Hopp til innhold
ISMS.online

ISO 27002:2022 – Kontroll 5.13 – Merking av informasjon

Merking av informasjon er en prosedyre som gjør det mulig for organisasjoner å sette sin informasjonsklassifiseringsordning ut i livet ved å feste klassifikasjonsetiketter til relevante informasjonsmidler. Kontroll 5.13 tar for seg hvordan organisasjoner bør utvikle, implementere og administrere en robust informasjonsmerkingsprosedyre basert på klassifiseringsskjemaet vedtatt gjennom Kontroll 5.12.

Forfatter
Sam Peters
Oppdatert juli 25, 2025
4/5 stjerner

Formål med kontroll 5.13

5.13 er en forebyggende kontroll som beskytter informasjonsressurser mot sikkerhetsrisikoer ved å hjelpe organisasjoner med å oppnå to forskjellige formål:

  • Gjør det lettere å demonstrere klassifiseringsnivået hver informasjonsenhet er gitt når informasjonen kommuniseres internt og eksternt og når den er tilgjengelig og brukt av ansatte og tredjeparter.
  • Effektivisering av prosessen med å automatisere informasjonshåndtering og -behandling.

Kontrollattributter 5.13

Kontrolltype Informasjonssikkerhetsegenskaper Konsepter for cybersikkerhet Operasjonelle evner Sikkerhetsdomener
#Forebyggende #Konfidensialitet #Beskytte #Informasjonsbeskyttelse #Forsvar
#Integritet #Beskyttelse
#Tilgjengelighet

Eierskap til kontroll 5.13

Tatt i betraktning at å legge til metadata til digitale eiendeler er den primære måten å merke informasjonsressurser på, skal metadataforvaltere være ansvarlige for riktig implementering av merkeprosedyren.

Ved siden av metadataforvalterne skal eiendeler med tilgangs- og endringsautorisasjoner være ansvarlige for riktig merking av alle dataressurser og skal foreta nødvendige endringer i merking om nødvendig.



ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Et forsprang på 81 % fra dag én

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG


Generell veiledning om hvordan du overholder

Kontroll 5.13 identifiserer fire spesifikke trinn som organisasjoner bør implementere for å utføre merking av informasjon i samsvar med 5.13.

Utvikle og implementere en informasjonsmerkingsprosedyre

Organisasjoner bør utvikle en organisasjonsomfattende informasjonsmerkingsprosedyre som følger informasjonsklassifiseringsordningen opprettet i samsvar med kontroll 5.12.

Videre krever 5.13 at denne prosedyren utvides til å omfatte alle informasjonsmidler, uavhengig av om de er i digitalt eller papirformat, og at etikettene må være enkle å gjenkjenne.

Selv om det ikke er noen grense for hva dette prosedyredokumentet kan inneholde, sier Kontroll 5.13 at prosedyrene minst skal omfatte følgende:

  • Beskrivelse av metodene for å feste etiketter til informasjonsressurser avhengig av lagringsmediet og hvordan dataene aksesseres.
  • Hvor etikettene skal festes for hver type informasjonsmiddel.
  • Hvilke informasjonselementer vil ikke merkes, hvis noen. For eksempel kan en organisasjon utelate å merke offentlige data for å strømlinjeforme informasjonsmerkingsprosessen.
  • Beskrivelse av tiltak for tilfeller der det ikke er mulig å merke visse typer informasjon på grunn av tekniske, juridiske eller kontraktsmessige begrensninger.
  • Reglene om hvordan merking av informasjon som overføres til interne eller eksterne parter skal håndteres.
  • For digitale eiendeler skal prosedyren forklare hvordan metadataene skal settes inn.
  • Navn på etiketter som skal brukes for alle eiendeler.

Gi tilstrekkelig opplæring til personalet om hvordan de skal følge merkingsprosedyren

Prosedyren for merking av informasjon kan bare være effektiv i den grad at personell og andre relevante interessenter er godt informert om hvordan man korrekt merker informasjon og hvordan man håndterer merkede informasjonsmidler.

Derfor bør organisasjoner gi ansatte og andre relevante parter opplæring i prosedyren.

Bruk metadata for merking av digitale informasjonsressurser

5.13 krever bruk av metadata for merking av digitale informasjonsressurser.

Videre bemerker den at metadataene bør distribueres på en måte som gjør det enkelt og effektivt å identifisere og søke etter informasjon og også på en måte som effektiviserer beslutningsprosessen mellom systemer knyttet til merket informasjon.

