ISO 27001:2022 Anhang A Kontrolle 5.13

Allgemeine Richtlinien zur Einhaltung von ISO 27001:2022 Anhang A 5.13

Mithilfe von Annex A Control 5.13 können Organisationen Informationen in Übereinstimmung mit vier spezifischen Schritten kennzeichnen.

Legen Sie ein Verfahren zur Kennzeichnung von Informationen fest

Das gemäß Annex A Control 5.12 erstellte Informationsklassifizierungsschema sollte bei den Informationskennzeichnungsverfahren der Organisationen eingehalten werden.

5.13 verlangt außerdem, dass dieses Verfahren für alle Informationsressourcen gilt, ob digital oder auf Papier, und dass die Etiketten leicht erkennbar sein müssen.

Es gibt keine Begrenzung für den Inhalt dieses Verfahrensdokuments, aber Anhang A Kontrolle 5.13 verlangt, dass die Verfahren Folgendes umfassen:

• Eine Erläuterung der Methoden zum Anbringen von Etiketten an Informationsressourcen basierend auf der Art des Speichermediums und der Art und Weise, wie auf die Daten zugegriffen wird.
• Für jede Art von Informationsressource, wo die Etiketten angebracht werden sollen.
• Beispielsweise kann eine Organisation im Rahmen ihres Informationskennzeichnungsprozesses auf die Veröffentlichung öffentlicher Daten verzichten.
• Technische, rechtliche oder vertragliche Beschränkungen verhindern die Kennzeichnung bestimmter Arten von Informationen.
• Regeln regeln, wie Informationen zu kennzeichnen sind, wenn sie intern oder extern übermittelt werden.
• Den digitalen Assets sollten Anweisungen zum Einfügen von Metadaten beiliegen.
• Alle Vermögenswerte sollten mit denselben Namen gekennzeichnet sein.

Bieten Sie Ihren Mitarbeitern angemessene Schulungen zu Etikettierungsverfahren an

Personal und andere relevante Stakeholder müssen wissen, wie man Kennzeichnungen vornimmt Informationen korrekt verarbeiten und gekennzeichnete Informationsbestände verwalten bevor das Verfahren zur Kennzeichnung von Informationen wirksam werden kann.

Daher sollten Organisationen ihre Mitarbeiter und andere relevante Parteien über das Verfahren schulen.

Digitale Informationsbestände sollten mit Metadaten gekennzeichnet sein

Digitale Informationsressourcen müssen mithilfe von Metadaten gemäß 5.13 gekennzeichnet werden.

Die Bereitstellung von Metadaten sollte auch die einfache Identifizierung und Suche nach Informationen erleichtern und die Entscheidungsfindung zwischen Systemen im Zusammenhang mit gekennzeichneten Informationen rationalisieren.

Es sollten zusätzliche Vorsichtsmaßnahmen getroffen werden, um sensible Daten zu kennzeichnen, die das System verlassen könnten

Die Empfehlung in Anhang A 5.13 konzentriert sich auf die Ermittlung des am besten geeigneten Etiketts für den Außenbereich Übertragung kritischer und sensibler Informationen Vermögenswerte unter Berücksichtigung der damit verbundenen Risiken.

Anhang A 5.13 Ergänzende Leitlinien

Damit Datenaustauschvorgänge sicher sind, ist es wichtig, vertrauliche Informationen genau zu identifizieren und zu kennzeichnen.

Anhang A 5.13 empfiehlt außerdem, dass Organisationen zusätzliche Metadatenpunkte einfügen. Das heißt, der Name des Prozesses, der die Informationsressource erstellt hat, und der Zeitpunkt, zu dem sie erstellt wurde.

Darüber hinaus beschreibt Anhang A 5.13 die Standard-Kennzeichnungstechniken, die Organisationen verwenden können:

• Physische Etiketten
• Kopf- und Fußzeilen
• Metadaten
• Watermarking
• Stempel

Schließlich wird in Anhang A 5.13 betont, dass die Kennzeichnung von Informationsbeständen als „vertraulich“ und „geheim“ unbeabsichtigte Folgen haben kann. Dies kann es böswilligen Akteuren erleichtern, sensible Informationsbestände zu entdecken und zu finden.

Was sind die Änderungen und Unterschiede zur ISO 27001:2013?

ISO 27001:2022 Anhang A 5.13 ersetzt ISO 27001:2013 Anhang A 8.2.2 (Kennzeichnung von Informationen).

Beide Anhang-A-Kontrollen sind in gewissem Maße ähnlich, aber zwei wesentliche Unterschiede machen die ISO 27001:2022-Version umfassender.

Die Verwendung von Metadaten wurde erforderlich, um neuen Anforderungen gerecht zu werden

In der Fassung von 2013 wurden Metadaten zwar als Kennzeichnungstechnik bezeichnet, es wurden jedoch keine spezifischen Compliance-Verpflichtungen bei der Verwendung von Metadaten festgelegt.

Im Gegensatz dazu enthält die Version 2022 Unterschiede und Änderungen zur ISO 27001:2013.

Die Nutzung von Metadaten ist nun Pflicht

Im Jahr 2013 wurden Metadaten als Kennzeichnungstechnik bezeichnet, es wurden jedoch keine spezifischen Compliance-Verpflichtungen auferlegt.

Im Gegensatz dazu enthält die Version 2022 strenge Anforderungen an Metadatentechniken. Die Version 2022 erfordert beispielsweise Folgendes:

• Das Hinzufügen von Metadaten zu Informationen erleichtert deren Identifizierung, Verwaltung und Entdeckung.
• Es ist notwendig, Metadaten für den Namen und das Datum des Prozesses einzufügen, der das Asset erstellt hat.

Es ist notwendig, im Informationskennzeichnungsverfahren weitere Einzelheiten anzugeben

Die Informationskennzeichnungsverfahren in der Version 2013 mussten nicht den Mindestinhalt enthalten wie in der Version 2022.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der Tabelle unten finden Sie weitere Informationen zu den einzelnen Personen ISO 27001:2022 Anhang A Steuern.

Wie ISMS.online hilft

Implementierung von ISO 27001 Mit unserer Schritt-für-Schritt-Checkliste ist das einfacher. Sie führt Sie von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Implementierung der Annex-A-Kontrollen.

Die richtigen unsere Plattform ist intuitiv und einfach. Es richtet sich nicht nur an hochtechnische Mitarbeiter, sondern an alle in Ihrem Unternehmen. Wir ermutigen Sie, Ihre gesamte Belegschaft in den Aufbau Ihres Unternehmens einzubeziehen ISMS, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.