Het labelen van informatie is een procedure waarmee organisaties hun informatieclassificatieschema in de praktijk kunnen brengen door classificatielabels aan relevante informatiemiddelen te koppelen.
Controle 5.13 behandelt hoe organisaties een robuuste procedure voor het labelen van informatie moeten ontwikkelen, implementeren en beheren, gebaseerd op het classificatieschema dat is aangenomen via Controle 5.12.
5.13 is een preventieve controle die beschermt informatiemiddelen tegen veiligheidsrisico's door organisaties te helpen twee verschillende doelen te bereiken:
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Informatiebescherming | #Verdediging #Bescherming |
Gezien het feit dat het toevoegen van metadata aan digitale assets de belangrijkste manier is om informatie-items te labelen, moeten metadata-stewards verantwoordelijk zijn voor de juiste implementatie van de labelingprocedure.
Naast de metadata-stewards moeten asset-eigenaren met toegangs- en wijzigingsautorisaties verantwoordelijk zijn voor de juiste labeling van alle data-assets en zullen zij indien nodig de nodige wijzigingen aanbrengen in de labeling.
Controle 5.13 identificeert vier specifieke stappen die organisaties moeten implementeren om het labelen van informatie uit te voeren in overeenstemming met 5.13.
Organisaties moeten een organisatiebrede procedure voor het labelen van informatie ontwikkelen die voldoet aan het informatieclassificatieschema dat is opgesteld in overeenstemming met Controle 5.12.
Bovendien vereist 5.13 dat deze procedure wordt uitgebreid tot alle informatiemiddelen, ongeacht of deze in digitaal of papierformaat zijn, en dat de labels gemakkelijk te herkennen zijn.
Hoewel er geen limiet is aan wat dit proceduredocument kan bevatten, stelt Controle 5.13 dat de procedures op zijn minst het volgende moeten omvatten:
De procedure voor het labelen van informatie kan alleen effectief zijn in de mate dat het personeel en andere relevante belanghebbenden goed geïnformeerd zijn over hoe informatie correct moet worden gelabeld en hoe om te gaan met gelabelde informatiemiddelen.
Daarom moeten organisaties hun personeel en andere relevante partijen training geven over de procedure.
5.13 vereist het gebruik van metadata voor het labelen van digitale informatiemiddelen.
Verder merkt het op dat de metadata moeten worden ingezet op een manier die het gemakkelijk en efficiënt maakt om informatie te identificeren en te zoeken, en ook op een manier die het besluitvormingsproces tussen systemen met betrekking tot gelabelde informatie stroomlijnt.
Gezien de risico's die gepaard gaan met de uitgaande overdracht van gevoelige gegevens uit systemen, beveelt 5.13 organisaties aan om deze informatiemiddelen te labelen met de gegevens die het meest geschikt zijn voor het niveau van kriticiteit en gevoeligheid van de betreffende informatie.
In 5.13 wordt benadrukt dat identificatie en nauwkeurige etikettering van geheime informatie van cruciaal belang is voor de veiligheid van het delen van gegevens.
Naast de vier specifieke stappen die hierboven zijn beschreven, beveelt 5.13 organisaties ook aan aanvullende metadatapunten in te voegen, zoals de naam van het proces dat het informatiemiddel heeft gecreëerd en het tijdstip waarop deze is aangemaakt.
Verder verwijst 5.13 naar de gebruikelijke etiketteringstechnieken die organisaties kunnen implementeren:
Ten slotte benadrukt 5.13 dat het labelen van informatie als 'vertrouwelijk' en 'geheim' onbedoelde gevolgen kan hebben, omdat het het voor kwaadwillende actoren gemakkelijker kan maken om gevoelige informatie te doorzoeken en te vinden.
27002:2022/5.13 vervangt 27002:2013/8.2.2 (Etikettering van informatie).
Hoewel de twee bedieningselementen tot op zekere hoogte vergelijkbaar zijn, zijn er twee belangrijke verschillen die de 2022-versie uitgebreider maken.
Terwijl de versie uit 2013 metadata een etiketteringstechniek noemde, legde zij geen specifieke verplichtingen op voor naleving bij het gebruik van metadata.
De 2022-versie stelt daarentegen strenge eisen aan het gebruik van de metadatatechniek. Ter illustratie vereist de versie van 2022 dat:
In tegenstelling tot de versie uit 2022 specificeerde de versie uit 2013 niet de minimale inhoud die in een informatie-etiketteringsprocedure zou moeten worden opgenomen.
ISO 27002 implementatie is eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt, van het definiëren van de reikwijdte van uw ISMS tot risico-identificatie en controle-implementatie.
Ons platform is intuïtief en gemakkelijk te gebruiken. Het is niet alleen voor zeer technische mensen; het is voor iedereen in uw organisatie. Wij moedigen u aan om medewerkers op alle niveaus van uw bedrijf te betrekken bij het opbouwen van uw bedrijf ISMS, omdat je daarmee een echt duurzaam systeem bouwt.
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
