Doel van de controle 5.12
5.12 is een preventieve controle die identificeert risico’s door organisaties in staat te stellen het beschermingsniveau voor elk informatiemiddel te bepalen op basis van het belang en de gevoeligheid van de informatie.
5.12 waarschuwt organisaties expliciet voor over- of onderclassificatie van informatie in de Aanvullende Leidraad. Het stelt dat organisaties rekening moeten houden met de vereisten op het gebied van vertrouwelijkheid, beschikbaarheid en integriteit wanneer zij activa aan relevante categorieën toewijzen.
Dit zorgt ervoor dat het classificatieschema een passend evenwicht vindt tussen de zakelijke behoeften informatie en de beveiligingsvereisten voor elke categorie informatie.
Kenmerken van controle 5.12
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Identificeren | #Informatiebescherming | #Bescherming |
| #Integriteit | #Verdediging | |||
| #Beschikbaarheid |
Eigendom van zeggenschap 5.12
Terwijl er een organisatiebrede classificatie van informatiesystemen zou moeten zijn, met classificatieniveaus en criteria voor de manier waarop informatiemiddelen classificerenzijn eigenaren van informatiemiddelen uiteindelijk verantwoordelijk voor de implementatie van een classificatieschema.
5.12 erkent uitdrukkelijk dat eigenaren van het betreffende informatie bezit verantwoording moeten afleggen.
Als de boekhoudafdeling bijvoorbeeld toegang heeft tot de mappen met loonrapporten en bankafschriften, moet zij informatie classificeren op basis van het organisatiebrede classificatieschema.
Bij het classificeren van informatie moet de asset-eigenaar rekening houden met: rekening houden met de bedrijfsbehoeften, de mate van impact die het compromis van informatie zou hebben op de organisatie en het niveau van belang en gevoeligheid van informatie.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Algemene richtlijnen voor controle 5.12
Om een robuust informatieclassificatieschema te implementeren, moeten organisaties een onderwerpspecifieke aanpak hanteren, de informatiebehoeften van elke bedrijfseenheid begrijpen en het niveau van gevoeligheid en kriticiteit van informatie bepalen.
5.12 vereist dat organisaties rekening houden met de volgende zeven criteria bij het implementeren van een classificatieschema:
- Stel een onderwerpspecifiek beleid op en speel in op de specifieke bedrijfsbehoeften
5.12 verwijst expliciet naar 5.1, Toegangscontrole en vereist dat organisaties zich houden aan onderwerpspecifiek beleid zoals beschreven in 5.1. Bovendien moeten het classificatieschema en de niveaus rekening houden met specifieke bedrijfsbehoeften.
- Houd rekening met de zakelijke behoeften aan het delen en gebruiken van informatie en de behoefte aan beschikbaarheid
Als u een informatiemiddel toewijst aan een classificatiecategorie die onnodig hoger is, kan dit het risico met zich meebrengen dat uw kritieke bedrijfsfuncties worden verstoord doordat de toegang tot en het gebruik van informatie wordt beperkt.
Daarom moet u ernaar streven een evenwicht te vinden tussen uw specifieke zakelijke behoeften aan beschikbaarheid en gebruik van informatie en de vereisten voor vertrouwelijkheid en integriteit van die informatie.
- Denk aan wettelijke verplichtingen
Sommige wetten kunnen u strengere verplichtingen opleggen om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te garanderen. Bij het toewijzen van informatiemiddelen aan categorieën moeten wettelijke verplichtingen voorrang krijgen op uw eigen classificatie.
- Kies voor een risicogebaseerde aanpak en overweeg de potentiële impact van een compromis
Elk type informatie heeft een ander niveau van kritiek voor de activiteiten van elk bedrijf en een ander niveau van gevoeligheid, afhankelijk van de context.
Bij het implementeren van het classificatiesysteem voor informatie moeten organisaties zich afvragen:
Welke impact zou het compromitteren van de integriteit, beschikbaarheid en vertrouwelijkheid van deze informatie hebben op de organisatie?
