ISO 27002, Kontroll 5.13, Märkning av information

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Syfte med kontroll 5.13

5.13 är en förebyggande kontroll som skyddar informationstillgångar mot säkerhetsrisker genom att hjälpa organisationer att uppnå två distinkta syften:

För att göra det lättare att visa klassificeringsnivån varje informationstillgång ges när informationen kommuniceras internt och externt och när den nås och används av anställda och tredje part.
Effektivisering av processen för att automatisera informationshantering och bearbetning.

Kontrollattribut 5.13

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Skydda	#Informationsskydd	#Försvar
	#Integritet			#Skydd
	#Tillgänglighet

Äganderätt till kontroll 5.13

Med tanke på att lägga till metadata till digitala tillgångar är det primära sättet att märka informationstillgångar, ska metadataförvaltare vara ansvariga för korrekt implementering av märkningsförfarandet.

Vid sidan av metadataförvaltarna ska tillgångsägare med åtkomst- och modifieringsbehörighet vara ansvariga för korrekt märkning av alla datatillgångar och ska göra nödvändiga ändringar av märkningen om det behövs.

Få ett försprång på 81 %

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo

Allmän vägledning om hur man följer

Kontroll 5.13 identifierar fyra specifika steg som organisationer bör genomföra för att utföra märkning av information i enlighet med 5.13.

Utveckla och implementera en informationsmärkningsprocedur

Organisationer bör utveckla en organisationsövergripande informationsmärkningsprocedur som följer informationsklassificeringsschemat som skapats i enlighet med kontroll 5.12.

Vidare kräver 5.13 att denna procedur utvidgas till att omfatta alla informationstillgångar, oavsett om de är i digitalt eller pappersformat och att etiketterna måste vara lätta att känna igen.

Även om det inte finns någon gräns för vad detta procedurdokument kan innehålla, anger kontroll 5.13 att procedurerna åtminstone bör innehålla följande:

Beskrivning av metoderna för att fästa etiketter på informationstillgångar beroende på lagringsmedium och hur data nås.
Där etiketterna ska fästas för varje typ av informationstillgång.
Vilka informationstillgångar kommer inte att märkas, om några. Till exempel kan en organisation utelämna märkning av offentliga data för att effektivisera informationsmärkningsprocessen.
Beskrivning av åtgärder för de fall det inte är möjligt att märka vissa typer av information på grund av tekniska, juridiska eller avtalsmässiga begränsningar.
Reglerna om hur märkning av information som överförs till interna eller externa parter ska hanteras.
För digitala tillgångar ska förfarandet förklara hur metadata ska infogas.
Namn på etiketter som ska användas för alla tillgångar.

Ge personalen adekvat utbildning om hur man följer märkningsproceduren

Förfarandet för märkning av information kan endast vara effektivt i den mån personalen och andra relevanta intressenter är välinformerade om hur man korrekt märker information och hur man hanterar märkta informationstillgångar.

Därför bör organisationer ge personal och andra relevanta parter utbildning i förfarandet.

Använd metadata för märkning av digitala informationstillgångar

5.13 kräver användning av metadata för märkning av digitala informationstillgångar.

Vidare noteras att metadata bör distribueras på ett sätt som gör det enkelt och effektivt att identifiera och söka information och även på ett sätt som effektiviserar beslutsprocessen mellan system relaterade till märkt information.

Vidta extra åtgärder för att märka känsliga data som kan strömma ut från systemet

Med tanke på riskerna med utåtgående överföring av känsliga uppgifter från system rekommenderar 5.13 organisationer att märka dessa informationstillgångar med de som är mest lämpliga för den aktuella informationens kritiska nivå och känslighet.

Kompletterande vägledning om kontroll 5.13

5.13 understryker att identifiering och korrekt märkning av sekretessbelagd information är avgörande för säkerheten vid datadelningsoperationer.

Utöver de fyra specifika stegen som beskrivs ovan, rekommenderar 5.13 också att organisationer infogar ytterligare metadatapunkter som namnet på processen som skapade informationstillgången och tidpunkten för sådan skapelse.

Dessutom hänvisar 5.13 till de vanliga märkningstekniker som organisationer kan implementera:

Fysiska etiketter
Huvud och sidfot
metadata
vattenmärkning
Gummistämplar

Slutligen betonar 5.13 att märkning av informationstillgångar som "konfidentiella" och "sekretessbelagda" kan få oavsiktliga konsekvenser eftersom det kan göra det lättare för illvilliga aktörer att söka igenom och hitta känslig informationstillgång.

Hantera all efterlevnad på ett ställe

ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.

Boka en demo

Ändringar och skillnader från ISO 27002:2013

27002:2022/5.13 ersätter 27002:2013/8.2.2 (Märkning av information).

Även om de två kontrollerna till viss del liknar varandra, finns det två viktiga skillnader som gör 2022-versionen mer omfattande.

Nya krav på användning av metadata

Medan 2013 års version hänvisade till metadata som en märkningsteknik, införde den inga särskilda skyldigheter för efterlevnad vid användning av metadata.

Däremot ställer 2022-versionen strikta krav på hur man använder metadatateknik. För att illustrera kräver 2022-versionen att:

Metadata läggs till information på ett sätt som gör det enkelt att identifiera, hantera och upptäcka information på ett effektivt sätt.
Metadata för namnet på den organisatoriska process som skapade en specifik tillgång och dess tid ska infogas.

Innehållet i informationsmärkningsförfarandet måste vara mer detaljerat

I motsats till 2022-versionen specificerade 2013-versionen inte det lägsta innehållet som skulle inkluderas i en informationsmärkningsprocedur.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	Nytt	Hot intelligens
5.23	Nytt	Informationssäkerhet för användning av molntjänster
5.30	Nytt	ICT-beredskap för kontinuitet i verksamheten
7.4	Nytt	Fysisk säkerhetsövervakning
8.9	Nytt	Konfigurationshantering
8.10	Nytt	Radering av information
8.11	Nytt	Datamaskering
8.12	Nytt	Förebyggande av dataläckage
8.16	Nytt	Övervakningsaktiviteter
8.23	Nytt	Webbfiltrering
8.28	Nytt	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	Nytt	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	Nytt	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	Nytt	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	Nytt	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	Nytt	Konfigurationshantering
8.10	Nytt	Radering av information
8.11	Nytt	Datamaskering
8.12	Nytt	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	Nytt	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	Nytt	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	Nytt	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.

Vår plattform är intuitivt och lätt att använda. Det är inte bara för högtekniska personer; det är för alla i din organisation. Vi uppmuntrar dig att involvera personal på alla nivåer i ditt företag i processen att bygga ditt ISMS, eftersom det hjälper dig att bygga ett verkligt hållbart system.

Hör av dig idag för att boka en demo.

ISO 27002:2022 – Kontroll 5.13 – Märkning av information