ISO 27001:2022 Bilaga A 5.13 – Märkning av information

Vad är syftet med ISO 27001:2022 bilaga A 5.13?

Syftet med bilaga A 5.13 är dubbelt; för att skydda informationstillgångar mot säkerhetsrisker:

• Informationstillgångar kan klassificeras på ett enkelt sätt när de kommuniceras internt och externt. Det är då anställda och tredje parter kan komma åt och använda informationen.
• Informationsbehandling och hantering kan effektiviseras genom automatisering.

Vem har äganderätten till bilaga A 5.13?

Informationstillgångar kan märkas genom att lägga till metadata, så metadataförvaltare måste vara ansvariga för att korrekt implementera märkningsprocessen.

Alla datatillgångar måste märkas på lämpligt sätt, och tillgångsägare måste göra eventuella ändringar av märkning med åtkomst- och modifieringsbehörigheter.

Allmänna riktlinjer för hur man följer ISO 27001:2022 bilaga A 5.13

Med hjälp av bilaga A Kontroll 5.13 kan organisationer märka information i enlighet med fyra specifika steg.

Upprätta en procedur för märkning av information

Informationsklassificeringsschemat som skapats enligt bilaga A Kontroll 5.12 bör följas av organisationers informationsmärkningsprocedurer.

5.13 kräver också att denna procedur gäller alla informationstillgångar, oavsett om de är digitala eller papper, och att etiketterna måste vara lätta att känna igen.

Det finns ingen gräns för vad detta procedurdokument kan innehålla, men bilaga A Kontroll 5.13 kräver att procedurerna inkluderar följande:

• En förklaring av metoderna för att fästa etiketter på informationstillgångar baserat på typen av lagringsmedium och hur data nås.
• För varje typ av informationstillgång, där etiketterna ska fästas.
• Till exempel kan en organisation utelämna offentliga uppgifter som en del av sin informationsmärkningsprocess.
• Tekniska, juridiska eller kontraktuella begränsningar förhindrar märkning av vissa typer av information.
• Regler styr hur information ska märkas när den överförs internt eller externt.
• Instruktioner bör medfölja digitala tillgångar om hur man infogar metadata.
• Alla tillgångar ska märkas med samma namn.

Tillhandahålla adekvat utbildning om märkningsprocedurer till anställda

Personal och andra relevanta intressenter måste förstå hur man märker information korrekt och hantera märkta informationstillgångar innan förfarandet för märkningsinformation kan träda i kraft.

Som ett resultat av detta bör organisationer utbilda personal och andra relevanta parter om förfarandet.

Digital informationstillgångar bör märkas med metadata

Digitala informationstillgångar måste märkas med metadata enligt 5.13.

Utplacering av metadata bör också underlätta identifiering och sökning efter information och effektivisera beslutsfattande mellan system relaterade till märkt information.

Extra försiktighetsåtgärder bör vidtas för att märka känsliga data som kan lämna systemet

Bilaga A 5.13 rekommendationen fokuserar på att identifiera den lämpligaste märkningen för utåtriktad märkning överföringar av kritisk och känslig information tillgångar, med tanke på riskerna.

Bilaga A 5.13 Kompletterande vägledning

För att datadelningsverksamheten ska vara säker är det viktigt att korrekt identifiera och märka sekretessbelagd information.

Bilaga A 5.13 rekommenderar också att organisationer infogar ytterligare metadatapunkter. Det vill säga namnet på processen som skapade informationstillgången och tidpunkten då den skapades.

Dessutom beskriver bilaga A 5.13 standardmärkningstekniker som organisationer kan använda:

• Fysiska etiketter
• Huvud och sidfot
• metadata
• vattenmärkning
• Gummistämplar

Slutligen betonar bilaga A 5.13 att märkning av informationstillgångar som "konfidentiella" och "sekretessbelagda" kan få oavsiktliga konsekvenser. Detta kan göra det lättare för illvilliga aktörer att upptäcka och hitta känslig informationstillgångar.

Vilka är ändringarna och skillnaderna från ISO 27001:2013?

ISO 27001: 2022 Bilaga A 5.13 ersätter ISO 27001:2013 Bilaga A 8.2.2 (Märkning av information).

Båda kontrollerna i bilaga A liknar till viss del, men två viktiga skillnader gör ISO 27001:2022-versionen mer omfattande.

Användningen av metadata har krävts för att uppfylla nya krav

Även om 2013 års version hänvisade till metadata som en märkningsteknik, införde den inga specifika skyldigheter för efterlevnad vid användning av metadata.

Däremot innehåller 2022-versionen skillnader och ändringar från ISO 27001:2013.

Användningen av metadata är nu ett krav

Under 2013 kallades metadata som en märkningsteknik, men inga specifika krav på efterlevnad infördes.

Tvärtemot detta innehåller 2022-versionen strikta krav på metadatatekniker. Till exempel kräver 2022-versionen följande:

• Att lägga till metadata till information underlättar dess identifiering, hantering och upptäckt.
• Det är nödvändigt att infoga metadata för namn och datum för processen som skapade tillgången.

Det är nödvändigt att tillhandahålla fler detaljer i informationsmärkningsproceduren

Informationsmärkningsprocedurer i 2013 års version krävdes inte att inkludera minsta innehåll som i 2022 års version.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 bilaga A Kontrollera.

Hur ISMS.online hjälper

Implementering av ISO 27001 är enklare med vår steg-för-steg checklista, som guidar dig från att definiera omfattningen av ditt ISMS genom riskidentifiering och bilaga A kontrollimplementering.

Använda vår plattform är intuitivt och enkelt. Det är inte bara för högtekniska medarbetare utan alla i ditt företag. Vi uppmuntrar dig att involvera hela din personalstyrka i att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.

Hör av dig idag för att boka en demo.