Hoppa till innehåll
ISMS.online

ISO 27002:2022 – Kontroll 5.12 – Klassificering av information

Klassificering av information är en process som gör det möjligt för organisationer att gruppinformationstillgångar i relevanta kategorier beroende på skyddsnivån som varje kategori av information bör tillhandahållas. Kontroll 5.12 handlar om implementering av ett system för klassificering av information baserat på krav på konfidentialitet, integritet och tillgänglighet för informationstillgångar.

Författare
Sam Peters
Uppdaterad juli 25, 2025
4/5 stjärnor

Syfte med kontroll 5.12

5.12 är en förebyggande kontroll som identifierar risker genom att göra det möjligt för organisationer att bestämma skyddsnivån för varje informationstillgång baserat på informationens nivå av betydelse och känslighet.

5.12 varnar uttryckligen organisationer för över- eller underklassificering av information i den kompletterande vägledningen. Den anger att organisationer bör ta hänsyn till kraven på konfidentialitet, tillgänglighet och integritet när de tilldelar tillgångar till relevanta kategorier.

Detta säkerställer att klassificeringssystemet ger en lämplig balans mellan företagens behov för information och säkerhetskraven för varje informationskategori.

Kontrollattribut 5.12

Kontroll typ Informationssäkerhetsegenskaper Cybersäkerhetskoncept Operativa förmågor Säkerhetsdomäner
#Förebyggande #Sekretess #Identifiera #Informationsskydd #Skydd
#Integritet #Försvar
#Tillgänglighet

Äganderätt till kontroll 5.12

Samtidigt som det bör finnas en organisationsövergripande klassificering av informationssystem med klassificeringsnivåer och kriterier för hur klassificera informationstillgångar, informationstillgångsägare är ytterst ansvariga för genomförandet av ett klassificeringssystem.

5.12 erkänner uttryckligen att ägare av relevant informationstillgång bör stå till svars.

Om till exempel redovisningsavdelningen har tillgång till mapparna med lönerapporter och kontoutdrag bör de klassificera information utifrån det organisationsövergripande klassificeringsschemat.

Vid klassificering av uppgifter bör tillgångsägaren ta hänsyn till ta hänsyn till verksamhetens behov, graden av inverkan en kompromiss av information skulle ha på organisationen och nivån på informationens betydelse och känslighet.



ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG


Allmän vägledning om kontroll 5.12

För att implementera ett robust system för klassificering av information bör organisationer anta ett ämnesspecifikt tillvägagångssätt, förstå varje affärsenhets behov av information och bestämma informationens känslighet och kritiska nivå.

5.12 kräver att organisationer tar hänsyn till följande sju kriterier när de implementerar ett klassificeringssystem:

  • Upprätta en ämnesspecifik policy och ta itu med de specifika affärsbehoven

5.12 hänvisar uttryckligen till 5.1, Åtkomstkontroll och kräver att organisationer följer ämnesspecifika policyer som beskrivs i 5.1. Dessutom bör klassificeringsschemat och nivåerna ta hänsyn till specifika affärsbehov.

  • Ta hänsyn till verksamhetens behov av delning och användning av information och behovet av tillgänglighet

Om du tilldelar en informationstillgång till en klassificeringskategori som är onödigt högre, kan detta medföra risken för avbrott i dina kritiska affärsfunktioner genom att begränsa åtkomst till och användning av information.

Därför bör du sträva efter att hitta en balans mellan dina specifika affärsbehov för tillgänglighet och användning av information och kraven på konfidentialitet och integritet för den informationen.

  • Tänk på juridiska skyldigheter

Vissa lagar kan ålägga dig strängare skyldigheter för att säkerställa sekretess, integritet och tillgänglighet för information. När du tilldelar informationstillgångar till kategorier bör juridiska skyldigheter ha företräde framför din egen klassificering.

  • Ta ett riskbaserat tillvägagångssätt och överväg den potentiella effekten av en kompromiss

Varje typ av information har olika grad av kritik för varje verksamhets verksamhet och har olika känslighetsnivå beroende på sammanhanget.

Vid genomförandet av klassificering av informationssystem bör organisationer fråga:

Vilken inverkan skulle kompromissen av integritet, tillgänglighet och konfidentialitet för denna information ha på organisationen?

