- Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 5.13 .
- Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 8.2.2 .
Die Rolle der Kennzeichnung in ISO 27001:2022 – Erläuterung von Anhang A 5.13
Es bewerben sich Organisationen Klassifizierungsetiketten zu relevanten Informationen Vermögenswerte, um ihr Informationsklassifizierungsschema umzusetzen.
In Anlehnung an das von der Organisation verabschiedete Informationsklassifizierungsschema definiert ISO 27001:2022 Anhang A 5.13 eine Reihe von Verfahren zur Informationskennzeichnung.
Zusätzlich zur Identifizierung physischer und elektronischer Vermögenswerte müssen Verfahren zur Identifizierung von Informationen entwickelt werden, die das in 5.12 beschriebene Klassifizierungsschema widerspiegeln.
Etiketten leichter erkennen und verwalten; andernfalls werden sie nicht befolgt. Anstatt die Mitarbeiter dazu zu bringen, jede CRM-Aktualisierung mit einer geschäftlichen Schweigeerklärung zu kennzeichnen, könnte es einfacher sein, faktisch zu entscheiden, dass alles in den digitalen Systemen vertraulich ist, sofern nicht ausdrücklich etwas anderes gekennzeichnet ist!
Unter Verwendung des in Anhang A-Kontrolle 5.12 übernommenen Klassifizierungsschemas beschreibt Anhang A-Kontrolle 5.13, wie Organisationen ein robustes Verfahren zur Informationskennzeichnung entwickeln, implementieren und verwalten sollten.
Was ist der Zweck von ISO 27001:2022 Anhang A 5.13?
Der Zweck von Anhang A 5.13 ist zweifach; um Informationsressourcen vor Sicherheitsrisiken zu schützen:
- Informationswerte lassen sich bei der internen und externen Kommunikation einfach klassifizieren. Dies ist der Zeitpunkt, an dem Mitarbeiter und Dritte auf die Informationen zugreifen und diese nutzen können.
- Die Informationsverarbeitung und -verwaltung kann durch Automatisierung rationalisiert werden.
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Wem gehört Anhang A 5.13?
Informationsbestände können durch Hinzufügen von Metadaten gekennzeichnet werden, daher müssen Metadatenverwalter für die ordnungsgemäße Umsetzung des Kennzeichnungsprozesses verantwortlich sein.
Alle Datenbestände müssen entsprechend gekennzeichnet sein, und die Eigentümer der Datenbestände müssen alle Änderungen an der Kennzeichnung mit Zugriffs- und Änderungsberechtigungen vornehmen.
Allgemeine Richtlinien zur Einhaltung von ISO 27001:2022 Anhang A 5.13
Mithilfe von Annex A Control 5.13 können Organisationen Informationen in Übereinstimmung mit vier spezifischen Schritten kennzeichnen.
Legen Sie ein Verfahren zur Kennzeichnung von Informationen fest
Das gemäß Annex A Control 5.12 erstellte Informationsklassifizierungsschema sollte bei den Informationskennzeichnungsverfahren der Organisationen eingehalten werden.
5.13 verlangt außerdem, dass dieses Verfahren für alle Informationsressourcen gilt, ob digital oder auf Papier, und dass die Etiketten leicht erkennbar sein müssen.
Es gibt keine Begrenzung für den Inhalt dieses Verfahrensdokuments, aber Anhang A Kontrolle 5.13 verlangt, dass die Verfahren Folgendes umfassen:
- Eine Erläuterung der Methoden zum Anbringen von Etiketten an Informationsressourcen basierend auf der Art des Speichermediums und der Art und Weise, wie auf die Daten zugegriffen wird.
- Für jede Art von Informationsressource, wo die Etiketten angebracht werden sollen.
- Beispielsweise kann eine Organisation im Rahmen ihres Informationskennzeichnungsprozesses auf die Veröffentlichung öffentlicher Daten verzichten.
- Technische, rechtliche oder vertragliche Beschränkungen verhindern die Kennzeichnung bestimmter Arten von Informationen.
- Regeln regeln, wie Informationen zu kennzeichnen sind, wenn sie intern oder extern übermittelt werden.
- Den digitalen Assets sollten Anweisungen zum Einfügen von Metadaten beiliegen.
- Alle Vermögenswerte sollten mit denselben Namen gekennzeichnet sein.
