Etikettering van inligting is 'n prosedure wat organisasies in staat stel om hul inligtingklassifikasieskema in die praktyk te bring deur klassifikasieetikette aan relevante inligtingsbates te heg.
Beheer 5.13 spreek aan hoe organisasies 'n robuuste inligtingetiketteringsprosedure moet ontwikkel, implementeer en bestuur gebaseer op die klassifikasieskema wat deur Beheer 5.12 aanvaar is.
5.13 is 'n voorkomende beheer wat beskerm inligtingbates teen sekuriteitsrisiko's deur organisasies te help om twee afsonderlike doelwitte te bereik:
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Inligtingbeskerming | #Verdediging #Beskerming |
Aangesien die byvoeging van metadata by digitale bates die primêre manier is om inligtingsbates te etiketteer, sal metadata-rentmeesters verantwoordelik wees vir die behoorlike implementering van etiketteringprosedure.
Benewens die metadata-rentmeesters, sal bate-eienaars met toegangs- en wysigingsmagtigings verantwoordelik wees vir die behoorlike etikettering van alle databates en sal die nodige wysigings aan etikettering aanbring indien nodig.
Beheer 5.13 identifiseer vier spesifieke stappe wat organisasies moet implementeer om etikettering van inligting in ooreenstemming met 5.13 uit te voer.
Organisasies moet 'n organisasiewye Inligtingsetiketteringsprosedure ontwikkel wat voldoen aan die inligtingklassifikasieskema wat in ooreenstemming met Beheer 5.12 geskep is.
Verder vereis 5.13 dat hierdie prosedure uitgebrei word na alle inligtingsbates, ongeag of dit in digitale of papierformaat is en dat die etikette maklik herkenbaar moet wees.
Alhoewel daar geen beperking is op wat hierdie Proseduredokument kan bevat nie, bepaal die Beheer 5.13 dat die Prosedures ten minste die volgende moet insluit:
Die prosedure vir etikettering van inligting kan slegs effektief wees in die mate dat personeel en ander relevante belanghebbendes goed ingelig is oor hoe om inligting korrek te etiketteer en hoe om gemerkte inligtingbates te hanteer.
Daarom moet organisasies personeel en ander relevante partye van opleiding oor die prosedure voorsien.
5.13 vereis die gebruik van metadata vir etikettering van digitale inligtingbates.
Verder wys dit daarop dat die metadata ontplooi moet word op 'n manier wat dit maklik en doeltreffend maak om inligting te identifiseer en te soek en ook op 'n manier wat die besluitnemingsproses tussen stelsels wat met gemerkte inligting verband hou, stroomlyn.
Met inagneming van die risiko's verbonde aan uitwaartse oordrag van sensitiewe data vanaf stelsels, beveel 5.13 organisasies aan om hierdie inligtingbates te benoem met dié wat die mees geskikte is vir die vlak van kritiek en sensitiwiteit van die betrokke inligting.
Die 5.13 beklemtoon dat identifikasie en akkurate etikettering van geklassifiseerde inligting noodsaaklik is vir die sekuriteit van datadeelbedrywighede.
Benewens die vier spesifieke stappe wat hierbo beskryf word, beveel 5.13 ook aan dat organisasies bykomende metadatapunte invoeg soos die naam van die proses wat die inligtingsbate geskep het en die tyd van sodanige skepping.
Verder verwys die 5.13 na die algemene etiketteringtegnieke wat organisasies kan implementeer:
Laastens beklemtoon die 5.13 dat die etikettering van inligtingsbates as 'vertroulik' en 'geklassifiseer' onbedoelde gevolge kan hê omdat dit dit vir kwaadwillige akteurs makliker kan maak om sensitiewe inligtingbates deur te soek en te vind.
27002:2022/5.13 vervang 27002:2013/8.2.2 (Etikettering van inligting).
Alhoewel die twee kontroles tot 'n mate soortgelyk is, is daar twee sleutelverskille wat die 2022-weergawe meer omvattend maak.
Terwyl die 2013-weergawe na metadata as 'n etiketteringtegniek verwys het, het dit geen spesifieke verpligtinge vir nakoming opgelê wanneer metadata gebruik word nie.
In teenstelling hiermee bring die 2022-weergawe streng vereistes oor hoe om metadata-tegniek te gebruik. Ter illustrasie vereis die 2022-weergawe dat:
In teenstelling met die 2022-weergawe, het die 2013-weergawe nie die minimum inhoud gespesifiseer wat in 'n Inligtingsetiketteringsprosedure ingesluit moet word nie.
ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.
Ons platform is intuïtief en maklik om te gebruik. Dit is nie net vir hoogs tegniese mense nie; dis vir almal in jou organisasie. Ons moedig jou aan om personeel op alle vlakke van jou besigheid te betrek by die bou van jou ISMS, want dit help jou om 'n werklik volhoubare stelsel te bou.
Kontak vandag nog om bespreek 'n demo.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |