ISO 27001:2022 Bijlage A 5.12 – Classificatie van informatie

Doel van ISO 27001:2022 Bijlage A 5.12

Bijlage A Controle 5.12 is een preventieve controle die stelt organisaties in staat risico’s te identificeren door het passende beschermingsniveau voor elk informatiemiddel te bepalen op basis van het belang en de gevoeligheid ervan.

In de Aanvullende Leidraad waarschuwt Bijlage A Controle 5.12 expliciet tegen de over- of onderclassificatie van informatie. Organisaties moeten rekening houden met de vertrouwelijkheids-, beschikbaarheids- en integriteitsvereisten bij het toewijzen van activa aan hun respectievelijke categorieën. Dit helpt ervoor te zorgen dat het classificatieschema de zakelijke behoeften aan informatie en de beveiligingsvereisten voor elke informatiecategorie in evenwicht brengt.

Eigendom van bijlage A 5.12

Hoewel het van essentieel belang is om voor de hele organisatie een classificatieschema voor informatiemiddelen op te zetten, is het uiteindelijk de verantwoordelijkheid van de eigenaren van de middelen om ervoor te zorgen dat dit correct wordt geïmplementeerd.

Volgens ISO 27001:2022 bijlage A 5.12 moeten degenen met relevante informatiemiddelen ter verantwoording worden geroepen. De boekhoudafdeling moet bijvoorbeeld informatie classificeren op basis van het organisatiebrede classificatieschema bij het openen van mappen met loonrapporten en bankafschriften.

Bij het classificeren van informatie is het voor asset-eigenaren van cruciaal belang om rekening te houden met de bedrijfsbehoeften en de potentiële impact die een compromis van informatie zou kunnen hebben op de organisatie. Bovendien moeten ze rekening houden met het belang en de gevoeligheid van de informatie.

Algemene richtlijn voor ISO 27001:2022 bijlage A 5.12

Om met succes een robuust informatieclassificatieschema te implementeren, moeten organisaties een actuele aanpak hanteren, rekening houden met de specifieke informatiebehoeften van elke bedrijfseenheid en het niveau van gevoeligheid en kriticiteit van de informatie evalueren.

Volgens bijlage A Controle 5.12 moeten organisaties de volgende zeven criteria evalueren bij het implementeren van een classificatieschema:

Stel een onderwerpspecifiek beleid vast en speel in op specifieke zakelijke behoeften

Bijlage A Controle 5.12 van de managementsysteem voor informatiebeveiliging verwijst naar Bijlage A Controle 5.1, die betrekking heeft op toegangscontrole. Het schrijft voor dat organisaties zich moeten houden aan het onderwerpspecifieke beleid dat is vastgelegd in Bijlage A Controle 5.1. Bovendien moeten het classificatieschema en de niveaus rekening houden met specifieke bedrijfsbehoeften bij het classificeren van informatiemiddelen.

Organisaties moeten rekening houden met hun zakelijke behoeften op het gebied van het delen en gebruiken van informatie, evenals met de behoefte aan de beschikbaarheid van dergelijke informatie. Het classificeren van een informatiemiddel kan echter kritische bedrijfsfuncties verstoren door de toegang tot en het gebruik van informatie te beperken.

Daarom moeten organisaties een evenwicht vinden tussen hun specifieke zakelijke behoeften op het gebied van de beschikbaarheid en het gebruik van gegevens en de vereisten voor het handhaven van de vertrouwelijkheid en integriteit van die informatie.

Overweeg wettelijke verplichtingen

Specifieke wetten kunnen organisaties verplichten de nadruk te leggen op het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie. Daarom moeten wettelijke verplichtingen voorrang krijgen op de interne classificatie van de organisatie bij het categoriseren van informatiemiddelen.

Het hanteren van een risicogebaseerde aanpak en het inschatten van de potentiële impact van een beveiligingsinbreuk of -compromis informatie-activa is raadzaam. Dit zal helpen bij het prioriteren en implementeren van passende beveiligingsmaatregelen om de geïdentificeerde risico’s te beperken.

Elke vorm van informatie heeft een uniek betekenisniveau voor de functies van een organisatie en bezit een verschillende mate van gevoeligheid, afhankelijk van de specifieke omstandigheden.

