- Bekijk ISO 27002:2022 Controle 5.13 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 8.2.2 voor meer informatie.
De rol van etikettering in ISO 27001:2022 – Bijlage A 5.13 uitgelegd
Organisaties zijn van toepassing classificatielabels naar relevante informatie activa om hun informatieclassificatiesysteem te implementeren.
In navolging van het door de organisatie aangenomen informatieclassificatieschema, definieert ISO 27001:2022 bijlage A 5.13 een reeks procedures voor het etiketteren van informatie.
Naast het identificeren van fysieke en elektronische activa zullen er procedures voor het identificeren van informatie moeten worden ontwikkeld die het classificatieschema weerspiegelen dat is beschreven in 5.12.
Labels gemakkelijk te herkennen en te beheren maken; anders worden ze niet gevolgd. In plaats van het personeel elke CRM-update te laten labelen met een commerciële vertrouwensverklaring, kan het gemakkelijker zijn om de facto te besluiten dat alles in de digitale systemen vertrouwelijk is, tenzij uitdrukkelijk anders aangegeven!
Met behulp van het classificatieschema dat is aangenomen in Bijlage A Controle 5.12, wordt in Bijlage A Controle 5.13 gedetailleerd beschreven hoe organisaties een robuuste procedure voor het labelen van informatie moeten ontwikkelen, implementeren en beheren.
Wat is het doel van ISO 27001:2022 bijlage A 5.13?
Het doel van bijlage A 5.13 is tweeledig; om informatiemiddelen te beschermen tegen veiligheidsrisico's:
- Informatiemiddelen kunnen op een eenvoudige manier worden geclassificeerd wanneer ze intern en extern worden gecommuniceerd. Dit is het moment waarop werknemers en derden toegang hebben tot de informatie en deze kunnen gebruiken.
- Informatieverwerking en -beheer kunnen worden gestroomlijnd door middel van automatisering.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Wie is eigenaar van bijlage A 5.13?
Informatiemiddelen kunnen worden gelabeld door metadata toe te voegen, dus metadata-stewards moeten verantwoordelijk zijn voor de juiste implementatie van het labelingproces.
Alle data-assets moeten op de juiste manier worden gelabeld en eigenaren van assets moeten eventuele wijzigingen aanbrengen in de labeling met toegangs- en wijzigingsautorisaties.
Algemene richtlijnen voor het naleven van ISO 27001:2022 bijlage A 5.13
Met behulp van Bijlage A Controle 5.13 kunnen organisaties informatie labelen in overeenstemming met vier specifieke stappen.
Stel een procedure vast voor het etiketteren van informatie
Het informatieclassificatieschema dat is opgesteld volgens bijlage A Controle 5.12 moet worden nageleefd door de informatie-etiketteringsprocedures van organisaties.
5.13 vereist ook dat deze Procedure van toepassing is op alle informatiemiddelen, zowel digitaal als op papier, en dat de labels gemakkelijk herkenbaar moeten zijn.
Er zijn geen grenzen aan wat dit proceduredocument kan bevatten, maar bijlage A Controle 5.13 vereist dat de procedures het volgende omvatten:
- Een uitleg van de methoden voor het bevestigen van labels aan informatiemiddelen op basis van het type opslagmedium en hoe de gegevens toegankelijk zijn.
- Voor elk type informatie-item, waar de labels moeten worden bevestigd.
- Een organisatie kan bijvoorbeeld nalaten openbare gegevens te publiceren als onderdeel van het etiketteringsproces van informatie.
- Technische, wettelijke of contractuele beperkingen verhinderen het labelen van bepaalde soorten informatie.
- Regels bepalen hoe informatie moet worden gelabeld wanneer deze intern of extern wordt verzonden.
- Bij digitale assets moeten instructies worden gevoegd over het invoegen van metadata.
- Alle activa moeten met dezelfde naam worden gelabeld.
Zorg voor adequate training over etiketteringsprocedures voor werknemers
Personeel en andere relevante belanghebbenden moeten begrijpen hoe ze moeten etiketteren informatie correct te beheren en gelabelde informatiemiddelen te beheren voordat de procedure voor het etiketteren van informatie effectief kan zijn.
