ISO 27002:2022, Beheer 5.13 – Etikettering van inligting

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

naby, op, van, afrikaanse, kind, blaai, internet, op, skootrekenaar., hande

Etikettering van inligting is 'n prosedure wat organisasies in staat stel om hul inligtingklassifikasieskema in die praktyk te bring deur klassifikasieetikette aan relevante inligtingsbates te heg.

Beheer 5.13 spreek aan hoe organisasies 'n robuuste inligtingetiketteringsprosedure moet ontwikkel, implementeer en bestuur gebaseer op die klassifikasieskema wat deur Beheer 5.12 aanvaar is.

Doel van beheer 5.13

5.13 is 'n voorkomende beheer wat beskerm inligtingbates teen sekuriteitsrisiko's deur organisasies te help om twee afsonderlike doelwitte te bereik:

  • Om dit makliker te maak om die vlak van klassifikasie te demonstreer, word elke inligtingbate gegee wanneer die inligting intern en ekstern gekommunikeer word en wanneer dit deur werknemers en derde partye verkry word en dit gebruik word.

  • Vereenvoudiging van die proses van outomatisering van inligtingbestuur en -verwerking.

Eienskappe tabel

beheer TipeEienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende#Vertroulikheid
#Integriteit
#Beskikbaarheid 		#Beskerm#Inligtingbeskerming#Verdediging
#Beskerming
Spring na Onderwerp
Vertrou deur maatskappye oral
  • Eenvoudig en maklik om te gebruik
  • Ontwerp vir ISO 27001 sukses
  • Bespaar u tyd en geld
Bespreek jou demo
img

Eienaarskap van beheer 5.13

Aangesien die byvoeging van metadata by digitale bates die primêre manier is om inligtingsbates te etiketteer, sal metadata-rentmeesters verantwoordelik wees vir die behoorlike implementering van etiketteringprosedure.

Benewens die metadata-rentmeesters, sal bate-eienaars met toegangs- en wysigingsmagtigings verantwoordelik wees vir die behoorlike etikettering van alle databates en sal die nodige wysigings aan etikettering aanbring indien nodig.

Algemene riglyne oor hoe om te voldoen

Beheer 5.13 identifiseer vier spesifieke stappe wat organisasies moet implementeer om etikettering van inligting in ooreenstemming met 5.13 uit te voer.

Ontwikkel en implementeer 'n Inligtingsetiketteringsprosedure

Organisasies moet 'n organisasiewye Inligtingsetiketteringsprosedure ontwikkel wat voldoen aan die inligtingklassifikasieskema wat in ooreenstemming met Beheer 5.12 geskep is.

Verder vereis 5.13 dat hierdie prosedure uitgebrei word na alle inligtingsbates, ongeag of dit in digitale of papierformaat is en dat die etikette maklik herkenbaar moet wees.

Alhoewel daar geen beperking is op wat hierdie Proseduredokument kan bevat nie, bepaal die Beheer 5.13 dat die Prosedures ten minste die volgende moet insluit:

  • Beskrywing van die metodes om etikette aan inligtingbates te heg, afhangende van die stoormedium en hoe toegang tot die data verkry word.

  • Waar die etikette vir elke tipe inligtingsbate aangeheg moet word.

  • Watter inligtingbates sal nie gemerk word nie, indien enige. Byvoorbeeld, 'n organisasie kan die etikettering van publieke data weglaat om die inligtingetiketteringsproses te stroomlyn.

  • Beskrywing van maatreëls vir gevalle waar dit nie moontlik is om sekere tipes inligting te etiketteer nie weens tegniese, wetlike of kontraktuele beperkings.

  • Die reëls oor hoe die etikettering van inligting wat aan interne of eksterne partye oorgedra word, hanteer moet word.

  • Vir digitale bates moet die Prosedure verduidelik hoe die metadata ingevoeg moet word.

  • Name van etikette wat vir alle bates gebruik moet word.

