ISO 27001:2022 Bijlage A Controle 5.13

Etikettering van informatie

Boek een demo

groep,gelukkige,collega's,bespreken,in,conferentie,kamer

Organisaties zijn van toepassing classificatielabels naar relevante informatie activa om hun informatieclassificatiesysteem te implementeren.

In navolging van het door de organisatie aangenomen informatieclassificatieschema, definieert ISO 27001:2022 bijlage A 5.13 een reeks procedures voor het etiketteren van informatie.

Naast het identificeren van fysieke en elektronische activa zullen er procedures voor het identificeren van informatie moeten worden ontwikkeld die het classificatieschema weerspiegelen dat is beschreven in 5.12.

Labels gemakkelijk te herkennen en te beheren maken; anders worden ze niet gevolgd. In plaats van het personeel elke CRM-update te laten labelen met een commerciële vertrouwensverklaring, kan het gemakkelijker zijn om de facto te besluiten dat alles in de digitale systemen vertrouwelijk is, tenzij uitdrukkelijk anders aangegeven!

Met behulp van het classificatieschema dat is aangenomen in Bijlage A Controle 5.12, wordt in Bijlage A Controle 5.13 gedetailleerd beschreven hoe organisaties een robuuste procedure voor het labelen van informatie moeten ontwikkelen, implementeren en beheren.

Wat is het doel van ISO 27001:2022 bijlage A 5.13?

Het doel van bijlage A 5.13 is tweeledig; om informatiemiddelen te beschermen tegen veiligheidsrisico's:

  • Informatiemiddelen kunnen op een eenvoudige manier worden geclassificeerd wanneer ze intern en extern worden gecommuniceerd. Dit is het moment waarop werknemers en derden toegang hebben tot de informatie en deze kunnen gebruiken.

  • Informatieverwerking en -beheer kunnen worden gestroomlijnd door middel van automatisering.

Wie is eigenaar van bijlage A 5.13?

Informatiemiddelen kunnen worden gelabeld door metadata toe te voegen, dus metadata-stewards moeten verantwoordelijk zijn voor de juiste implementatie van het labelingproces.

Alle data-assets moeten op de juiste manier worden gelabeld en eigenaren van assets moeten eventuele wijzigingen aanbrengen in de labeling met toegangs- en wijzigingsautorisaties.

Ga naar onderwerp

Algemene richtlijnen voor het naleven van ISO 27001:2022 bijlage A 5.13

Met behulp van Bijlage A Controle 5.13 kunnen organisaties informatie labelen in overeenstemming met vier specifieke stappen.

Stel een procedure vast voor het etiketteren van informatie

Het informatieclassificatieschema dat is opgesteld volgens bijlage A Controle 5.12 moet worden nageleefd door de informatie-etiketteringsprocedures van organisaties.

5.13 vereist ook dat deze Procedure van toepassing is op alle informatiemiddelen, zowel digitaal als op papier, en dat de labels gemakkelijk herkenbaar moeten zijn.

Er zijn geen grenzen aan wat dit proceduredocument kan bevatten, maar bijlage A Controle 5.13 vereist dat de procedures het volgende omvatten:

  • Een uitleg van de methoden voor het bevestigen van labels aan informatiemiddelen op basis van het type opslagmedium en hoe de gegevens toegankelijk zijn.

  • Voor elk type informatie-item, waar de labels moeten worden bevestigd.

  • Een organisatie kan bijvoorbeeld nalaten openbare gegevens te publiceren als onderdeel van het etiketteringsproces van informatie.

  • Technische, wettelijke of contractuele beperkingen verhinderen het labelen van bepaalde soorten informatie.

  • Regels bepalen hoe informatie moet worden gelabeld wanneer deze intern of extern wordt verzonden.

  • Bij digitale assets moeten instructies worden gevoegd over het invoegen van metadata.

  • Alle activa moeten met dezelfde naam worden gelabeld.

Zorg voor adequate training over etiketteringsprocedures voor werknemers

Personeel en andere relevante belanghebbenden moeten begrijpen hoe ze moeten etiketteren informatie correct te beheren en gelabelde informatiemiddelen te beheren voordat de procedure voor het etiketteren van informatie effectief kan zijn.