Bieten Sie Ihren Mitarbeitern angemessene Schulungen zu Etikettierungsverfahren an
Personal und andere relevante Stakeholder müssen wissen, wie man Kennzeichnungen vornimmt Informationen korrekt verarbeiten und gekennzeichnete Informationsbestände verwalten bevor das Verfahren zur Kennzeichnung von Informationen wirksam werden kann.
Daher sollten Organisationen ihre Mitarbeiter und andere relevante Parteien über das Verfahren schulen.
Digitale Informationsbestände sollten mit Metadaten gekennzeichnet sein
Digitale Informationsressourcen müssen mithilfe von Metadaten gemäß 5.13 gekennzeichnet werden.
Die Bereitstellung von Metadaten sollte auch die einfache Identifizierung und Suche nach Informationen erleichtern und die Entscheidungsfindung zwischen Systemen im Zusammenhang mit gekennzeichneten Informationen rationalisieren.
Es sollten zusätzliche Vorsichtsmaßnahmen getroffen werden, um sensible Daten zu kennzeichnen, die das System verlassen könnten
Die Empfehlung in Anhang A 5.13 konzentriert sich auf die Ermittlung des am besten geeigneten Etiketts für den Außenbereich Übertragung kritischer und sensibler Informationen Vermögenswerte unter Berücksichtigung der damit verbundenen Risiken.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Anhang A 5.13 Ergänzende Leitlinien
Damit Datenaustauschvorgänge sicher sind, ist es wichtig, vertrauliche Informationen genau zu identifizieren und zu kennzeichnen.
Anhang A 5.13 empfiehlt außerdem, dass Organisationen zusätzliche Metadatenpunkte einfügen. Das heißt, der Name des Prozesses, der die Informationsressource erstellt hat, und der Zeitpunkt, zu dem sie erstellt wurde.
Darüber hinaus beschreibt Anhang A 5.13 die Standard-Kennzeichnungstechniken, die Organisationen verwenden können:
- Physische Etiketten
- Kopf- und Fußzeilen
- Metadaten
- Watermarking
- Stempel
Schließlich wird in Anhang A 5.13 betont, dass die Kennzeichnung von Informationsbeständen als „vertraulich“ und „geheim“ unbeabsichtigte Folgen haben kann. Dies kann es böswilligen Akteuren erleichtern, sensible Informationsbestände zu entdecken und zu finden.
Was sind die Änderungen und Unterschiede zur ISO 27001:2013?
ISO 27001:2022 Anhang A 5.13 ersetzt ISO 27001:2013 Anhang A 8.2.2 (Kennzeichnung von Informationen).
Beide Anhang-A-Kontrollen sind in gewissem Maße ähnlich, aber zwei wesentliche Unterschiede machen die ISO 27001:2022-Version umfassender.
Die Verwendung von Metadaten wurde erforderlich, um neuen Anforderungen gerecht zu werden
In der Fassung von 2013 wurden Metadaten zwar als Kennzeichnungstechnik bezeichnet, es wurden jedoch keine spezifischen Compliance-Verpflichtungen bei der Verwendung von Metadaten festgelegt.
Im Gegensatz dazu enthält die Version 2022 Unterschiede und Änderungen zur ISO 27001:2013.
Die Nutzung von Metadaten ist nun Pflicht
Im Jahr 2013 wurden Metadaten als Kennzeichnungstechnik bezeichnet, es wurden jedoch keine spezifischen Compliance-Verpflichtungen auferlegt.
Im Gegensatz dazu enthält die Version 2022 strenge Anforderungen an Metadatentechniken. Die Version 2022 erfordert beispielsweise Folgendes:
- Das Hinzufügen von Metadaten zu Informationen erleichtert deren Identifizierung, Verwaltung und Entdeckung.
- Es ist notwendig, Metadaten für den Namen und das Datum des Prozesses einzufügen, der das Asset erstellt hat.
Es ist notwendig, im Informationskennzeichnungsverfahren weitere Einzelheiten anzugeben
Die Informationskennzeichnungsverfahren in der Version 2013 mussten nicht den Mindestinhalt enthalten wie in der Version 2022.
