De classificatie van informatie is een fundamenteel proces dat organisaties in staat stelt hun informatiemiddelen in relevante categorieën te groeperen op basis van het vereiste beschermingsniveau.
Think ISO 27001:2022 Bijlage A 5.1.2 moet informatie worden geclassificeerd op basis van verschillende factoren, waaronder wettelijke vereisten, waarde, kriticiteit en gevoeligheid voor ongeoorloofde openbaarmaking of wijziging. Deze classificatie moet zo worden ontworpen dat deze de unieke bedrijfsactiviteit van de organisatie weerspiegelt, zonder deze te belemmeren of te compliceren.
Informatie die bedoeld is voor openbaar gebruik moet bijvoorbeeld op passende wijze worden gemarkeerd, terwijl vertrouwelijke of commercieel gevoelige gegevens moeten worden voorzien van een a hogere mate van veiligheid. Het is van cruciaal belang op te merken dat de classificatie van informatie tot de belangrijkste controles behoort in bijlage A bij ervoor te zorgen dat bedrijfsmiddelen van de organisatie worden beschermd.
Bijlage A Controle 5.12 is een preventieve controle die stelt organisaties in staat risico’s te identificeren door het passende beschermingsniveau voor elk informatiemiddel te bepalen op basis van het belang en de gevoeligheid ervan.
In de Aanvullende Leidraad waarschuwt Bijlage A Controle 5.12 expliciet tegen de over- of onderclassificatie van informatie. Organisaties moeten rekening houden met de vertrouwelijkheids-, beschikbaarheids- en integriteitsvereisten bij het toewijzen van activa aan hun respectievelijke categorieën. Dit helpt ervoor te zorgen dat het classificatieschema de zakelijke behoeften aan informatie en de beveiligingsvereisten voor elke informatiecategorie in evenwicht brengt.
Hoewel het van essentieel belang is om voor de hele organisatie een classificatieschema voor informatiemiddelen op te zetten, is het uiteindelijk de verantwoordelijkheid van de eigenaren van de middelen om ervoor te zorgen dat dit correct wordt geïmplementeerd.
Volgens ISO 27001:2022 bijlage A 5.12 moeten degenen met relevante informatiemiddelen ter verantwoording worden geroepen. De boekhoudafdeling moet bijvoorbeeld informatie classificeren op basis van het organisatiebrede classificatieschema bij het openen van mappen met loonrapporten en bankafschriften.
Bij het classificeren van informatie is het voor asset-eigenaren van cruciaal belang om rekening te houden met de bedrijfsbehoeften en de potentiële impact die een compromis van informatie zou kunnen hebben op de organisatie. Bovendien moeten ze rekening houden met het belang en de gevoeligheid van de informatie.
Om met succes een robuust informatieclassificatieschema te implementeren, moeten organisaties een actuele aanpak hanteren, rekening houden met de specifieke informatiebehoeften van elke bedrijfseenheid en het niveau van gevoeligheid en kriticiteit van de informatie evalueren.
Volgens bijlage A Controle 5.12 moeten organisaties de volgende zeven criteria evalueren bij het implementeren van een classificatieschema:
Bijlage A Controle 5.12 van de managementsysteem voor informatiebeveiliging verwijst naar Bijlage A Controle 5.1, die betrekking heeft op toegangscontrole. Het schrijft voor dat organisaties zich moeten houden aan het onderwerpspecifieke beleid dat is vastgelegd in Bijlage A Controle 5.1. Bovendien moeten het classificatieschema en de niveaus rekening houden met specifieke bedrijfsbehoeften bij het classificeren van informatiemiddelen.
Organisaties moeten rekening houden met hun zakelijke behoeften op het gebied van het delen en gebruiken van informatie, evenals met de behoefte aan de beschikbaarheid van dergelijke informatie. Het classificeren van een informatiemiddel kan echter kritische bedrijfsfuncties verstoren door de toegang tot en het gebruik van informatie te beperken.