Wanneer een organisatie een informatieclassificatiesysteem implementeert, moet zij rekening houden met de potentiële impact die het in gevaar brengen van de vertrouwelijkheid, integriteit of beschikbaarheid van de informatie op de organisatie kan hebben.

De gevoeligheid en potentiële impact van een database met professionele e-mailadressen van gekwalificeerde leads zouden bijvoorbeeld enorm verschillen van die van de gezondheidsdossiers van werknemers. Daarom moet de organisatie zorgvuldig nadenken over het beschermingsniveau dat elke categorie informatie vereist, en de middelen dienovereenkomstig toewijzen.

Regelmatig bijwerken en herzien van de classificatie

Bijlage A Controle 5.12 erkent dat de waarde, het belang en het gevoeligheidsniveau van informatie in de loop van de tijd kunnen veranderen naarmate de gegevens hun levenscyclus doorlopen. Als gevolg hiervan moeten organisaties hun classificatie van informatie regelmatig herzien en de nodige updates doorvoeren.

ISO 27001 Annex A Controle 5.12 heeft betrekking op het in belangrijke mate verminderen van de waarde en gevoeligheid van de informatie.

Het is essentieel om met andere organisaties te overleggen om informatie te delen en eventuele verschillen op te lossen.

Elke organisatie kan verschillende terminologie, niveaus en standaarden hebben voor hun informatieclassificatiesystemen

Verschillen in de classificatie van informatie tussen organisaties kunnen tot potentiële risico's leiden bij het uitwisselen van informatiemiddelen.

Organisaties moeten samenwerken met hun tegenhangers om een ​​consensus tot stand te brengen om uniformiteit in de classificatie van informatie en een consistente interpretatie van classificatieniveaus te garanderen om dergelijke risico's te beperken.

Consistentie op organisatorisch niveau

Elke afdeling binnen een organisatie moet een gedeeld begrip hebben van classificatieniveaus en protocollen om uniformiteit in classificaties in de hele organisatie te garanderen.

Leidraad voor het implementeren van het classificatiesysteem voor informatie

Hoewel bijlage A 5.12 erkent dat er geen universeel toepasbaar classificatiesysteem bestaat en dat organisaties de flexibiliteit hebben om hun classificatieniveaus vast te stellen en te definiëren, illustreert het een informatieclassificatieschema:

• Openbaarmaking veroorzaakt geen schade.
• Openbaarmaking veroorzaakt kleine reputatieschade of kleine operationele gevolgen.
• Openbaarmaking heeft op de korte termijn een aanzienlijke impact op de activiteiten of bedrijfsdoelstellingen.
• Openbaarmaking heeft ernstige gevolgen voor de bedrijfsdoelstellingen op lange termijn of brengt het voortbestaan ​​van de organisatie in gevaar.

Wijzigingen en verschillen ten opzichte van ISO 27002:2013

Bijlage A 8.2.1 in de vorige versie ging over de classificatie van informatie.

Hoewel de twee versies behoorlijk op elkaar lijken, zijn er twee belangrijke verschillen:

1. Ten eerste maakte de vorige versie geen melding van de noodzaak van consistentie in de classificatieniveaus wanneer informatie tussen organisaties wordt gedeeld. ISO 27001:2022 schrijft echter voor dat organisaties samenwerken met hun tegenhangers om uniformiteit in de classificatie en het begrip van informatie te garanderen.
2. Ten tweede vereist de bijgewerkte versie expliciet dat organisaties beleid ontwikkelen dat is toegesneden op specifieke onderwerpen. In de oudere versie werd slechts een korte verwijzing naar toegangscontrole gemaakt.

Tabel met alle ISO 27001:2022 bijlage A-controles

In onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 bijlage A Controle.

Hoe ISMS.online helpt

Onze platform is ontworpen om gebruiksvriendelijk en eenvoudig te zijn, gericht op zeer technische personen en alle medewerkers in uw organisatie.

Wij pleiten ervoor om werknemers op alle niveaus van het bedrijf te betrekken bij de opbouw van uw ISMS, omdat dit helpt bij het opzetten van een duurzaam systeem.

Meer informatie via een demo boeken.