Tabelle aller ISO 27001:2022 Anhang A-Kontrollen
In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Organisatorische Kontrollen | Anhang A 5.1 |
Anhang A 5.1.1 Anhang A 5.1.2 |
Richtlinien zur Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.2 | Anhang A 6.1.1 | Rollen und Verantwortlichkeiten im Bereich Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.3 | Anhang A 6.1.2 | Aufgabentrennung |
| Organisatorische Kontrollen | Anhang A 5.4 | Anhang A 7.2.1 | Führungsaufgaben |
| Organisatorische Kontrollen | Anhang A 5.5 | Anhang A 6.1.3 | Kontakt mit Behörden |
| Organisatorische Kontrollen | Anhang A 5.6 | Anhang A 6.1.4 | Kontakt mit speziellen Interessengruppen |
| Organisatorische Kontrollen | Anhang A 5.7 | NEU | Threat Intelligence |
| Organisatorische Kontrollen | Anhang A 5.8 |
Anhang A 6.1.5 Anhang A 14.1.1 |
Informationssicherheit im Projektmanagement |
| Organisatorische Kontrollen | Anhang A 5.9 |
Anhang A 8.1.1 Anhang A 8.1.2 |
Inventar der Informationen und anderer damit verbundener Vermögenswerte |
| Organisatorische Kontrollen | Anhang A 5.10 |
Anhang A 8.1.3 Anhang A 8.2.3 |
Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.11 | Anhang A 8.1.4 | Rückgabe von Vermögenswerten |
| Organisatorische Kontrollen | Anhang A 5.12 | Anhang A 8.2.1 | Klassifizierung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.13 | Anhang A 8.2.2 | Kennzeichnung von Informationen |
| Organisatorische Kontrollen | Anhang A 5.14 |
Anhang A 13.2.1 Anhang A 13.2.2 Anhang A 13.2.3 |
Informationsübertragung |
| Organisatorische Kontrollen | Anhang A 5.15 |
Anhang A 9.1.1 Anhang A 9.1.2 |
Zugangskontrolle |
| Organisatorische Kontrollen | Anhang A 5.16 | Anhang A 9.2.1 | Identitätsmanagement |
| Organisatorische Kontrollen | Anhang A 5.17 |
Anhang A 9.2.4 Anhang A 9.3.1 Anhang A 9.4.3 |
Authentifizierungsinformationen |
| Organisatorische Kontrollen | Anhang A 5.18 |
Anhang A 9.2.2 Anhang A 9.2.5 Anhang A 9.2.6 |
Zugangsrechte |
| Organisatorische Kontrollen | Anhang A 5.19 | Anhang A 15.1.1 | Informationssicherheit in Lieferantenbeziehungen |
| Organisatorische Kontrollen | Anhang A 5.20 | Anhang A 15.1.2 | Adressierung der Informationssicherheit in Lieferantenvereinbarungen |
| Organisatorische Kontrollen | Anhang A 5.21 | Anhang A 15.1.3 | Management der Informationssicherheit in der IKT-Lieferkette |
| Organisatorische Kontrollen | Anhang A 5.22 |
Anhang A 15.2.1 Anhang A 15.2.2 |
Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen |
| Organisatorische Kontrollen | Anhang A 5.23 | NEU | Informationssicherheit für die Nutzung von Cloud-Diensten |
| Organisatorische Kontrollen | Anhang A 5.24 | Anhang A 16.1.1 | Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen |
| Organisatorische Kontrollen | Anhang A 5.25 | Anhang A 16.1.4 | Bewertung und Entscheidung zu Informationssicherheitsereignissen |
| Organisatorische Kontrollen | Anhang A 5.26 | Anhang A 16.1.5 | Reaktion auf Informationssicherheitsvorfälle |
| Organisatorische Kontrollen | Anhang A 5.27 | Anhang A 16.1.6 | Aus Informationssicherheitsvorfällen lernen |
| Organisatorische Kontrollen | Anhang A 5.28 | Anhang A 16.1.7 | Beweissammlung |
| Organisatorische Kontrollen | Anhang A 5.29 |
Anhang A 17.1.1 Anhang A 17.1.2 Anhang A 17.1.3 |
Informationssicherheit bei Störungen |
| Organisatorische Kontrollen | Anhang A 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| Organisatorische Kontrollen | Anhang A 5.31 |
Anhang A 18.1.1 Anhang A 18.1.5 |
Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen |
