Hoppa till innehåll
ISMS.online

ISO 27002:2022 – Kontroll 5.13 – Märkning av information

Märkning av information är ett förfarande som gör det möjligt för organisationer att omsätta sitt informationsklassificeringssystem i praktiken genom att fästa klassificeringsetiketter på relevanta informationstillgångar. Kontroll 5.13 tar upp hur organisationer ska utveckla, implementera och hantera ett robust informationsmärkningsförfarande baserat på klassificeringsschemat som antagits genom Kontroll 5.12.

Författare
Sam Peters
Uppdaterad juli 25, 2025
4/5 stjärnor

Syfte med kontroll 5.13

5.13 är en förebyggande kontroll som skyddar informationstillgångar mot säkerhetsrisker genom att hjälpa organisationer att uppnå två distinkta syften:

  • För att göra det lättare att visa klassificeringsnivån varje informationstillgång ges när informationen kommuniceras internt och externt och när den nås och används av anställda och tredje part.
  • Effektivisering av processen för att automatisera informationshantering och bearbetning.

Kontrollattribut 5.13

Kontroll typ Informationssäkerhetsegenskaper Cybersäkerhetskoncept Operativa förmågor Säkerhetsdomäner
#Förebyggande #Sekretess #Skydda #Informationsskydd #Försvar
#Integritet #Skydd
#Tillgänglighet

Äganderätt till kontroll 5.13

Med tanke på att lägga till metadata till digitala tillgångar är det primära sättet att märka informationstillgångar, ska metadataförvaltare vara ansvariga för korrekt implementering av märkningsförfarandet.

Vid sidan av metadataförvaltarna ska tillgångsägare med åtkomst- och modifieringsbehörighet vara ansvariga för korrekt märkning av alla datatillgångar och ska göra nödvändiga ändringar av märkningen om det behövs.



ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG


Allmän vägledning om hur man följer

Kontroll 5.13 identifierar fyra specifika steg som organisationer bör genomföra för att utföra märkning av information i enlighet med 5.13.

Utveckla och implementera en informationsmärkningsprocedur

Organisationer bör utveckla en organisationsövergripande informationsmärkningsprocedur som följer informationsklassificeringsschemat som skapats i enlighet med kontroll 5.12.

Vidare kräver 5.13 att denna procedur utvidgas till att omfatta alla informationstillgångar, oavsett om de är i digitalt eller pappersformat och att etiketterna måste vara lätta att känna igen.

Även om det inte finns någon gräns för vad detta procedurdokument kan innehålla, anger kontroll 5.13 att procedurerna åtminstone bör innehålla följande:

  • Beskrivning av metoderna för att fästa etiketter på informationstillgångar beroende på lagringsmedium och hur data nås.
  • Där etiketterna ska fästas för varje typ av informationstillgång.
  • Vilka informationstillgångar kommer inte att märkas, om några. Till exempel kan en organisation utelämna märkning av offentliga data för att effektivisera informationsmärkningsprocessen.
  • Beskrivning av åtgärder för de fall det inte är möjligt att märka vissa typer av information på grund av tekniska, juridiska eller avtalsmässiga begränsningar.
  • Reglerna om hur märkning av information som överförs till interna eller externa parter ska hanteras.
  • För digitala tillgångar ska förfarandet förklara hur metadata ska infogas.
  • Namn på etiketter som ska användas för alla tillgångar.

Ge personalen adekvat utbildning om hur man följer märkningsproceduren

Förfarandet för märkning av information kan endast vara effektivt i den mån personalen och andra relevanta intressenter är välinformerade om hur man korrekt märker information och hur man hanterar märkta informationstillgångar.

Därför bör organisationer ge personal och andra relevanta parter utbildning i förfarandet.

Använd metadata för märkning av digitala informationstillgångar

5.13 kräver användning av metadata för märkning av digitala informationstillgångar.

Vidare noteras att metadata bör distribueras på ett sätt som gör det enkelt och effektivt att identifiera och söka information och även på ett sätt som effektiviserar beslutsprocessen mellan system relaterade till märkt information.

