Klassifisering av informasjon er en prosess som gjør organisasjoner i stand til gruppeinformasjonsressurser inn i relevante kategorier avhengig av beskyttelsesnivået hver informasjonskategori skal gis.
Kontroll 5.12 omhandler implementering av en klassifisering av informasjonsordning basert på krav til konfidensialitet, integritet og tilgjengelighet for informasjonsmidler.
5.12 er en forebyggende kontroll som identifiserer risikoer ved å gjøre det mulig for organisasjoner å bestemme beskyttelsesnivået for hver informasjonsressurs basert på informasjonens nivå av viktighet og sensitivitet.
5.12 advarer eksplisitt organisasjoner mot over- eller underklassifisering av informasjon i tilleggsveiledningen. Den sier at organisasjoner bør ta hensyn til kravene til konfidensialitet, tilgjengelighet og integritet når de tildeler eiendeler til relevante kategorier.
Dette sikrer at klassifiseringsordningen gir en passende balanse mellom virksomhetens behov for informasjon og sikkerhetskravene for hver informasjonskategori.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere | #Informasjonsbeskyttelse | #Beskyttelse #Forsvar |
Mens det bør være en organisasjonsomfattende klassifisering av informasjonsordninger med klassifiseringsnivåer og kriterier for hvordan klassifisere informasjonsmidler, eiere av informasjonsmidler er til syvende og sist ansvarlige for gjennomføringen av en klassifiseringsordning.
5.12 anerkjenner eksplisitt at eiere av de relevante informasjonsmiddel bør stå til ansvar.
Hvis for eksempel regnskapsavdelingen har tilgang til mappene med lønnsrapporter og kontoutskrifter, bør de klassifisere informasjon ut fra den organisasjonsdekkende klassifiseringsordningen.
Ved klassifisering av opplysninger bør eiendelseieren ta hensyn til ta hensyn til virksomhetens behov, nivå av innvirkning kompromiss av informasjon vil ha på organisasjonen og nivået av viktighet og sensitivitet av informasjon.
For å implementere et robust system for klassifisering av informasjon, bør organisasjoner ta i bruk en emnespesifikk tilnærming, forstå hver forretningsenhets behov for informasjon og bestemme nivået av sensitivitet og kritisk informasjon.
5.12 krever at organisasjoner tar hensyn til følgende syv kriterier når de implementerer en klassifiseringsordning:
5.12 refererer eksplisitt til 5.1, Tilgangskontroll og krever at organisasjoner overholder emnespesifikke retningslinjer som beskrevet i 5.1. I tillegg bør klassifiseringsordningen og nivåene ta hensyn til spesifikke forretningsbehov.
Hvis du tilordner en informasjonsressurs til en klassifiseringskategori som er unødvendig høyere, kan dette føre til risiko for forstyrrelse av dine kritiske forretningsfunksjoner ved å begrense tilgang til og bruk av informasjon.
Derfor bør du strebe etter å finne en balanse mellom dine spesifikke forretningsbehov for tilgjengelighet og bruk av informasjon og kravene til konfidensialitet og integritet til denne informasjonen.
Noen lover kan pålegge deg strengere forpliktelser for å sikre konfidensialitet, integritet og tilgjengelighet av informasjon. Når du tildeler informasjonsressurser til kategorier, bør juridiske forpliktelser prioriteres over din egen klassifisering.
Hver type informasjon har et ulikt nivå av kritikkverdighet for hver virksomhets virksomhet og har et ulikt nivå av sensitivitet avhengig av konteksten.
Ved implementering av klassifisering av informasjonsordningen, bør organisasjoner spørre:
Hvilken innvirkning vil kompromitteringen av integritet, tilgjengelighet og konfidensialitet til denne informasjonen ha på organisasjonen?
For eksempel er databaser med profesjonelle e-postadresser til kvalifiserte potensielle kunder og helsejournaler til ansatte svært forskjellige når det gjelder følsomhetsnivå og potensiell påvirkning.
5.12 bemerker at verdien, kritikaliteten og sensitiviteten til informasjon ikke er statisk og kan endres gjennom informasjonens livssyklus. Derfor må du regelmessig gjennomgå hver klassifisering og gjøre nødvendige oppdateringer.
Som et eksempel på en slik endring viser 5.12 til offentliggjøring av informasjon til offentligheten, noe som i stor grad reduserer verdien og sensitiviteten til informasjon.
Det er ikke én måte å klassifisere informasjon og hver organisasjon kan ha ulike navn, nivåer og kriterier når det gjelder klassifisering av informasjonsordninger.
Disse forskjellene kan føre til risiko når de to organisasjonene utveksler informasjonsmidler med hverandre. Derfor må du få på plass en avtale med motparten din for å sikre at det er konsistens i klassifisering av informasjon og tolkning av klassifikasjonsnivåer.
Hver avdeling i organisasjonen bør ha en felles forståelse av klassifiseringsnivåer og prosedyrer slik at klassifiseringer er konsistente på tvers av hele organisasjonen.
Mens 5.12 anerkjenner at det ikke finnes en klassifiseringsordning som passer for alle, og organisasjoner har spillerom til å bestemme og beskrive individuelle klassifiseringsnivåer, gir den følgende eksempel som et informasjonsklassifiseringsskjema:
a) Avsløring forårsaker ingen skade;
b) Avsløring forårsaker mindre omdømmeskade eller mindre operasjonell innvirkning;
c) Offentliggjøring har en betydelig kortsiktig innvirkning på driften eller forretningsmålene;
d) Offentliggjøring har en alvorlig innvirkning på langsiktige forretningsmål eller setter organisasjonens overlevelse i fare.
Klassifiseringen av informasjon ble behandlet i avsnitt 8.2.1 i forrige versjon.
Selv om de to versjonene er svært like, er det to viktige forskjeller:
I den gamle versjonen var det ingen eksplisitt henvisning til kravet om konsistens av klassifikasjonsnivåer når informasjon overføres mellom organisasjoner.
I 2022-versjonen må du imidlertid få på plass en avtale med motparten din for å sikre at det er konsistens i klassifisering av informasjon og tolkning av klassifikasjonsnivåer.
For det andre krever den nye versjonen eksplisitt at organisasjoner innfører emnespesifikke retningslinjer. I den eldre versjonen var det derimot bare en kort referanse til tilgangskontrollen.
Vår plattform er intuitiv og enkel å bruke. Det er ikke bare for svært tekniske mennesker; det er for alle i organisasjonen din. Vi oppfordrer deg til å involvere ansatte på alle nivåer i virksomheten din i prosessen med å bygge din ISMS, fordi det hjelper deg å bygge et virkelig bærekraftig system.
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
