e-postadresser til kvalifiserte potensielle kunder og helsejournaler til ansatte svært forskjellige når det gjelder følsomhetsnivå og potensiell påvirkning.

Gjennomgå og oppdater klassifiseringen regelmessig

5.12 bemerker at verdien, kritikaliteten og sensitiviteten til informasjon ikke er statisk og kan endres gjennom informasjonens livssyklus. Derfor må du regelmessig gjennomgå hver klassifisering og gjøre nødvendige oppdateringer.

Som et eksempel på en slik endring viser 5.12 til offentliggjøring av informasjon til offentligheten, noe som i stor grad reduserer verdien og sensitiviteten til informasjon.

Rådfør deg med andre organisasjoner du deler informasjon med og ta opp eventuelle forskjeller

Det er ikke én måte å klassifisere informasjon og hver organisasjon kan ha ulike navn, nivåer og kriterier når det gjelder klassifisering av informasjonsordninger.

Disse forskjellene kan føre til risiko når de to organisasjonene utveksler informasjonsmidler med hverandre. Derfor må du få på plass en avtale med motparten din for å sikre at det er konsistens i klassifisering av informasjon og tolkning av klassifikasjonsnivåer.

Konsistens på organisasjonsnivå

Hver avdeling i organisasjonen bør ha en felles forståelse av klassifiseringsnivåer og prosedyrer slik at klassifiseringer er konsistente på tvers av hele organisasjonen.

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din

Veiledning om hvordan man implementerer klassifisering av informasjonsordningen

Mens 5.12 anerkjenner at det ikke finnes en klassifiseringsordning som passer for alle, og organisasjoner har spillerom til å bestemme og beskrive individuelle klassifiseringsnivåer, gir den følgende eksempel som et informasjonsklassifiseringsskjema:

a) Avsløring forårsaker ingen skade;

b) Avsløring forårsaker mindre omdømmeskade eller mindre operasjonell innvirkning;

c) Offentliggjøring har en betydelig kortsiktig innvirkning på driften eller forretningsmålene;

d) Offentliggjøring har en alvorlig innvirkning på langsiktige forretningsmål eller setter organisasjonens overlevelse i fare.

Endringer og forskjeller fra ISO 27002:2013

Klassifiseringen av informasjon ble behandlet i avsnitt 8.2.1 i forrige versjon.

Selv om de to versjonene er svært like, er det to viktige forskjeller:

I den gamle versjonen var det ingen eksplisitt henvisning til kravet om konsistens av klassifikasjonsnivåer når informasjon overføres mellom organisasjoner.

I 2022-versjonen må du imidlertid få på plass en avtale med motparten din for å sikre at det er konsistens i klassifisering av informasjon og tolkning av klassifikasjonsnivåer.

For det andre krever den nye versjonen eksplisitt at organisasjoner innfører emnespesifikke retningslinjer. I den eldre versjonen var det derimot bare en kort referanse til tilgangskontrollen.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Vår plattform er intuitiv og enkel å bruke. Det er ikke bare for svært tekniske mennesker; det er for alle i organisasjonen din. Vi oppfordrer deg til å involvere ansatte på alle nivåer i virksomheten din i prosessen med å bygge din ISMS, fordi det hjelper deg å bygge et virkelig bærekraftig system.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt