Syfte med kontroll 5.12
5.12 är en förebyggande kontroll som identifierar risker genom att göra det möjligt för organisationer att bestämma skyddsnivån för varje informationstillgång baserat på informationens nivå av betydelse och känslighet.
5.12 varnar uttryckligen organisationer för över- eller underklassificering av information i den kompletterande vägledningen. Den anger att organisationer bör ta hänsyn till kraven på konfidentialitet, tillgänglighet och integritet när de tilldelar tillgångar till relevanta kategorier.
Detta säkerställer att klassificeringssystemet ger en lämplig balans mellan företagens behov för information och säkerhetskraven för varje informationskategori.
Kontrollattribut 5.12
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Identifiera | #Informationsskydd | #Skydd |
| #Integritet | #Försvar | |||
| #Tillgänglighet |
Äganderätt till kontroll 5.12
Samtidigt som det bör finnas en organisationsövergripande klassificering av informationssystem med klassificeringsnivåer och kriterier för hur klassificera informationstillgångar, informationstillgångsägare är ytterst ansvariga för genomförandet av ett klassificeringssystem.
5.12 erkänner uttryckligen att ägare av relevant informationstillgång bör stå till svars.
Om till exempel redovisningsavdelningen har tillgång till mapparna med lönerapporter och kontoutdrag bör de klassificera information utifrån det organisationsövergripande klassificeringsschemat.
Vid klassificering av uppgifter bör tillgångsägaren ta hänsyn till ta hänsyn till verksamhetens behov, graden av inverkan en kompromiss av information skulle ha på organisationen och nivån på informationens betydelse och känslighet.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om kontroll 5.12
För att implementera ett robust system för klassificering av information bör organisationer anta ett ämnesspecifikt tillvägagångssätt, förstå varje affärsenhets behov av information och bestämma informationens känslighet och kritiska nivå.
5.12 kräver att organisationer tar hänsyn till följande sju kriterier när de implementerar ett klassificeringssystem:
- Upprätta en ämnesspecifik policy och ta itu med de specifika affärsbehoven
5.12 hänvisar uttryckligen till 5.1, Åtkomstkontroll och kräver att organisationer följer ämnesspecifika policyer som beskrivs i 5.1. Dessutom bör klassificeringsschemat och nivåerna ta hänsyn till specifika affärsbehov.
- Ta hänsyn till verksamhetens behov av delning och användning av information och behovet av tillgänglighet
Om du tilldelar en informationstillgång till en klassificeringskategori som är onödigt högre, kan detta medföra risken för avbrott i dina kritiska affärsfunktioner genom att begränsa åtkomst till och användning av information.
Därför bör du sträva efter att hitta en balans mellan dina specifika affärsbehov för tillgänglighet och användning av information och kraven på konfidentialitet och integritet för den informationen.
- Tänk på juridiska skyldigheter
Vissa lagar kan ålägga dig strängare skyldigheter för att säkerställa sekretess, integritet och tillgänglighet för information. När du tilldelar informationstillgångar till kategorier bör juridiska skyldigheter ha företräde framför din egen klassificering.
- Ta ett riskbaserat tillvägagångssätt och överväg den potentiella effekten av en kompromiss
Varje typ av information har olika grad av kritik för varje verksamhets verksamhet och har olika känslighetsnivå beroende på sammanhanget.
Vid genomförandet av klassificering av informationssystem bör organisationer fråga:
Vilken inverkan skulle kompromissen av integritet, tillgänglighet och konfidentialitet för denna information ha på organisationen?
Till exempel, databaser med professionella e-postadresser till kvalificerade potentiella kunder och hälsojournaler för anställda skiljer sig mycket åt när det gäller nivån av känslighet och potentiell påverkan.
- Se över och uppdatera klassificeringen regelbundet
5.12 noterar att informationens värde, kritik och känslighet inte är statisk och kan förändras under informationens livscykel. Därför måste du regelbundet granska varje klassificering och göra nödvändiga uppdateringar.
Som ett exempel på en sådan förändring hänvisar 5.12 till utlämnande av information till allmänheten, vilket avsevärt minskar informationens värde och känslighet.
- Rådgör med andra organisationer som du delar information med och åtgärda eventuella skillnader
Det finns inget sätt att klassificera information och varje organisation kan ha olika namn, nivåer och kriterier när det kommer till klassificering av informationssystem.
Dessa skillnader kan leda till risker när de två organisationerna utbyter informationstillgångar med varandra. Därför måste du ingå ett avtal med din motpart för att säkerställa att det finns konsekvent klassificering av information och tolkning av klassificeringsnivåer.
- Konsistens på organisationsnivå
Varje avdelning inom organisationen bör ha en gemensam förståelse för klassificeringsnivåer och procedurer så att klassificeringarna är konsekventa över hela organisationen.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Vägledning om hur man implementerar klassificering av informationssystem
Även om 5.12 erkänner att det inte finns något klassificeringssystem som passar alla och organisationer har spelrum när det gäller att bestämma och beskriva individuella klassificeringsnivåer, ger den följande exempel som ett informationsklassificeringsschema:
a) Avslöjande orsakar ingen skada;
b) Avslöjande orsakar mindre anseendeskada eller mindre operativ påverkan;
c) Offentliggörande har en betydande kortsiktig inverkan på verksamheten eller affärsmålen;
d) Offentliggörande har en allvarlig inverkan på långsiktiga affärsmål eller sätter organisationens överlevnad på spel.
Ändringar och skillnader från ISO 27002:2013
Klassificeringen av information behandlades i avsnitt 8.2.1 i den tidigare versionen.
Även om de två versionerna är mycket lika, finns det två viktiga skillnader:
I den gamla versionen fanns det ingen uttrycklig hänvisning till kravet på enhetlighet i klassificeringsnivåer när information överförs mellan organisationer.
I 2022 års version behöver du dock ingå ett avtal med din motpart för att säkerställa att det finns konsistens i klassificering av information och tolkning av klassificeringsnivåer.
För det andra kräver den nya versionen uttryckligen att organisationer ska införa ämnesspecifika policyer. I den äldre versionen fanns det däremot bara en kort referens till åtkomstkontrollen.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
Vår plattform är intuitivt och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer i ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