Vidta extra åtgärder för att märka känsliga data som kan strömma ut från systemet

Med tanke på riskerna med utåtgående överföring av känsliga uppgifter från system rekommenderar 5.13 organisationer att märka dessa informationstillgångar med de som är mest lämpliga för den aktuella informationens kritiska nivå och känslighet.

Kompletterande vägledning om kontroll 5.13

5.13 understryker att identifiering och korrekt märkning av sekretessbelagd information är avgörande för säkerheten vid datadelningsoperationer.

Utöver de fyra specifika stegen som beskrivs ovan, rekommenderar 5.13 också att organisationer infogar ytterligare metadatapunkter som namnet på processen som skapade informationstillgången och tidpunkten för sådan skapelse.

Dessutom hänvisar 5.13 till de vanliga märkningstekniker som organisationer kan implementera:

  • Fysiska etiketter
  • Huvud och sidfot
  • metadata
  • vattenmärkning
  • Gummistämplar

Slutligen betonar 5.13 att märkning av informationstillgångar som "konfidentiella" och "sekretessbelagda" kan få oavsiktliga konsekvenser eftersom det kan göra det lättare för illvilliga aktörer att söka igenom och hitta känslig informationstillgång.



ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


Ändringar och skillnader från ISO 27002:2013

27002:2022/5.13 ersätter 27002:2013/8.2.2 (Märkning av information).

Även om de två kontrollerna till viss del liknar varandra, finns det två viktiga skillnader som gör 2022-versionen mer omfattande.

Nya krav på användning av metadata

Medan 2013 års version hänvisade till metadata som en märkningsteknik, införde den inga särskilda skyldigheter för efterlevnad vid användning av metadata.

Däremot ställer 2022-versionen strikta krav på hur man använder metadatateknik. För att illustrera kräver 2022-versionen att:

  • Metadata läggs till information på ett sätt som gör det enkelt att identifiera, hantera och upptäcka information på ett effektivt sätt.
  • Metadata för namnet på den organisatoriska process som skapade en specifik tillgång och dess tid ska infogas.

Innehållet i informationsmärkningsförfarandet måste vara mer detaljerat

I motsats till 2022-versionen specificerade 2013-versionen inte det lägsta innehållet som skulle inkluderas i en informationsmärkningsprocedur.