| Organisatorische Kontrollen | Anhang A 5.32 | Anhang A 18.1.2 | Rechte an geistigem Eigentum |
| Organisatorische Kontrollen | Anhang A 5.33 | Anhang A 18.1.3 | Schutz von Aufzeichnungen |
| Organisatorische Kontrollen | Anhang A 5.34 | Anhang A 18.1.4 | Datenschutz und Schutz personenbezogener Daten |
| Organisatorische Kontrollen | Anhang A 5.35 | Anhang A 18.2.1 | Unabhängige Überprüfung der Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.36 |
Anhang A 18.2.2 Anhang A 18.2.3 |
Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit |
| Organisatorische Kontrollen | Anhang A 5.37 | Anhang A 12.1.1 | Dokumentierte Betriebsabläufe |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Menschenkontrollen | Anhang A 6.1 | Anhang A 7.1.1 | Rekrutierung |
| Menschenkontrollen | Anhang A 6.2 | Anhang A 7.1.2 | Allgemeine Geschäftsbedingungen |
| Menschenkontrollen | Anhang A 6.3 | Anhang A 7.2.2 | Informationssicherheitsbewusstsein, Bildung und Schulung |
| Menschenkontrollen | Anhang A 6.4 | Anhang A 7.2.3 | Disziplinarverfahren |
| Menschenkontrollen | Anhang A 6.5 | Anhang A 7.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| Menschenkontrollen | Anhang A 6.6 | Anhang A 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| Menschenkontrollen | Anhang A 6.7 | Anhang A 6.2.2 | Fernarbeit |
| Menschenkontrollen | Anhang A 6.8 |
Anhang A 16.1.2 Anhang A 16.1.3 |
Berichterstattung über Informationssicherheitsereignisse |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Physikalische Kontrollen | Anhang A 7.1 | Anhang A 11.1.1 | Physische Sicherheitsbereiche |
| Physikalische Kontrollen | Anhang A 7.2 |
Anhang A 11.1.2 Anhang A 11.1.6 |
Physischer Eintritt |
| Physikalische Kontrollen | Anhang A 7.3 | Anhang A 11.1.3 | Sicherung von Büros, Räumen und Einrichtungen |
| Physikalische Kontrollen | Anhang A 7.4 | NEU | Physische Sicherheitsüberwachung |
| Physikalische Kontrollen | Anhang A 7.5 | Anhang A 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| Physikalische Kontrollen | Anhang A 7.6 | Anhang A 11.1.5 | Arbeiten in sicheren Bereichen |
| Physikalische Kontrollen | Anhang A 7.7 | Anhang A 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| Physikalische Kontrollen | Anhang A 7.8 | Anhang A 11.2.1 | Standort und Schutz der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.9 | Anhang A 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| Physikalische Kontrollen | Anhang A 7.10 |
Anhang A 8.3.1 Anhang A 8.3.2 Anhang A 8.3.3 Anhang A 11.2.5 |
Speichermedien |
| Physikalische Kontrollen | Anhang A 7.11 | Anhang A 11.2.2 | Unterstützende Dienstprogramme |
| Physikalische Kontrollen | Anhang A 7.12 | Anhang A 11.2.3 | Verkabelungssicherheit |
| Physikalische Kontrollen | Anhang A 7.13 | Anhang A 11.2.4 | Wartung der Ausrüstung |
| Physikalische Kontrollen | Anhang A 7.14 | Anhang A 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
| Anhang A Kontrolltyp | ISO/IEC 27001:2022 Anhang A Kennung | ISO/IEC 27001:2013 Anhang A Kennung | Anhang A Name |
|---|---|---|---|
| Technologische Kontrollen | Anhang A 8.1 |
Anhang A 6.2.1 Anhang A 11.2.8 |
Benutzer-Endpunktgeräte |
| Technologische Kontrollen | Anhang A 8.2 | Anhang A 9.2.3 | Privilegierte Zugriffsrechte |
| Technologische Kontrollen | Anhang A 8.3 | Anhang A 9.4.1 | Beschränkung des Informationszugriffs |
| Technologische Kontrollen | Anhang A 8.4 | Anhang A 9.4.5 | Zugang zum Quellcode |
| Technologische Kontrollen | Anhang A 8.5 | Anhang A 9.4.2 | Sichere Authentifizierung |