Gee voldoende opleiding aan personeel oor hoe om by die etiketteringprosedure te hou

Die prosedure vir etikettering van inligting kan slegs effektief wees in die mate dat personeel en ander relevante belanghebbendes goed ingelig is oor hoe om inligting korrek te etiketteer en hoe om gemerkte inligtingbates te hanteer.

Daarom moet organisasies personeel en ander relevante partye van opleiding oor die prosedure voorsien.

Gebruik metadata vir etikettering van digitale inligtingbates

5.13 vereis die gebruik van metadata vir etikettering van digitale inligtingbates.

Verder wys dit daarop dat die metadata ontplooi moet word op 'n manier wat dit maklik en doeltreffend maak om inligting te identifiseer en te soek en ook op 'n manier wat die besluitnemingsproses tussen stelsels wat met gemerkte inligting verband hou, stroomlyn.

Neem ekstra maatreëls om sensitiewe data te benoem wat moontlik uit die stelsel kan vloei

Met inagneming van die risiko's verbonde aan uitwaartse oordrag van sensitiewe data vanaf stelsels, beveel 5.13 organisasies aan om hierdie inligtingbates te benoem met dié wat die mees geskikte is vir die vlak van kritiek en sensitiwiteit van die betrokke inligting.

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Aanvullende leiding oor beheer 5.13

Die 5.13 beklemtoon dat identifikasie en akkurate etikettering van geklassifiseerde inligting noodsaaklik is vir die sekuriteit van datadeelbedrywighede.

Benewens die vier spesifieke stappe wat hierbo beskryf word, beveel 5.13 ook aan dat organisasies bykomende metadatapunte invoeg soos die naam van die proses wat die inligtingsbate geskep het en die tyd van sodanige skepping.

Verder verwys die 5.13 na die algemene etiketteringtegnieke wat organisasies kan implementeer:

  • Fisiese etikette
  • Kop- en voettekste
  • Metadata
  • watermarking
  • Rubberstempels

Laastens beklemtoon die 5.13 dat die etikettering van inligtingsbates as 'vertroulik' en 'geklassifiseer' onbedoelde gevolge kan hê omdat dit dit vir kwaadwillige akteurs makliker kan maak om sensitiewe inligtingbates deur te soek en te vind.

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/5.13 vervang 27002:2013/8.2.2 (Etikettering van inligting).

Alhoewel die twee kontroles tot 'n mate soortgelyk is, is daar twee sleutelverskille wat die 2022-weergawe meer omvattend maak.

Nuwe vereistes vir die gebruik van metadata

Terwyl die 2013-weergawe na metadata as 'n etiketteringtegniek verwys het, het dit geen spesifieke verpligtinge vir nakoming opgelê wanneer metadata gebruik word nie.

In teenstelling hiermee bring die 2022-weergawe streng vereistes oor hoe om metadata-tegniek te gebruik. Ter illustrasie vereis die 2022-weergawe dat:

  • Metadata word by inligting gevoeg op 'n manier wat dit maklik maak om inligting op 'n doeltreffende manier te identifiseer, bestuur en ontdek.

  • Metadata vir die naam van die organisatoriese proses wat 'n spesifieke bate geskep het en die tyd daarvan moet ingevoeg word.

Inhoud van die Inligtingsetiketteringsprosedure moet meer gedetailleerd wees

In teenstelling met die 2022-weergawe, het die 2013-weergawe nie die minimum inhoud gespesifiseer wat in 'n Inligtingsetiketteringsprosedure ingesluit moet word nie.

Hoe ISMS.online help

ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.

Ons platform is intuïtief en maklik om te gebruik. Dit is nie net vir hoogs tegniese mense nie; dis vir almal in jou organisasie. Ons moedig jou aan om personeel op alle vlakke van jou besigheid te betrek by die bou van jou ISMS, want dit help jou om 'n werklik volhoubare stelsel te bou.

Kontak vandag nog om bespreek 'n demo.

Is jy gereed vir
die nuwe ISO 27002

Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind