ISO 27001:2022 Bilaga A Kontroll 5.12

Klassificering av information

Boka en demo

unga,företag,kollegor,arbetar,på,ett,upptagen,öppen,plan,kontor

Klassificeringen av information är en grundläggande process som gör det möjligt för organisationer att gruppera sina informationstillgångar i relevanta kategorier baserat på deras nödvändiga skyddsnivå.

Enligt ISO 27001: 2022 I bilaga A 5.1.2 måste information klassificeras baserat på olika faktorer, inklusive lagkrav, värde, kritikalitet och känslighet för obehörigt avslöjande eller modifiering. Denna klassificering bör utformas för att återspegla organisationens unika affärsverksamhet utan att hindra eller komplicera den.

Till exempel måste information avsedd för offentlig konsumtion vara lämpligt märkt, medan konfidentiella eller kommersiellt känsliga uppgifter måste ges en högre grad av säkerhet. Det är viktigt att notera att klassificeringen av information är en av de viktigaste kontrollerna i bilaga A till säkerställa att organisatoriska tillgångar skyddas.

Syftet med ISO 27001:2022 bilaga A 5.12

Bilaga A Kontroll 5.12 är en förebyggande kontroll som gör det möjligt för organisationer att identifiera risker genom att bestämma lämplig skyddsnivå för varje informationstillgång baserat på dess betydelse och känslighet.

I den kompletterande vägledningen varnar bilaga A Kontroll 5.12 uttryckligen för över- eller underklassificering av information. Organisationer måste beakta kraven på konfidentialitet, tillgänglighet och integritet när de tilldelar tillgångar till sina respektive kategorier. Detta hjälper till att säkerställa att klassificeringssystemet balanserar verksamhetens behov av information och säkerhetskraven för varje kategori av information.

Äganderätt till bilaga A 5.12

Även om det är viktigt att upprätta ett klassificeringssystem för informationstillgångar i hela organisationen, är det ytterst tillgångsägarnas ansvar att se till att det implementeras korrekt.

Enligt ISO 27001:2022 bilaga A 5.12 måste de med relevanta informationstillgångar hållas ansvariga. Till exempel bör redovisningsavdelningen klassificera information baserat på det organisationsövergripande klassificeringsschemat vid åtkomst till mappar som innehåller lönerapporter och kontoutdrag.

Vid klassificering av information är det avgörande för tillgångsägare att ta hänsyn till affärsbehoven och potentiell påverkan som en kompromiss av information kan ha på organisationen. Dessutom bör de ta hänsyn till informationens betydelse och känslighetsnivåer.

Hoppa till ämne
Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

Allmän vägledning om ISO 27001:2022 bilaga A 5.12

För att framgångsrikt implementera ett robust informationsklassificeringssystem bör organisationer ta ett aktuellt tillvägagångssätt, överväga varje affärsenhets specifika informationsbehov och utvärdera informationens känslighet och kritiska nivå.

Enligt bilaga A Kontroll 5.12 måste organisationer utvärdera följande sju kriterier när de implementerar ett klassificeringssystem:

Upprätta en ämnesspecifik policy och åtgärda specifika affärsbehov

Bilaga A Kontroll 5.12 i ledningssystem för informationssäkerhet hänvisar till bilaga A Kontroll 5.1, som avser passerkontroll. Den kräver att organisationer följer ämnesspecifika policyer som anges i bilaga A Kontroll 5.1. Dessutom bör klassificeringsschemat och nivåerna beakta specifika affärsbehov när informationstillgångar klassificeras.

Organisationer måste överväga sina affärsbehov för att dela och använda information, såväl som behovet av tillgång till sådan information. Klassificering av en informationstillgång kan emellertid störa affärskritiska funktioner genom att begränsa åtkomst till och användning av information.

Därför bör organisationer balansera sina specifika affärsbehov för tillgänglighet och användning av data och kravet på att upprätthålla konfidentialitet och integritet för denna information.

Tänk på juridiska skyldigheter

Särskilda lagar kan kräva att organisationer betonar att skydda sekretess, integritet och tillgänglighet för information. Därför bör rättsliga skyldigheter prioriteras framför organisationens interna klassificering vid kategorisering av informationstillgångar.

