- Se ISO 27002:2022 Kontroll 5.12 för mer information.
- Se ISO 27001:2013 bilaga A 8.2.1 för mer information.
Bygga ett starkare ISMS med informationsklassificering – ISO 27001:2022 Annex A 5.12
Klassificeringen av information är en grundläggande process som gör det möjligt för organisationer att gruppera sina informationstillgångar i relevanta kategorier baserat på deras nödvändiga skyddsnivå.
Enligt ISO 27001: 2022 I bilaga A 5.1.2 måste information klassificeras baserat på olika faktorer, inklusive lagkrav, värde, kritikalitet och känslighet för obehörigt avslöjande eller modifiering. Denna klassificering bör utformas för att återspegla organisationens unika affärsverksamhet utan att hindra eller komplicera den.
Till exempel måste information avsedd för offentlig konsumtion vara lämpligt märkt, medan konfidentiella eller kommersiellt känsliga uppgifter måste ges en högre grad av säkerhet. Det är viktigt att notera att klassificeringen av information är en av de viktigaste kontrollerna i bilaga A till säkerställa att organisatoriska tillgångar skyddas.
Syftet med ISO 27001:2022 bilaga A 5.12
Bilaga A Kontroll 5.12 är en förebyggande kontroll som gör det möjligt för organisationer att identifiera risker genom att bestämma lämplig skyddsnivå för varje informationstillgång baserat på dess betydelse och känslighet.
I den kompletterande vägledningen varnar bilaga A Kontroll 5.12 uttryckligen för över- eller underklassificering av information. Organisationer måste beakta kraven på konfidentialitet, tillgänglighet och integritet när de tilldelar tillgångar till sina respektive kategorier. Detta hjälper till att säkerställa att klassificeringssystemet balanserar verksamhetens behov av information och säkerhetskraven för varje kategori av information.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Äganderätt till bilaga A 5.12
Även om det är viktigt att upprätta ett klassificeringssystem för informationstillgångar i hela organisationen, är det ytterst tillgångsägarnas ansvar att se till att det implementeras korrekt.
Enligt ISO 27001:2022 bilaga A 5.12 måste de med relevanta informationstillgångar hållas ansvariga. Till exempel bör redovisningsavdelningen klassificera information baserat på det organisationsövergripande klassificeringsschemat vid åtkomst till mappar som innehåller lönerapporter och kontoutdrag.
Vid klassificering av information är det avgörande för tillgångsägare att ta hänsyn till affärsbehoven och potentiell påverkan som en kompromiss av information kan ha på organisationen. Dessutom bör de ta hänsyn till informationens betydelse och känslighetsnivåer.
Allmän vägledning om ISO 27001:2022 bilaga A 5.12
För att framgångsrikt implementera ett robust informationsklassificeringssystem bör organisationer ta ett aktuellt tillvägagångssätt, överväga varje affärsenhets specifika informationsbehov och utvärdera informationens känslighet och kritiska nivå.
Enligt bilaga A Kontroll 5.12 måste organisationer utvärdera följande sju kriterier när de implementerar ett klassificeringssystem:
Upprätta en ämnesspecifik policy och åtgärda specifika affärsbehov
Bilaga A Kontroll 5.12 i ledningssystem för informationssäkerhet hänvisar till bilaga A Kontroll 5.1, som avser passerkontroll. Den kräver att organisationer följer ämnesspecifika policyer som anges i bilaga A Kontroll 5.1. Dessutom bör klassificeringsschemat och nivåerna beakta specifika affärsbehov när informationstillgångar klassificeras.
Organisationer måste överväga sina affärsbehov för att dela och använda information, såväl som behovet av tillgång till sådan information. Klassificering av en informationstillgång kan emellertid störa affärskritiska funktioner genom att begränsa åtkomst till och användning av information.
Därför bör organisationer balansera sina specifika affärsbehov för tillgänglighet och användning av data och kravet på att upprätthålla konfidentialitet och integritet för denna information.