Ta ekstra tiltak for å merke sensitive data som kan strømme ut av systemet

Tatt i betraktning risikoen forbundet med utadgående overføring av sensitive data fra systemer, anbefaler 5.13 organisasjoner å merke disse informasjonsmidlene med de som er mest passende for nivået av kritikkverdighet og sensitivitet til den aktuelle informasjonen.

Supplerende veiledning om kontroll 5.13

5.13 fremhever at identifisering og nøyaktig merking av klassifisert informasjon er avgjørende for sikkerheten til datadelingsoperasjoner.

I tillegg til de fire spesifikke trinnene beskrevet ovenfor, anbefaler 5.13 også at organisasjoner setter inn flere metadatapunkter som navnet på prosessen som opprettet informasjonselementet og tidspunktet for slik opprettelse.

Videre refererer 5.13 til de vanlige merketeknikkene som organisasjoner kan implementere:

  • Fysiske etiketter
  • Headers og footers
  • metadata
  • vannmerking
  • Gummi-stempler

Til slutt understreker 5.13 at merking av informasjonsressurser som "konfidensiell" og "klassifisert" kan ha utilsiktede konsekvenser fordi det kan gjøre det lettere for ondsinnede aktører å søke gjennom og finne sensitive informasjonsressurser.



ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Administrer all samsvarskontroll, alt på ett sted

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din


Endringer og forskjeller fra ISO 27002:2013

27002:2022/5.13 erstatter 27002:2013/8.2.2 (Merking av informasjon).

Selv om de to kontrollene til en viss grad ligner, er det to viktige forskjeller som gjør 2022-versjonen mer omfattende.

Nye krav til bruk av metadata

Mens 2013-versjonen omtalte metadata som en merketeknikk, påla den ingen spesifikke forpliktelser for samsvar ved bruk av metadata.

I motsetning til dette, stiller 2022-versjonen strenge krav til hvordan man bruker metadatateknikk. For å illustrere krever 2022-versjonen at:

  • Metadata legges til informasjon på en måte som gjør det enkelt å identifisere, administrere og oppdage informasjon på en effektiv måte.
  • Metadata for navnet på organisasjonsprosessen som skapte et spesifikt aktivum, og tidspunktet for det skal settes inn.

Innholdet i informasjonsmerkingsprosedyren må være mer detaljert

I motsetning til 2022-versjonen spesifiserte ikke 2013-versjonen minimumsinnholdet som skulle inkluderes i en informasjonsmerkingsprosedyre.

