Märkning av information är ett förfarande som gör det möjligt för organisationer att omsätta sitt informationsklassificeringssystem i praktiken genom att fästa klassificeringsetiketter på relevanta informationstillgångar.
Kontroll 5.13 tar upp hur organisationer ska utveckla, implementera och hantera ett robust informationsmärkningsförfarande baserat på klassificeringsschemat som antagits genom Kontroll 5.12.
5.13 är en förebyggande kontroll som skyddar informationstillgångar mot säkerhetsrisker genom att hjälpa organisationer att uppnå två distinkta syften:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Informationsskydd | #Försvar #Skydd |
Med tanke på att lägga till metadata till digitala tillgångar är det primära sättet att märka informationstillgångar, ska metadataförvaltare vara ansvariga för korrekt implementering av märkningsförfarandet.
Vid sidan av metadataförvaltarna ska tillgångsägare med åtkomst- och modifieringsbehörighet vara ansvariga för korrekt märkning av alla datatillgångar och ska göra nödvändiga ändringar av märkningen om det behövs.
Kontroll 5.13 identifierar fyra specifika steg som organisationer bör genomföra för att utföra märkning av information i enlighet med 5.13.
Organisationer bör utveckla en organisationsövergripande informationsmärkningsprocedur som följer informationsklassificeringsschemat som skapats i enlighet med kontroll 5.12.
Vidare kräver 5.13 att denna procedur utvidgas till att omfatta alla informationstillgångar, oavsett om de är i digitalt eller pappersformat och att etiketterna måste vara lätta att känna igen.
Även om det inte finns någon gräns för vad detta procedurdokument kan innehålla, anger kontroll 5.13 att procedurerna åtminstone bör innehålla följande:
Förfarandet för märkning av information kan endast vara effektivt i den mån personalen och andra relevanta intressenter är välinformerade om hur man korrekt märker information och hur man hanterar märkta informationstillgångar.
Därför bör organisationer ge personal och andra relevanta parter utbildning i förfarandet.
5.13 kräver användning av metadata för märkning av digitala informationstillgångar.
Vidare noteras att metadata bör distribueras på ett sätt som gör det enkelt och effektivt att identifiera och söka information och även på ett sätt som effektiviserar beslutsprocessen mellan system relaterade till märkt information.
Med tanke på riskerna med utåtgående överföring av känsliga uppgifter från system rekommenderar 5.13 organisationer att märka dessa informationstillgångar med de som är mest lämpliga för den aktuella informationens kritiska nivå och känslighet.
5.13 understryker att identifiering och korrekt märkning av sekretessbelagd information är avgörande för säkerheten vid datadelningsoperationer.
Utöver de fyra specifika stegen som beskrivs ovan, rekommenderar 5.13 också att organisationer infogar ytterligare metadatapunkter som namnet på processen som skapade informationstillgången och tidpunkten för sådan skapelse.
Dessutom hänvisar 5.13 till de vanliga märkningstekniker som organisationer kan implementera:
Slutligen betonar 5.13 att märkning av informationstillgångar som "konfidentiella" och "sekretessbelagda" kan få oavsiktliga konsekvenser eftersom det kan göra det lättare för illvilliga aktörer att söka igenom och hitta känslig informationstillgång.
27002:2022/5.13 ersätter 27002:2013/8.2.2 (Märkning av information).
Även om de två kontrollerna till viss del liknar varandra, finns det två viktiga skillnader som gör 2022-versionen mer omfattande.
Medan 2013 års version hänvisade till metadata som en märkningsteknik, införde den inga särskilda skyldigheter för efterlevnad vid användning av metadata.
Däremot ställer 2022-versionen strikta krav på hur man använder metadatateknik. För att illustrera kräver 2022-versionen att:
I motsats till 2022-versionen specificerade 2013-versionen inte det lägsta innehållet som skulle inkluderas i en informationsmärkningsprocedur.
ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.
Vår plattform är intuitivt och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer i ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