Daarom moeten organisaties een evenwicht vinden tussen hun specifieke zakelijke behoeften op het gebied van de beschikbaarheid en het gebruik van gegevens en de vereisten voor het handhaven van de vertrouwelijkheid en integriteit van die informatie.
Specifieke wetten kunnen organisaties verplichten de nadruk te leggen op het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Daarom moeten wettelijke verplichtingen voorrang krijgen op de interne classificatie van de organisatie bij het categoriseren van informatiemiddelen.
Het hanteren van een risicogebaseerde aanpak en het inschatten van de potentiële impact van een beveiligingsinbreuk of -compromis informatie-activa is raadzaam. Dit zal helpen bij het prioriteren en implementeren van passende beveiligingsmaatregelen om de geïdentificeerde risico’s te beperken.
Elke vorm van informatie heeft een uniek betekenisniveau voor de functies van een organisatie en bezit een verschillende mate van gevoeligheid, afhankelijk van de specifieke omstandigheden.
Wanneer een organisatie een informatieclassificatiesysteem implementeert, moet zij rekening houden met de potentiële impact die het in gevaar brengen van de vertrouwelijkheid, integriteit of beschikbaarheid van de informatie op de organisatie kan hebben.
De gevoeligheid en potentiële impact van een database met professionele e-mailadressen van gekwalificeerde leads zouden bijvoorbeeld enorm verschillen van die van de gezondheidsdossiers van werknemers. Daarom moet de organisatie zorgvuldig nadenken over het beschermingsniveau dat elke categorie informatie vereist, en de middelen dienovereenkomstig toewijzen.
Bijlage A Controle 5.12 erkent dat de waarde, het belang en het gevoeligheidsniveau van informatie in de loop van de tijd kunnen veranderen naarmate de gegevens hun levenscyclus doorlopen. Als gevolg hiervan moeten organisaties hun classificatie van informatie regelmatig herzien en de nodige updates doorvoeren.
ISO 27001 Annex A Controle 5.12 heeft betrekking op het in belangrijke mate verminderen van de waarde en gevoeligheid van de informatie.
Het is essentieel om met andere organisaties te overleggen om informatie te delen en eventuele verschillen op te lossen.
Verschillen in de classificatie van informatie tussen organisaties kunnen tot potentiële risico's leiden bij het uitwisselen van informatiemiddelen.
Organisaties moeten samenwerken met hun tegenhangers om een consensus tot stand te brengen om uniformiteit in de classificatie van informatie en een consistente interpretatie van classificatieniveaus te garanderen om dergelijke risico's te beperken.
Elke afdeling binnen een organisatie moet een gedeeld begrip hebben van classificatieniveaus en protocollen om uniformiteit in classificaties in de hele organisatie te garanderen.
Hoewel bijlage A 5.12 erkent dat er geen universeel toepasbaar classificatiesysteem bestaat en dat organisaties de flexibiliteit hebben om hun classificatieniveaus vast te stellen en te definiëren, illustreert het een informatieclassificatieschema:
Bijlage A 8.2.1 in de vorige versie ging over de classificatie van informatie.
Hoewel de twee versies behoorlijk op elkaar lijken, zijn er twee belangrijke verschillen:
In onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 bijlage A Controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
| Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Onze platform is ontworpen om gebruiksvriendelijk en eenvoudig te zijn, gericht op zeer technische personen en alle medewerkers in uw organisatie.
Wij pleiten ervoor om werknemers op alle niveaus van het bedrijf te betrekken bij de opbouw van uw ISMS, omdat dit helpt bij het opzetten van een duurzaam systeem.
Meer informatie via een demo boeken.
Ik heb ISO 27001 op de moeilijke manier gedaan, dus ik waardeer echt hoeveel tijd het ons heeft bespaard bij het behalen van de ISO 27001-certificering.