Nye ISO 27002 kontroller

Nye kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.7 NEW Trusselintelligens
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.30 NEW IKT-beredskap for forretningskontinuitet
7.4 NEW Fysisk sikkerhetsovervåking
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.16 NEW Overvåking av aktiviteter
8.23 NEW Web-filtrering
8.28 NEW Sikker koding
Organisasjonskontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.1 05.1.1, 05.1.2 Retningslinjer for informasjonssikkerhet
5.2 06.1.1 Informasjonssikkerhetsroller og ansvar
5.3 06.1.2 Ansvarsfordeling
5.4 07.2.1 Lederansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med interessegrupper
5.7 NEW Trusselintelligens
5.8 06.1.5, 14.1.1 Informasjonssikkerhet i prosjektledelse
5.9 08.1.1, 08.1.2 Inventar av informasjon og andre tilhørende eiendeler
5.10 08.1.3, 08.2.3 Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11 08.1.4 Retur av eiendeler
5.12 08.2.1 Klassifisering av informasjon
5.13 08.2.2 Merking av informasjon
5.14 13.2.1, 13.2.2, 13.2.3 Informasjonsoverføring
5.15 09.1.1, 09.1.2 Adgangskontroll
5.16 09.2.1 Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformasjon
5.18 09.2.2, 09.2.5, 09.2.6 Tilgangsrettigheter
5.19 15.1.1 Informasjonssikkerhet i leverandørforhold
5.20 15.1.2 Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21 15.1.3 Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22 15.2.1, 15.2.2 Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.24 16.1.1 Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25 16.1.4 Vurdering og beslutning om informasjonssikkerhetshendelser
5.26 16.1.5 Respons på informasjonssikkerhetshendelser
5.27 16.1.6 Lær av informasjonssikkerhetshendelser
5.28 16.1.7 Innsamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informasjonssikkerhet under avbrudd
5.30 5.30 IKT-beredskap for forretningskontinuitet
5.31 18.1.1, 18.1.5 Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32 18.1.2 Immaterielle rettigheter
5.33 18.1.3 Beskyttelse av poster
5.34 18.1.4 Personvern og beskyttelse av PII
5.35 18.2.1 Uavhengig gjennomgang av informasjonssikkerhet
5.36 18.2.2, 18.2.3 Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37 12.1.1 Dokumenterte driftsprosedyrer
Personkontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansettelsen
6.3 07.2.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4 07.2.3 Disiplinær prosess
6.5 07.3.1 Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6 13.2.4 Avtaler om konfidensialitet eller taushetsplikt
6.7 06.2.2 Fjernarbeid
6.8 16.1.2, 16.1.3 Informasjonssikkerhet hendelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
7.1 11.1.1 Fysiske sikkerhetsomkretser
7.2 11.1.2, 11.1.6 Fysisk inngang
7.3 11.1.3 Sikring av kontorer, rom og fasiliteter
7.4 NEW Fysisk sikkerhetsovervåking
7.5 11.1.4 Beskyttelse mot fysiske og miljømessige trusler
7.6 11.1.5 Arbeid i sikre områder
7.7 11.2.9 Oversiktlig skrivebord og oversiktlig skjerm
7.8 11.2.1 Utstyrsplassering og beskyttelse
7.9 11.2.6 Sikkerhet av eiendeler utenfor lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedier
7.11 11.2.2 Støtteverktøy
7.12 11.2.3 Kablingssikkerhet
7.13 11.2.4 Vedlikehold av utstyr
7.14 11.2.7 Sikker avhending eller gjenbruk av utstyr
Teknologiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
8.1 06.2.1, 11.2.8 Brukerendepunktsenheter
8.2 09.2.3 Privilegerte tilgangsrettigheter
8.3 09.4.1 Begrensning av informasjonstilgang
8.4 09.4.5 Tilgang til kildekode
8.5 09.4.2 Sikker autentisering
8.6 12.1.3 Kapasitetsstyring
8.7 12.2.1 Beskyttelse mot skadelig programvare
8.8 12.6.1, 18.2.3 Håndtering av tekniske sårbarheter
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.13 12.3.1 Sikkerhetskopiering av informasjon
8.14 17.2.1 Redundans av informasjonsbehandlingsanlegg
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NEW Overvåking av aktiviteter
8.17 12.4.4 Kloksynkronisering
8.18 09.4.4 Bruk av privilegerte hjelpeprogrammer
8.19 12.5.1, 12.6.2 Installasjon av programvare på operasjonssystemer
8.20 13.1.1 Nettverkssikkerhet
8.21 13.1.2 Sikkerhet for nettverkstjenester
8.22 13.1.3 Segregering av nettverk
8.23 NEW Web-filtrering
8.24 10.1.1, 10.1.2 Bruk av kryptografi
8.25 14.2.1 Sikker utviklingslivssyklus
8.26 14.1.2, 14.1.3 Krav til applikasjonssikkerhet
8.27 14.2.5 Sikker systemarkitektur og tekniske prinsipper
8.28 NEW Sikker koding
8.29 14.2.8, 14.2.9 Sikkerhetstesting i utvikling og aksept
8.30 14.2.7 Utkontraktert utvikling
8.31 12.1.4, 14.2.6 Separasjon av utviklings-, test- og produksjonsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Endringsledelse
8.33 14.3.1 Testinformasjon
8.34 12.7.1 Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen, fra å definere omfanget av ISMS-en din til risikoidentifikasjon og kontrollimplementering.

Vår plattform er intuitiv og enkel å bruke. Det er ikke bare for svært tekniske mennesker; det er for alle i organisasjonen din. Vi oppfordrer deg til å involvere ansatte på alle nivåer i virksomheten din i prosessen med å bygge din ISMS, fordi det hjelper deg å bygge et virkelig bærekraftig system.

Ta kontakt i dag for å bestill en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder utviklingen av alle produktfunksjoner og funksjonalitet. Sam er en ekspert på mange områder av samsvar og jobber med kunder på alle skreddersydde eller storskala prosjekter.

Ta en virtuell omvisning

Start din gratis 2-minutters interaktive demonstrasjon nå og se
ISMS.online i aksjon!

Prøv det nå
plattformdashbord fullt på krystall

Vi er ledende innen vårt felt

4/5 stjerner
Brukere elsker oss
Leder - Høst 2025
Høypresterende, småbedrifter - høsten 2025 Storbritannia
Regional leder - høsten 2025 Europa
Regional leder - høsten 2025 EMEA
Regional leder - høsten 2025 Storbritannia
Høypresterende - Høsten 2025 Europa Mellommarked

"ISMS.Online, enestående verktøy for overholdelse av forskrifter"

– Jim M.

"Gjør eksterne revisjoner til en lek og kobler alle aspekter av ISMS-en sømløst sammen"

– Karen C.

"Innovativ løsning for å administrere ISO og andre akkrediteringer"

— Ben H.