Als gevolg hiervan moeten organisaties hun personeel en andere relevante partijen trainen in de procedure.
Digitale informatiemiddelen moeten worden getagd met metadata
Digitale informatiemiddelen moeten worden gelabeld met behulp van metagegevens volgens 5.13.
De inzet van metadata moet ook de gemakkelijke identificatie en het zoeken naar informatie vergemakkelijken en de besluitvorming tussen systemen met betrekking tot gelabelde informatie stroomlijnen.
Er moeten extra voorzorgsmaatregelen worden genomen om gevoelige gegevens te labelen die het systeem kunnen verlaten
De aanbeveling van bijlage A 5.13 richt zich op het identificeren van het meest geschikte label voor de uitgaande markt overdracht van kritische en gevoelige informatie activa, rekening houdend met de daaraan verbonden risico's.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Bijlage A 5.13 Aanvullende richtlijnen
Om het delen van gegevens veilig te laten zijn, is het essentieel om geheime informatie nauwkeurig te identificeren en te labelen.
Bijlage A 5.13 beveelt organisaties ook aan aanvullende metadatapunten in te voegen. Dit wil zeggen de naam van het proces dat het informatiemiddel heeft gecreëerd en het tijdstip waarop het is gemaakt.
Daarnaast beschrijft bijlage A 5.13 de standaard etiketteringstechnieken die organisaties kunnen gebruiken:
- Fysieke labels
- Kop-en voetteksten
- Metadata
- watermerken
- Rubberen stempels
Ten slotte benadrukt bijlage A 5.13 dat het labelen van informatie als 'vertrouwelijk' en 'geheim' onbedoelde gevolgen kan hebben. Dit kan het voor kwaadwillende actoren gemakkelijker maken om gevoelige informatie te ontdekken en te vinden.
Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?
ISO 27001:2022 Bijlage A 5.13 vervangt ISO 27001:2013 Bijlage A 8.2.2 (Etikettering van informatie).
Beide bijlage A-controles zijn tot op zekere hoogte vergelijkbaar, maar twee belangrijke verschillen maken de ISO 27001:2022-versie uitgebreider.
Het gebruik van metadata is vereist om aan nieuwe eisen te voldoen
Hoewel de versie uit 2013 metadata een etiketteringstechniek noemde, legde deze geen specifieke verplichtingen op voor naleving bij het gebruik van metadata.
De 2022-versie bevat daarentegen verschillen en wijzigingen ten opzichte van ISO 27001:2013.
Het gebruik van metadata is nu een vereiste
In 2013 werd metadata een etiketteringstechniek genoemd, maar er werden geen specifieke complianceverplichtingen opgelegd.
In tegenstelling hiermee bevat de 2022-versie strenge eisen voor metadatatechnieken. Voor de versie van 2022 is bijvoorbeeld het volgende vereist:
- Het toevoegen van metagegevens aan informatie vergemakkelijkt de identificatie, het beheer en de ontdekking ervan.
- Het is noodzakelijk om metagegevens in te voegen voor de naam en datum van het proces waarmee het item is gemaakt.
Het is noodzakelijk om meer details te verstrekken in de procedure voor het labelen van informatie
Procedures voor informatie-etikettering in de versie van 2013 hoefden niet de minimale inhoud op te nemen zoals in de versie van 2022.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hoe ISMS.online helpt
ISO 27001 implementeren is eenvoudiger met onze stapsgewijze checklist, die u begeleidt vanaf het definiëren van de reikwijdte van uw ISMS tot en met de risico-identificatie en de implementatie van Annex A-controles.
gebruik ons platform is intuïtief en gemakkelijk. Niet alleen voor de zeer technische medewerkers, maar voor iedereen in uw bedrijf. Wij moedigen u aan om uw gehele personeelsbestand te betrekken bij het opbouwen van uw ISMS, want dat helpt je een echt duurzaam systeem op te bouwen.
Neem vandaag nog contact op met boek een demo.