Att anta ett riskbaserat tillvägagångssätt och bedöma den potentiella effekten av ett säkerhetsintrång eller en kompromiss informationstillgångar är tillrådligt. Detta kommer att hjälpa till att prioritera och implementera lämpliga säkerhetsåtgärder för att minska de identifierade riskerna.

Varje form av information har en unik betydelsenivå för en organisations funktioner och har olika grader av känslighet beroende på de särskilda omständigheterna.

När en organisation implementerar ett informationsklassificeringssystem bör den överväga den potentiella inverkan som en äventyrande av informationens konfidentialitet, integritet eller tillgänglighet kan ha på organisationen.

Till exempel skulle känsligheten och den potentiella effekten av en databas som innehåller professionella e-postadresser till kvalificerade potentiella kunder skilja sig mycket från de anställdas hälsojournaler. Därför bör organisationen noggrant överväga vilken skyddsnivå som varje kategori av information kräver och allokera resurser därefter.

Regelbunden uppdatering och granskning av klassificeringen

Bilaga A Kontroll 5.12 erkänner att informationens värde, betydelse och känslighetsnivå kan förändras över tiden när data går igenom sin livscykel. Som ett resultat måste organisationer regelbundet se över sin klassificering av information och göra nödvändiga uppdateringar.

ISO 27001 Annex A Kontroll 5.12 avser att reducera informationens värde och känslighet i betydande utsträckning.

Det är viktigt att du rådgör med andra organisationer för att dela information och lösa eventuella skillnader.

Varje organisation kan ha distinkt terminologi, nivåer och standarder för sina informationsklassificeringssystem

Skillnader i informationsklassificering mellan organisationer kan leda till potentiella risker vid utbyte av informationstillgångar.

Organisationer måste samarbeta med sina motsvarigheter för att skapa konsensus för att säkerställa enhetlighet i informationsklassificering och konsekvent tolkning av klassificeringsnivåer för att mildra sådana risker.

Konsekvens på organisationsnivå

Varje avdelning inom en organisation måste ha en delad förståelse av klassificeringsnivåer och protokoll för att säkerställa enhetlighet i klassificeringar över hela organisationen.

Vägledning om hur man implementerar systemet för klassificering av information

Även om bilaga A 5.12 erkänner att det inte finns något universellt tillämpligt klassificeringssystem och organisationer har flexibiliteten att fastställa och definiera sina klassificeringsnivåer, illustrerar den ett informationsklassificeringssystem:

  • Avslöjande orsakar ingen skada.

  • Avslöjande orsakar mindre anseendeskada eller mindre operativ påverkan.

  • Offentliggörande har en betydande kortsiktig inverkan på verksamheten eller affärsmålen.

  • Offentliggörande påverkar allvarligt långsiktiga affärsmål eller riskerar organisationens överlevnad.

Ändringar och skillnader från ISO 27002:2013

Bilaga A 8.2.1 i den tidigare versionen behandlade klassificeringen av information.

Även om de två versionerna är ganska lika, finns det två huvudsakliga skillnader:

  1. För det första nämnde den tidigare versionen inte behovet av konsekvens i klassificeringsnivåer när information delas mellan organisationer. ISO 27001:2022 kräver dock att organisationer samarbetar med sina motsvarigheter för att säkerställa enhetlighet i informationsklassificering och förståelse.

  2. För det andra kräver den uppdaterade versionen uttryckligen att organisationer utvecklar policyer som är skräddarsydda för specifika ämnen. Endast en kort hänvisning till åtkomstkontroll gjordes i den äldre versionen.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Bilaga A Kontrollera.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online Hjälp

Vår plattformen är designad för att vara användarvänlig och enkel, som vänder sig till högtekniska personer och alla anställda i din organisation.

Vi förespråkar att involvera anställda på alla nivåer i verksamheten i konstruktionen av ditt ISMS eftersom det hjälper till att etablera ett hållbart system.

Ta reda på mer av boka en demo.

Jag har gjort ISO 27001 den hårda vägen så jag värdesätter verkligen hur mycket tid det sparade oss på att uppnå ISO 27001-certifiering.

Carl Vaughan
Infosec Lead, MetCloud

Boka din demo

100 % ISO 27001 framgång

Din enkla, praktiska, tidsbesparande väg till första gången ISO 27001 efterlevnad eller certifiering

Boka din demo
Metod med säkrade resultat

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer