Merking av informasjon er en prosedyre som gjør det mulig for organisasjoner å sette sin informasjonsklassifiseringsordning ut i livet ved å feste klassifikasjonsetiketter til relevante informasjonsmidler.
Kontroll 5.13 tar for seg hvordan organisasjoner bør utvikle, implementere og administrere en robust informasjonsmerkingsprosedyre basert på klassifiseringsskjemaet vedtatt gjennom Kontroll 5.12.
5.13 er en forebyggende kontroll som beskytter informasjonsressurser mot sikkerhetsrisikoer ved å hjelpe organisasjoner med å oppnå to forskjellige formål:
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Informasjonsbeskyttelse | #Forsvar #Beskyttelse |
Tatt i betraktning at å legge til metadata til digitale eiendeler er den primære måten å merke informasjonsressurser på, skal metadataforvaltere være ansvarlige for riktig implementering av merkeprosedyren.
Ved siden av metadataforvalterne skal eiendeler med tilgangs- og endringsautorisasjoner være ansvarlige for riktig merking av alle dataressurser og skal foreta nødvendige endringer i merking om nødvendig.
Kontroll 5.13 identifiserer fire spesifikke trinn som organisasjoner bør implementere for å utføre merking av informasjon i samsvar med 5.13.
Organisasjoner bør utvikle en organisasjonsomfattende informasjonsmerkingsprosedyre som følger informasjonsklassifiseringsordningen opprettet i samsvar med kontroll 5.12.
Videre krever 5.13 at denne prosedyren utvides til å omfatte alle informasjonsmidler, uavhengig av om de er i digitalt eller papirformat, og at etikettene må være enkle å gjenkjenne.
Selv om det ikke er noen grense for hva dette prosedyredokumentet kan inneholde, sier Kontroll 5.13 at prosedyrene minst skal omfatte følgende:
Prosedyren for merking av informasjon kan bare være effektiv i den grad at personell og andre relevante interessenter er godt informert om hvordan man korrekt merker informasjon og hvordan man håndterer merkede informasjonsmidler.
Derfor bør organisasjoner gi ansatte og andre relevante parter opplæring i prosedyren.
5.13 krever bruk av metadata for merking av digitale informasjonsressurser.
Videre bemerker den at metadataene bør distribueres på en måte som gjør det enkelt og effektivt å identifisere og søke etter informasjon og også på en måte som effektiviserer beslutningsprosessen mellom systemer knyttet til merket informasjon.
Tatt i betraktning risikoen forbundet med utadgående overføring av sensitive data fra systemer, anbefaler 5.13 organisasjoner å merke disse informasjonsmidlene med de som er mest passende for nivået av kritikkverdighet og sensitivitet til den aktuelle informasjonen.
5.13 fremhever at identifisering og nøyaktig merking av klassifisert informasjon er avgjørende for sikkerheten til datadelingsoperasjoner.
I tillegg til de fire spesifikke trinnene beskrevet ovenfor, anbefaler 5.13 også at organisasjoner setter inn flere metadatapunkter som navnet på prosessen som opprettet informasjonselementet og tidspunktet for slik opprettelse.
Videre refererer 5.13 til de vanlige merketeknikkene som organisasjoner kan implementere:
Til slutt understreker 5.13 at merking av informasjonsressurser som "konfidensiell" og "klassifisert" kan ha utilsiktede konsekvenser fordi det kan gjøre det lettere for ondsinnede aktører å søke gjennom og finne sensitive informasjonsressurser.
27002:2022/5.13 erstatter 27002:2013/8.2.2 (Merking av informasjon).
Selv om de to kontrollene til en viss grad ligner, er det to viktige forskjeller som gjør 2022-versjonen mer omfattende.
Mens 2013-versjonen omtalte metadata som en merketeknikk, påla den ingen spesifikke forpliktelser for samsvar ved bruk av metadata.
I motsetning til dette, stiller 2022-versjonen strenge krav til hvordan man bruker metadatateknikk. For å illustrere krever 2022-versjonen at:
I motsetning til 2022-versjonen spesifiserte ikke 2013-versjonen minimumsinnholdet som skulle inkluderes i en informasjonsmerkingsprosedyre.
ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen, fra å definere omfanget av ISMS-en din til risikoidentifikasjon og kontrollimplementering.
Vår plattform er intuitiv og enkel å bruke. Det er ikke bare for svært tekniske mennesker; det er for alle i organisasjonen din. Vi oppfordrer deg til å involvere ansatte på alle nivåer i virksomheten din i prosessen med å bygge din ISMS, fordi det hjelper deg å bygge et virkelig bærekraftig system.
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