Till exempel, databaser med professionella e-postadresser till kvalificerade potentiella kunder och hälsojournaler för anställda skiljer sig mycket åt när det gäller nivån av känslighet och potentiell påverkan.

  • Se över och uppdatera klassificeringen regelbundet

5.12 noterar att informationens värde, kritik och känslighet inte är statisk och kan förändras under informationens livscykel. Därför måste du regelbundet granska varje klassificering och göra nödvändiga uppdateringar.

Som ett exempel på en sådan förändring hänvisar 5.12 till utlämnande av information till allmänheten, vilket avsevärt minskar informationens värde och känslighet.

  • Rådgör med andra organisationer som du delar information med och åtgärda eventuella skillnader

Det finns inget sätt att klassificera information och varje organisation kan ha olika namn, nivåer och kriterier när det kommer till klassificering av informationssystem.

Dessa skillnader kan leda till risker när de två organisationerna utbyter informationstillgångar med varandra. Därför måste du ingå ett avtal med din motpart för att säkerställa att det finns konsekvent klassificering av information och tolkning av klassificeringsnivåer.

  • Konsistens på organisationsnivå

Varje avdelning inom organisationen bör ha en gemensam förståelse för klassificeringsnivåer och procedurer så att klassificeringarna är konsekventa över hela organisationen.



klättring

Befria dig från ett berg av kalkylblad

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo


Vägledning om hur man implementerar klassificering av informationssystem

Även om 5.12 erkänner att det inte finns något klassificeringssystem som passar alla och organisationer har spelrum när det gäller att bestämma och beskriva individuella klassificeringsnivåer, ger den följande exempel som ett informationsklassificeringsschema:

a) Avslöjande orsakar ingen skada;

b) Avslöjande orsakar mindre anseendeskada eller mindre operativ påverkan;

c) Offentliggörande har en betydande kortsiktig inverkan på verksamheten eller affärsmålen;

d) Offentliggörande har en allvarlig inverkan på långsiktiga affärsmål eller sätter organisationens överlevnad på spel.

Ändringar och skillnader från ISO 27002:2013

Klassificeringen av information behandlades i avsnitt 8.2.1 i den tidigare versionen.

Även om de två versionerna är mycket lika, finns det två viktiga skillnader:

I den gamla versionen fanns det ingen uttrycklig hänvisning till kravet på enhetlighet i klassificeringsnivåer när information överförs mellan organisationer.

I 2022 års version behöver du dock ingå ett avtal med din motpart för att säkerställa att det finns konsistens i klassificering av information och tolkning av klassificeringsnivåer.

För det andra kräver den nya versionen uttryckligen att organisationer ska införa ämnesspecifika policyer. I den äldre versionen fanns det däremot bara en kort referens till åtkomstkontrollen.