Als gevolg hiervan moeten organisaties hun personeel en andere relevante partijen trainen in de procedure.

Digitale informatiemiddelen moeten worden getagd met metadata

Digitale informatiemiddelen moeten worden gelabeld met behulp van metagegevens volgens 5.13.

De inzet van metadata moet ook de gemakkelijke identificatie en het zoeken naar informatie vergemakkelijken en de besluitvorming tussen systemen met betrekking tot gelabelde informatie stroomlijnen.

Er moeten extra voorzorgsmaatregelen worden genomen om gevoelige gegevens te labelen die het systeem kunnen verlaten

De aanbeveling van bijlage A 5.13 richt zich op het identificeren van het meest geschikte label voor de uitgaande markt overdracht van kritische en gevoelige informatie activa, rekening houdend met de daaraan verbonden risico's.

Bijlage A 5.13 ​​Aanvullende richtlijnen

Om het delen van gegevens veilig te laten zijn, is het essentieel om geheime informatie nauwkeurig te identificeren en te labelen.

Bijlage A 5.13 beveelt organisaties ook aan aanvullende metadatapunten in te voegen. Dit wil zeggen de naam van het proces dat het informatiemiddel heeft gecreëerd en het tijdstip waarop het is gemaakt.

Daarnaast beschrijft bijlage A 5.13 de standaard etiketteringstechnieken die organisaties kunnen gebruiken:

  • Fysieke labels

  • Kop-en voetteksten

  • Metadata

  • watermerken

  • Rubberen stempels

Ten slotte benadrukt bijlage A 5.13 dat het labelen van informatie als 'vertrouwelijk' en 'geheim' onbedoelde gevolgen kan hebben. Dit kan het voor kwaadwillende actoren gemakkelijker maken om gevoelige informatie te ontdekken en te vinden.

Wat zijn de veranderingen en verschillen ten opzichte van ISO 27001:2013?

ISO 27001:2022 Bijlage A 5.13 vervangt ISO 27001:2013 Bijlage A 8.2.2 (Etikettering van informatie).

Beide bijlage A-controles zijn tot op zekere hoogte vergelijkbaar, maar twee belangrijke verschillen maken de ISO 27001:2022-versie uitgebreider.

Het gebruik van metadata is vereist om aan nieuwe eisen te voldoen

Hoewel de versie uit 2013 metadata een etiketteringstechniek noemde, legde deze geen specifieke verplichtingen op voor naleving bij het gebruik van metadata.

De 2022-versie bevat daarentegen verschillen en wijzigingen ten opzichte van ISO 27001:2013.

Het gebruik van metadata is nu een vereiste

In 2013 werd metadata een etiketteringstechniek genoemd, maar er werden geen specifieke complianceverplichtingen opgelegd.

In tegenstelling hiermee bevat de 2022-versie strenge eisen voor metadatatechnieken. Voor de versie van 2022 is bijvoorbeeld het volgende vereist:

  • Het toevoegen van metagegevens aan informatie vergemakkelijkt de identificatie, het beheer en de ontdekking ervan.

  • Het is noodzakelijk om metagegevens in te voegen voor de naam en datum van het proces waarmee het item is gemaakt.

Het is noodzakelijk om meer details te verstrekken in de procedure voor het labelen van informatie

Procedures voor informatie-etikettering in de versie van 2013 hoefden niet de minimale inhoud op te nemen zoals in de versie van 2022.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elk individu ISO 27001:2022 bijlage A Controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Hoe ISMS.online helpt

ISO 27001 implementeren is eenvoudiger met onze stapsgewijze checklist, die u begeleidt vanaf het definiëren van de reikwijdte van uw ISMS tot en met de risico-identificatie en de implementatie van Annex A-controles.

gebruik ons platform is intuïtief en gemakkelijk. Niet alleen voor de zeer technische medewerkers, maar voor iedereen in uw bedrijf. Wij moedigen u aan om uw gehele personeelsbestand te betrekken bij het opbouwen van uw ISMS, want dat helpt je een echt duurzaam systeem op te bouwen.

Neem vandaag nog contact op met boek een demo.

Ontdek ons ​​platform

Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie