Klassificering av information är en process som gör det möjligt för organisationer att gruppinformationstillgångar indelas i relevanta kategorier beroende på skyddsnivån varje kategori av information bör tillhandahållas.
Kontroll 5.12 handlar om implementering av ett system för klassificering av information baserat på krav på konfidentialitet, integritet och tillgänglighet för informationstillgångar.
5.12 är en förebyggande kontroll som identifierar risker genom att göra det möjligt för organisationer att bestämma skyddsnivån för varje informationstillgång baserat på informationens nivå av betydelse och känslighet.
5.12 varnar uttryckligen organisationer för över- eller underklassificering av information i den kompletterande vägledningen. Den anger att organisationer bör ta hänsyn till kraven på konfidentialitet, tillgänglighet och integritet när de tilldelar tillgångar till relevanta kategorier.
Detta säkerställer att klassificeringssystemet ger en lämplig balans mellan företagens behov för information och säkerhetskraven för varje informationskategori.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Identifiera | #Informationsskydd | #Skydd #Försvar |
Samtidigt som det bör finnas en organisationsövergripande klassificering av informationssystem med klassificeringsnivåer och kriterier för hur klassificera informationstillgångar, informationstillgångsägare är ytterst ansvariga för genomförandet av ett klassificeringssystem.
5.12 erkänner uttryckligen att ägare av relevant informationstillgång bör stå till svars.
Om till exempel redovisningsavdelningen har tillgång till mapparna med lönerapporter och kontoutdrag bör de klassificera information utifrån det organisationsövergripande klassificeringsschemat.
Vid klassificering av uppgifter bör tillgångsägaren ta hänsyn till ta hänsyn till verksamhetens behov, graden av inverkan en kompromiss av information skulle ha på organisationen och nivån på informationens betydelse och känslighet.
För att implementera ett robust system för klassificering av information bör organisationer anta ett ämnesspecifikt tillvägagångssätt, förstå varje affärsenhets behov av information och bestämma informationens känslighet och kritiska nivå.
5.12 kräver att organisationer tar hänsyn till följande sju kriterier när de implementerar ett klassificeringssystem:
5.12 hänvisar uttryckligen till 5.1, Åtkomstkontroll och kräver att organisationer följer ämnesspecifika policyer som beskrivs i 5.1. Dessutom bör klassificeringsschemat och nivåerna ta hänsyn till specifika affärsbehov.
Om du tilldelar en informationstillgång till en klassificeringskategori som är onödigt högre, kan detta medföra risken för avbrott i dina kritiska affärsfunktioner genom att begränsa åtkomst till och användning av information.
Därför bör du sträva efter att hitta en balans mellan dina specifika affärsbehov för tillgänglighet och användning av information och kraven på konfidentialitet och integritet för den informationen.
Vissa lagar kan ålägga dig strängare skyldigheter för att säkerställa sekretess, integritet och tillgänglighet för information. När du tilldelar informationstillgångar till kategorier bör juridiska skyldigheter ha företräde framför din egen klassificering.
Varje typ av information har olika grad av kritik för varje verksamhets verksamhet och har olika känslighetsnivå beroende på sammanhanget.
Vid genomförandet av klassificering av informationssystem bör organisationer fråga:
Vilken inverkan skulle kompromissen av integritet, tillgänglighet och konfidentialitet för denna information ha på organisationen?
Till exempel, databaser med professionella e-postadresser till kvalificerade potentiella kunder och hälsojournaler för anställda skiljer sig mycket åt när det gäller nivån av känslighet och potentiell påverkan.
5.12 noterar att informationens värde, kritik och känslighet inte är statisk och kan förändras under informationens livscykel. Därför måste du regelbundet granska varje klassificering och göra nödvändiga uppdateringar.
Som ett exempel på en sådan förändring hänvisar 5.12 till utlämnande av information till allmänheten, vilket avsevärt minskar informationens värde och känslighet.
Det finns inget sätt att klassificera information och varje organisation kan ha olika namn, nivåer och kriterier när det kommer till klassificering av informationssystem.
Dessa skillnader kan leda till risker när de två organisationerna utbyter informationstillgångar med varandra. Därför måste du ingå ett avtal med din motpart för att säkerställa att det finns konsekvent klassificering av information och tolkning av klassificeringsnivåer.
Varje avdelning inom organisationen bör ha en gemensam förståelse för klassificeringsnivåer och procedurer så att klassificeringarna är konsekventa över hela organisationen.
Även om 5.12 erkänner att det inte finns något klassificeringssystem som passar alla och organisationer har spelrum när det gäller att bestämma och beskriva individuella klassificeringsnivåer, ger den följande exempel som ett informationsklassificeringsschema:
a) Avslöjande orsakar ingen skada;
b) Avslöjande orsakar mindre anseendeskada eller mindre operativ påverkan;
c) Offentliggörande har en betydande kortsiktig inverkan på verksamheten eller affärsmålen;
d) Offentliggörande har en allvarlig inverkan på långsiktiga affärsmål eller sätter organisationens överlevnad på spel.
Klassificeringen av information behandlades i avsnitt 8.2.1 i den tidigare versionen.
Även om de två versionerna är mycket lika, finns det två viktiga skillnader:
I den gamla versionen fanns det ingen uttrycklig hänvisning till kravet på enhetlighet i klassificeringsnivåer när information överförs mellan organisationer.
I 2022 års version behöver du dock ingå ett avtal med din motpart för att säkerställa att det finns konsistens i klassificering av information och tolkning av klassificeringsnivåer.
För det andra kräver den nya versionen uttryckligen att organisationer ska införa ämnesspecifika policyer. I den äldre versionen fanns det däremot bara en kort referens till åtkomstkontrollen.
Vår plattform är intuitivt och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer i ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