Nya ISO 27002 kontroller

Nya kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.7 NYA Hot intelligens
5.23 NYA Informationssäkerhet för användning av molntjänster
5.30 NYA ICT-beredskap för kontinuitet i verksamheten
7.4 NYA Fysisk säkerhetsövervakning
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.16 NYA Övervakningsaktiviteter
8.23 NYA Webbfiltrering
8.28 NYA Säker kodning
Organisatoriska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.1 05.1.1, 05.1.2 Policyer för informationssäkerhet
5.2 06.1.1 Informationssäkerhetsroller och ansvar
5.3 06.1.2 Uppdelning av arbetsuppgifter
5.4 07.2.1 Ledningsansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med intressegrupper
5.7 NYA Hot intelligens
5.8 06.1.5, 14.1.1 Informationssäkerhet i projektledning
5.9 08.1.1, 08.1.2 Inventering av information och andra tillhörande tillgångar
5.10 08.1.3, 08.2.3 Acceptabel användning av information och andra tillhörande tillgångar
5.11 08.1.4 Återlämnande av tillgångar
5.12 08.2.1 Klassificering av information
5.13 08.2.2 Märkning av information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsöverföring
5.15 09.1.1, 09.1.2 Åtkomstkontroll
5.16 09.2.1 Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformation
5.18 09.2.2, 09.2.5, 09.2.6 Tillträdesrättigheter
5.19 15.1.1 Informationssäkerhet i leverantörsrelationer
5.20 15.1.2 Adressering av informationssäkerhet inom leverantörsavtal
5.21 15.1.3 Hantera informationssäkerhet i IKT-försörjningskedjan
5.22 15.2.1, 15.2.2 Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23 NYA Informationssäkerhet för användning av molntjänster
5.24 16.1.1 Informationssäkerhet incidenthantering planering och förberedelse
5.25 16.1.4 Bedömning och beslut om informationssäkerhetshändelser
5.26 16.1.5 Respons på informationssäkerhetsincidenter
5.27 16.1.6 Lär av informationssäkerhetsincidenter
5.28 16.1.7 Insamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informationssäkerhet vid avbrott
5.30 5.30 ICT-beredskap för kontinuitet i verksamheten
5.31 18.1.1, 18.1.5 Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32 18.1.2 Immateriella rättigheter
5.33 18.1.3 Skydd av register
5.34 18.1.4 Integritet och skydd av PII
5.35 18.2.1 Oberoende granskning av informationssäkerhet
5.36 18.2.2, 18.2.3 Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37 12.1.1 Dokumenterade driftprocedurer
Människor kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
6.1 07.1.1 Screening
6.2 07.1.2 Anställningsvillkor
6.3 07.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning
6.4 07.2.3 Disciplinär process
6.5 07.3.1 Ansvar efter uppsägning eller byte av anställning
6.6 13.2.4 Sekretess- eller sekretessavtal
6.7 06.2.2 Fjärrbearbetning
6.8 16.1.2, 16.1.3 Händelserapportering för informationssäkerhet
Fysiska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
7.1 11.1.1 Fysiska säkerhetsområden
7.2 11.1.2, 11.1.6 Fysiskt inträde
7.3 11.1.3 Säkra kontor, rum och lokaler
7.4 NYA Fysisk säkerhetsövervakning
7.5 11.1.4 Skydd mot fysiska och miljömässiga hot
7.6 11.1.5 Arbeta i säkra områden
7.7 11.2.9 Tydligt skrivbord och tydlig skärm
7.8 11.2.1 Utrustningsplacering och skydd
7.9 11.2.6 Säkerhet av tillgångar utanför lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedia
7.11 11.2.2 Stöd till verktyg
7.12 11.2.3 Kabelsäkerhet
7.13 11.2.4 Utrustningsunderhåll
7.14 11.2.7 Säker kassering eller återanvändning av utrustning
Tekniska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
8.1 06.2.1, 11.2.8 Användarslutpunktsenheter
8.2 09.2.3 Privilegerade åtkomsträttigheter
8.3 09.4.1 Begränsning av informationsåtkomst
8.4 09.4.5 Tillgång till källkod
8.5 09.4.2 Säker autentisering
8.6 12.1.3 Kapacitetshantering
8.7 12.2.1 Skydd mot skadlig programvara
8.8 12.6.1, 18.2.3 Hantering av tekniska sårbarheter
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.13 12.3.1 Säkerhetskopiering av information
8.14 17.2.1 Redundans av informationsbehandlingsanläggningar
8.15 12.4.1, 12.4.2, 12.4.3 Loggning
8.16 NYA Övervakningsaktiviteter
8.17 12.4.4 Klocksynkronisering
8.18 09.4.4 Användning av privilegierade verktygsprogram
8.19 12.5.1, 12.6.2 Installation av programvara på operativsystem
8.20 13.1.1 Nätverkssäkerhet
8.21 13.1.2 Säkerhet för nätverkstjänster
8.22 13.1.3 Segregation av nätverk
8.23 NYA Webbfiltrering
8.24 10.1.1, 10.1.2 Användning av kryptografi
8.25 14.2.1 Säker utvecklingslivscykel
8.26 14.1.2, 14.1.3 Säkerhetskrav för applikationer
8.27 14.2.5 Säker systemarkitektur och tekniska principer
8.28 NYA Säker kodning
8.29 14.2.8, 14.2.9 Säkerhetstestning i utveckling och acceptans
8.30 14.2.7 Outsourcade utveckling
8.31 12.1.4, 14.2.6 Separation av utvecklings-, test- och produktionsmiljöer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Ändra hanteringen
8.33 14.3.1 Testinformation
8.34 12.7.1 Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

Vår plattform är intuitivt och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer i ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.

Hör av dig idag för att boka en demo.

Sam Peters

Sam är Chief Product Officer på ISMS.online och leder utvecklingen av alla produktegenskaper och funktionalitet. Sam är expert på många områden av efterlevnad och arbetar med kunder på alla skräddarsydda eller storskaliga projekt.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.