| Technologische Kontrollen | Anhang A 8.6 | Anhang A 12.1.3 | Kapazitätsmanagement |
| Technologische Kontrollen | Anhang A 8.7 | Anhang A 12.2.1 | Schutz vor Malware |
| Technologische Kontrollen | Anhang A 8.8 |
Anhang A 12.6.1 Anhang A 18.2.3 |
Management technischer Schwachstellen |
| Technologische Kontrollen | Anhang A 8.9 | NEU | Configuration Management |
| Technologische Kontrollen | Anhang A 8.10 | NEU | Löschen von Informationen |
| Technologische Kontrollen | Anhang A 8.11 | NEU | Datenmaskierung |
| Technologische Kontrollen | Anhang A 8.12 | NEU | Verhinderung von Datenlecks |
| Technologische Kontrollen | Anhang A 8.13 | Anhang A 12.3.1 | Informationssicherung |
| Technologische Kontrollen | Anhang A 8.14 | Anhang A 17.2.1 | Redundanz von Informationsverarbeitungseinrichtungen |
| Technologische Kontrollen | Anhang A 8.15 |
Anhang A 12.4.1 Anhang A 12.4.2 Anhang A 12.4.3 |
Protokollierung |
| Technologische Kontrollen | Anhang A 8.16 | NEU | Überwachungsaktivitäten |
| Technologische Kontrollen | Anhang A 8.17 | Anhang A 12.4.4 | Uhrensynchronisation |
| Technologische Kontrollen | Anhang A 8.18 | Anhang A 9.4.4 | Nutzung privilegierter DienstprogrammeZugriffsrechte |
| Technologische Kontrollen | Anhang A 8.19 |
Anhang A 12.5.1 Anhang A 12.6.2 |
Installation von Software auf Betriebssystemen |
| Technologische Kontrollen | Anhang A 8.20 | Anhang A 13.1.1 | Netzwerksicherheit |
| Technologische Kontrollen | Anhang A 8.21 | Anhang A 13.1.2 | Sicherheit von Netzwerkdiensten |
| Technologische Kontrollen | Anhang A 8.22 | Anhang A 13.1.3 | Trennung von Netzwerken |
| Technologische Kontrollen | Anhang A 8.23 | NEU | Web-Filter |
| Technologische Kontrollen | Anhang A 8.24 |
Anhang A 10.1.1 Anhang A 10.1.2 |
Verwendung von Kryptographie |
| Technologische Kontrollen | Anhang A 8.25 | Anhang A 14.2.1 | Sicherer Entwicklungslebenszyklus |
| Technologische Kontrollen | Anhang A 8.26 |
Anhang A 14.1.2 Anhang A 14.1.3 |
Anforderungen an die Anwendungssicherheit |
| Technologische Kontrollen | Anhang A 8.27 | Anhang A 14.2.5 | Sichere Systemarchitektur und technische Prinzipien. Lernen aus Informationssicherheitsvorfällen. |
| Technologische Kontrollen | Anhang A 8.28 | NEU | Sichere Codierung |
| Technologische Kontrollen | Anhang A 8.29 |
Anhang A 14.2.8 Anhang A 14.2.9 |
Sicherheitstests in Entwicklung und Akzeptanz |
| Technologische Kontrollen | Anhang A 8.30 | Anhang A 14.2.7 | Ausgelagerte Entwicklung |
| Technologische Kontrollen | Anhang A 8.31 |
Anhang A 12.1.4 Anhang A 14.2.6 |
Trennung von Entwicklungs-, Test- und Produktionsumgebungen |
| Technologische Kontrollen | Anhang A 8.32 |
Anhang A 12.1.2 Anhang A 14.2.2 Anhang A 14.2.3 Anhang A 14.2.4 |
Change Control |
| Technologische Kontrollen | Anhang A 8.33 | Anhang A 14.3.1 | Testinformationen |
| Technologische Kontrollen | Anhang A 8.34 | Anhang A 12.7.1 | Schutz von Informationssystemen während Audittests |
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Wie ISMS.online hilft
Implementierung von ISO 27001 Mit unserer Schritt-für-Schritt-Checkliste ist das einfacher. Sie führt Sie von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Implementierung der Annex-A-Kontrollen.
Die richtigen unsere Plattform ist intuitiv und einfach. Es richtet sich nicht nur an hochtechnische Mitarbeiter, sondern an alle in Ihrem Unternehmen. Wir ermutigen Sie, Ihre gesamte Belegschaft in den Aufbau Ihres Unternehmens einzubeziehen ISMS, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