Nya ISO 27002 kontroller

Nya kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.7 NYA Hot intelligens
5.23 NYA Informationssäkerhet för användning av molntjänster
5.30 NYA ICT-beredskap för kontinuitet i verksamheten
7.4 NYA Fysisk säkerhetsövervakning
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.16 NYA Övervakningsaktiviteter
8.23 NYA Webbfiltrering
8.28 NYA Säker kodning
Organisatoriska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.1 05.1.1, 05.1.2 Policyer för informationssäkerhet
5.2 06.1.1 Informationssäkerhetsroller och ansvar
5.3 06.1.2 Uppdelning av arbetsuppgifter
5.4 07.2.1 Ledningsansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med intressegrupper
5.7 NYA Hot intelligens
5.8 06.1.5, 14.1.1 Informationssäkerhet i projektledning
5.9 08.1.1, 08.1.2 Inventering av information och andra tillhörande tillgångar
5.10 08.1.3, 08.2.3 Acceptabel användning av information och andra tillhörande tillgångar
5.11 08.1.4 Återlämnande av tillgångar
5.12 08.2.1 Klassificering av information
5.13 08.2.2 Märkning av information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsöverföring
5.15 09.1.1, 09.1.2 Åtkomstkontroll
5.16 09.2.1 Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformation
5.18 09.2.2, 09.2.5, 09.2.6 Tillträdesrättigheter
5.19 15.1.1 Informationssäkerhet i leverantörsrelationer
5.20 15.1.2 Adressering av informationssäkerhet inom leverantörsavtal
5.21 15.1.3 Hantera informationssäkerhet i IKT-försörjningskedjan
5.22 15.2.1, 15.2.2 Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23 NYA Informationssäkerhet för användning av molntjänster
5.24 16.1.1 Informationssäkerhet incidenthantering planering och förberedelse
5.25 16.1.4 Bedömning och beslut om informationssäkerhetshändelser
5.26 16.1.5 Respons på informationssäkerhetsincidenter
5.27 16.1.6 Lär av informationssäkerhetsincidenter
5.28 16.1.7 Insamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informationssäkerhet vid avbrott
5.30 5.30 ICT-beredskap för kontinuitet i verksamheten
5.31 18.1.1, 18.1.5 Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32 18.1.2 Immateriella rättigheter
5.33 18.1.3 Skydd av register
5.34 18.1.4 Integritet och skydd av PII
5.35 18.2.1 Oberoende granskning av informationssäkerhet
5.36 18.2.2, 18.2.3 Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37 12.1.1 Dokumenterade driftprocedurer
Människor kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
6.1 07.1.1 Screening
6.2 07.1.2 Anställningsvillkor
6.3 07.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning
6.4 07.2.3 Disciplinär process
6.5 07.3.1 Ansvar efter uppsägning eller byte av anställning
6.6 13.2.4 Sekretess- eller sekretessavtal
6.7 06.2.2 Fjärrbearbetning
6.8 16.1.2, 16.1.3 Händelserapportering för informationssäkerhet
Fysiska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
7.1 11.1.1 Fysiska säkerhetsområden
7.2 11.1.2, 11.1.6 Fysiskt inträde
7.3 11.1.3 Säkra kontor, rum och lokaler
7.4 NYA Fysisk säkerhetsövervakning
7.5 11.1.4 Skydd mot fysiska och miljömässiga hot
7.6 11.1.5 Arbeta i säkra områden
7.7 11.2.9 Tydligt skrivbord och tydlig skärm
7.8 11.2.1 Utrustningsplacering och skydd
7.9 11.2.6 Säkerhet av tillgångar utanför lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedia
7.11 11.2.2 Stöd till verktyg
7.12 11.2.3 Kabelsäkerhet
7.13 11.2.4 Utrustningsunderhåll
7.14 11.2.7 Säker kassering eller återanvändning av utrustning
Tekniska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
8.1 06.2.1, 11.2.8 Användarslutpunktsenheter
8.2 09.2.3 Privilegerade åtkomsträttigheter
8.3 09.4.1 Begränsning av informationsåtkomst
8.4 09.4.5 Tillgång till källkod
8.5 09.4.2 Säker autentisering
8.6 12.1.3 Kapacitetshantering
8.7 12.2.1 Skydd mot skadlig programvara
8.8 12.6.1, 18.2.3 Hantering av tekniska sårbarheter
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.13 12.3.1 Säkerhetskopiering av information
8.14 17.2.1 Redundans av informationsbehandlingsanläggningar
8.15 12.4.1, 12.4.2, 12.4.3 Loggning
8.16 NYA Övervakningsaktiviteter
8.17 12.4.4 Klocksynkronisering
8.18 09.4.4 Användning av privilegierade verktygsprogram
8.19 12.5.1, 12.6.2 Installation av programvara på operativsystem
8.20 13.1.1 Nätverkssäkerhet
8.21 13.1.2 Säkerhet för nätverkstjänster
8.22 13.1.3 Segregation av nätverk
8.23 NYA Webbfiltrering
8.24 10.1.1, 10.1.2 Användning av kryptografi
8.25 14.2.1 Säker utvecklingslivscykel
8.26 14.1.2, 14.1.3 Säkerhetskrav för applikationer
8.27 14.2.5 Säker systemarkitektur och tekniska principer
8.28 NYA Säker kodning
8.29 14.2.8, 14.2.9 Säkerhetstestning i utveckling och acceptans
8.30 14.2.7 Outsourcade utveckling
8.31 12.1.4, 14.2.6 Separation av utvecklings-, test- och produktionsmiljöer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Ändra hanteringen
8.33 14.3.1 Testinformation
8.34 12.7.1 Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.

Vår plattform är intuitivt och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer i ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.

Hör av dig idag för att boka en demo.

Sam Peters

Sam är Chief Product Officer på ISMS.online och leder utvecklingen av alla produktegenskaper och funktionalitet. Sam är expert på många områden av efterlevnad och arbetar med kunder på alla skräddarsydda eller storskaliga projekt.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.