Tänk på juridiska skyldigheter
Särskilda lagar kan kräva att organisationer betonar att skydda sekretess, integritet och tillgänglighet för information. Därför bör rättsliga skyldigheter prioriteras framför organisationens interna klassificering vid kategorisering av informationstillgångar.
Att anta ett riskbaserat tillvägagångssätt och bedöma den potentiella effekten av ett säkerhetsintrång eller en kompromiss informationstillgångar är tillrådligt. Detta kommer att hjälpa till att prioritera och implementera lämpliga säkerhetsåtgärder för att minska de identifierade riskerna.
Varje form av information har en unik betydelsenivå för en organisations funktioner och har olika grader av känslighet beroende på de särskilda omständigheterna.
När en organisation implementerar ett informationsklassificeringssystem bör den överväga den potentiella inverkan som en äventyrande av informationens konfidentialitet, integritet eller tillgänglighet kan ha på organisationen.
Till exempel skulle känsligheten och den potentiella effekten av en databas som innehåller professionella e-postadresser till kvalificerade potentiella kunder skilja sig mycket från de anställdas hälsojournaler. Därför bör organisationen noggrant överväga vilken skyddsnivå som varje kategori av information kräver och allokera resurser därefter.
Regelbunden uppdatering och granskning av klassificeringen
Bilaga A Kontroll 5.12 erkänner att informationens värde, betydelse och känslighetsnivå kan förändras över tiden när data går igenom sin livscykel. Som ett resultat måste organisationer regelbundet se över sin klassificering av information och göra nödvändiga uppdateringar.
ISO 27001 Annex A Kontroll 5.12 avser att reducera informationens värde och känslighet i betydande utsträckning.
Det är viktigt att du rådgör med andra organisationer för att dela information och lösa eventuella skillnader.
Varje organisation kan ha distinkt terminologi, nivåer och standarder för sina informationsklassificeringssystem
Skillnader i informationsklassificering mellan organisationer kan leda till potentiella risker vid utbyte av informationstillgångar.
Organisationer måste samarbeta med sina motsvarigheter för att skapa konsensus för att säkerställa enhetlighet i informationsklassificering och konsekvent tolkning av klassificeringsnivåer för att mildra sådana risker.
Konsekvens på organisationsnivå
Varje avdelning inom en organisation måste ha en delad förståelse av klassificeringsnivåer och protokoll för att säkerställa enhetlighet i klassificeringar över hela organisationen.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Vägledning om hur man implementerar systemet för klassificering av information
Även om bilaga A 5.12 erkänner att det inte finns något universellt tillämpligt klassificeringssystem och organisationer har flexibiliteten att fastställa och definiera sina klassificeringsnivåer, illustrerar den ett informationsklassificeringssystem:
- Avslöjande orsakar ingen skada.
- Avslöjande orsakar mindre anseendeskada eller mindre operativ påverkan.
- Offentliggörande har en betydande kortsiktig inverkan på verksamheten eller affärsmålen.
- Offentliggörande påverkar allvarligt långsiktiga affärsmål eller riskerar organisationens överlevnad.
Ändringar och skillnader från ISO 27002:2013
Bilaga A 8.2.1 i den tidigare versionen behandlade klassificeringen av information.
Även om de två versionerna är ganska lika, finns det två huvudsakliga skillnader:
- För det första nämnde den tidigare versionen inte behovet av konsekvens i klassificeringsnivåer när information delas mellan organisationer. ISO 27001:2022 kräver dock att organisationer samarbetar med sina motsvarigheter för att säkerställa enhetlighet i informationsklassificering och förståelse.
- För det andra kräver den uppdaterade versionen uttryckligen att organisationer utvecklar policyer som är skräddarsydda för specifika ämnen. Endast en kort hänvisning till åtkomstkontroll gjordes i den äldre versionen.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur ISMS.online Hjälp
Vår plattformen är designad för att vara användarvänlig och enkel, som vänder sig till högtekniska personer och alla anställda i din organisation.
Vi förespråkar att involvera anställda på alla nivåer i verksamheten i konstruktionen av ditt ISMS eftersom det hjälper till att etablera ett hållbart system.
Ta reda på mer av boka en demo.