Databases met professionele e-mailadressen van gekwalificeerde leads en gezondheidsdossiers van werknemers verschillen bijvoorbeeld sterk wat betreft het niveau van gevoeligheid en de potentiële impact.
- Controleer en update de classificatie regelmatig
5.12 merkt op dat de waarde, kriticiteit en gevoeligheid van informatie niet statisch zijn en gedurende de levenscyclus van de informatie kunnen veranderen. Daarom moet u elke classificatie regelmatig beoordelen en de nodige updates doorvoeren.
Als voorbeeld van een dergelijke verandering verwijst 5.12 naar de openbaarmaking van informatie aan het publiek, waardoor de waarde en gevoeligheid van informatie aanzienlijk wordt verminderd.
- Raadpleeg andere organisaties waarmee u informatie deelt en bespreek eventuele verschillen
Er bestaat niet één manier om informatie te classificeren en elke organisatie kan verschillende namen, niveaus en criteria hebben als het gaat om de classificatie van informatiesystemen.
Deze verschillen kunnen tot risico's leiden wanneer de twee organisaties informatiemiddelen met elkaar uitwisselen. Daarom moet u een overeenkomst sluiten met uw tegenpartij om ervoor te zorgen dat er consistentie is in de classificatie van informatie en de interpretatie van classificatieniveaus.
- Consistentie op organisatieniveau
Elke afdeling binnen de organisatie moet een gemeenschappelijk begrip hebben van classificatieniveaus en -procedures, zodat classificaties consistent zijn in de hele organisatie.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Leidraad voor het implementeren van het classificatiesysteem voor informatie
Hoewel 5.12 erkent dat er geen one-size-fits-all classificatieschema bestaat en dat organisaties speelruimte hebben bij het bepalen en beschrijven van individuele classificatieniveaus, geeft het het volgende voorbeeld als een informatieclassificatieschema:
a) Openbaarmaking veroorzaakt geen schade;
b) Openbaarmaking veroorzaakt kleine reputatieschade of kleine operationele gevolgen;
c) Openbaarmaking heeft op de korte termijn een aanzienlijk effect op de activiteiten of bedrijfsdoelstellingen;
d) Openbaarmaking heeft ernstige gevolgen voor de bedrijfsdoelstellingen op de lange termijn of brengt het voortbestaan van de organisatie in gevaar.
Wijzigingen en verschillen ten opzichte van ISO 27002:2013
De classificatie van informatie is in de vorige versie behandeld in paragraaf 8.2.1.
Hoewel de twee versies sterk op elkaar lijken, zijn er twee belangrijke verschillen:
In de oude versie was er geen expliciete verwijzing naar de eis van consistentie van classificatieniveaus bij de overdracht van informatie tussen organisaties.
In de 2022-versie moet u echter een overeenkomst sluiten met uw tegenhanger om ervoor te zorgen dat er consistentie is in de classificatie van informatie en de interpretatie van classificatieniveaus.
Ten tweede vereist de nieuwe versie expliciet dat organisaties onderwerpspecifiek beleid invoeren. In de oudere versie werd daarentegen slechts kort verwezen naar de toegangscontrole.
Nieuwe ISO 27002-controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | NIEUW | Bedreigingsintelligentie |
| 5.23 | NIEUW | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | NIEUW | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 8.9 | NIEUW | Configuratiebeheer |
| 8.10 | NIEUW | Verwijdering van informatie |
| 8.11 | NIEUW | Gegevensmaskering |
| 8.12 | NIEUW | Preventie van gegevenslekken |
| 8.16 | NIEUW | Monitoring activiteiten |
| 8.23 | NIEUW | Web filtering |
| 8.28 | NIEUW | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Hoe ISMS.online helpt
Ons platform is intuïtief en gemakkelijk te gebruiken. Het is niet alleen voor zeer technische mensen; het is voor iedereen in uw organisatie. Wij moedigen u aan om medewerkers op alle niveaus van uw bedrijf te betrekken bij het opbouwen van uw bedrijf ISMS, omdat je daarmee een echt duurzaam systeem bouwt.
Neem vandaag nog contact op met boek een demo.
