- Se ISO 27002:2022 Kontroll 5.13 för mer information.
- Se ISO 27001:2013 bilaga A 8.2.2 för mer information.
Märkningens roll i ISO 27001:2022 – Bilaga A 5.13 förklaras
Organisationer gäller klassificeringsetiketter till relevant information tillgångar för att implementera sitt system för informationsklassificering.
I enlighet med organisationens antagna informationsklassificeringssystem, definierar ISO 27001:2022 Annex A 5.13 en uppsättning procedurer för informationsmärkning.
Förutom att identifiera fysiska och elektroniska tillgångar kommer procedurer för identifiering av information att behöva utvecklas som återspeglar klassificeringsschemat som beskrivs i 5.12.
Gör etiketter lätta att känna igen och hantera; annars kommer de inte att följas. Istället för att få personal att märka varje CRM-uppdatering med ett kommersiellt förtroendeförklaring, kan det vara lättare att de facto bestämma att allt i de digitala systemen är konfidentiellt om inte annat uttryckligen anges!
Med hjälp av klassificeringsschemat som antagits i bilaga A, kontroll 5.12, beskriver bilaga A, kontroll 5.13 hur organisationer bör utveckla, implementera och hantera en robust informationsmärkningsprocedur.
Vad är syftet med ISO 27001:2022 bilaga A 5.13?
Syftet med bilaga A 5.13 är dubbelt; för att skydda informationstillgångar mot säkerhetsrisker:
- Informationstillgångar kan klassificeras på ett enkelt sätt när de kommuniceras internt och externt. Det är då anställda och tredje parter kan komma åt och använda informationen.
- Informationsbehandling och hantering kan effektiviseras genom automatisering.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vem har äganderätten till bilaga A 5.13?
Informationstillgångar kan märkas genom att lägga till metadata, så metadataförvaltare måste vara ansvariga för att korrekt implementera märkningsprocessen.
Alla datatillgångar måste märkas på lämpligt sätt, och tillgångsägare måste göra eventuella ändringar av märkning med åtkomst- och modifieringsbehörigheter.
Allmänna riktlinjer för hur man följer ISO 27001:2022 bilaga A 5.13
Med hjälp av bilaga A Kontroll 5.13 kan organisationer märka information i enlighet med fyra specifika steg.
Upprätta en procedur för märkning av information
Informationsklassificeringsschemat som skapats enligt bilaga A Kontroll 5.12 bör följas av organisationers informationsmärkningsprocedurer.
5.13 kräver också att denna procedur gäller alla informationstillgångar, oavsett om de är digitala eller papper, och att etiketterna måste vara lätta att känna igen.
Det finns ingen gräns för vad detta procedurdokument kan innehålla, men bilaga A Kontroll 5.13 kräver att procedurerna inkluderar följande:
- En förklaring av metoderna för att fästa etiketter på informationstillgångar baserat på typen av lagringsmedium och hur data nås.
- För varje typ av informationstillgång, där etiketterna ska fästas.
- Till exempel kan en organisation utelämna offentliga uppgifter som en del av sin informationsmärkningsprocess.
- Tekniska, juridiska eller kontraktuella begränsningar förhindrar märkning av vissa typer av information.
- Regler styr hur information ska märkas när den överförs internt eller externt.
- Instruktioner bör medfölja digitala tillgångar om hur man infogar metadata.
- Alla tillgångar ska märkas med samma namn.
Tillhandahålla adekvat utbildning om märkningsprocedurer till anställda
Personal och andra relevanta intressenter måste förstå hur man märker information korrekt och hantera märkta informationstillgångar innan förfarandet för märkningsinformation kan träda i kraft.
Som ett resultat av detta bör organisationer utbilda personal och andra relevanta parter om förfarandet.
Digital informationstillgångar bör märkas med metadata
Digitala informationstillgångar måste märkas med metadata enligt 5.13.
Utplacering av metadata bör också underlätta identifiering och sökning efter information och effektivisera beslutsfattande mellan system relaterade till märkt information.
Extra försiktighetsåtgärder bör vidtas för att märka känsliga data som kan lämna systemet
Bilaga A 5.13 rekommendationen fokuserar på att identifiera den lämpligaste märkningen för utåtriktad märkning överföringar av kritisk och känslig information tillgångar, med tanke på riskerna.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Bilaga A 5.13 Kompletterande vägledning
För att datadelningsverksamheten ska vara säker är det viktigt att korrekt identifiera och märka sekretessbelagd information.
Bilaga A 5.13 rekommenderar också att organisationer infogar ytterligare metadatapunkter. Det vill säga namnet på processen som skapade informationstillgången och tidpunkten då den skapades.
Dessutom beskriver bilaga A 5.13 standardmärkningstekniker som organisationer kan använda:
- Fysiska etiketter
- Huvud och sidfot
- metadata
- vattenmärkning
- Gummistämplar
Slutligen betonar bilaga A 5.13 att märkning av informationstillgångar som "konfidentiella" och "sekretessbelagda" kan få oavsiktliga konsekvenser. Detta kan göra det lättare för illvilliga aktörer att upptäcka och hitta känslig informationstillgångar.
Vilka är ändringarna och skillnaderna från ISO 27001:2013?
ISO 27001: 2022 Bilaga A 5.13 ersätter ISO 27001:2013 Bilaga A 8.2.2 (Märkning av information).
Båda kontrollerna i bilaga A liknar till viss del, men två viktiga skillnader gör ISO 27001:2022-versionen mer omfattande.
Användningen av metadata har krävts för att uppfylla nya krav
Även om 2013 års version hänvisade till metadata som en märkningsteknik, införde den inga specifika skyldigheter för efterlevnad vid användning av metadata.
Däremot innehåller 2022-versionen skillnader och ändringar från ISO 27001:2013.
Användningen av metadata är nu ett krav
Under 2013 kallades metadata som en märkningsteknik, men inga specifika krav på efterlevnad infördes.
Tvärtemot detta innehåller 2022-versionen strikta krav på metadatatekniker. Till exempel kräver 2022-versionen följande:
- Att lägga till metadata till information underlättar dess identifiering, hantering och upptäckt.
- Det är nödvändigt att infoga metadata för namn och datum för processen som skapade tillgången.
Det är nödvändigt att tillhandahålla fler detaljer i informationsmärkningsproceduren
Informationsmärkningsprocedurer i 2013 års version krävdes inte att inkludera minsta innehåll som i 2022 års version.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur ISMS.online hjälper
Implementering av ISO 27001 är enklare med vår steg-för-steg checklista, som guidar dig från att definiera omfattningen av ditt ISMS genom riskidentifiering och bilaga A kontrollimplementering.
Använda vår plattform är intuitivt och enkelt. Det är inte bara för högtekniska medarbetare utan alla i ditt företag. Vi uppmuntrar dig att involvera hela din personalstyrka i att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.
Hör av dig idag för att boka en demo.
