Zum Inhalt
ISMS.online

ISO 27002:2022 – Kontrolle 5.12 – Klassifizierung von Informationen

Die Klassifizierung von Informationen ist ein Prozess, der es Organisationen ermöglicht Gruppeninformationsbestände in relevante Kategorien, je nachdem, welches Schutzniveau für jede Informationskategorie vorgesehen werden soll. Kontrolle 5.12 befasst sich mit der Implementierung eines Klassifizierungsschemas für Informationen auf Grundlage der Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit von Informationswerten.

Autorin
Sam Peters
Aktualisiert Juli 25, 2025
4 / 5 Sterne

Zweck der Kontrolle 5.12

5.12 ist eine vorbeugende Kontrolle identifiziert Risiken indem es Organisationen ermöglicht, das Schutzniveau für jedes Informationsgut auf der Grundlage der Wichtigkeit und Sensibilität der Informationen zu bestimmen.

5.12 warnt Organisationen ausdrücklich vor einer Über- oder Unterklassifizierung von Informationen in den ergänzenden Leitlinien. Darin heißt es, dass Organisationen die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität berücksichtigen sollten, wenn sie Vermögenswerte relevanten Kategorien zuordnen.

Dadurch wird sichergestellt, dass das Klassifizierungsschema ein angemessenes Gleichgewicht zwischen den Geschäftsanforderungen herstellt Informationen und die Sicherheitsanforderungen für jede Informationskategorie.

Kontrollattribute 5.12

Steuerungstyp Eigenschaften der Informationssicherheit Cybersicherheitskonzepte Operative Fähigkeiten Sicherheitsdomänen
#Präventiv #Vertraulichkeit #Identifizieren #Informationsschutz #Schutz
#Integrität #Verteidigung
#Verfügbarkeit

Eigentum an der Kontrolle 5.12

Zwar sollte es eine organisationsweite Klassifizierung von Informationssystemen mit Klassifizierungsstufen und Kriterien für die Vorgehensweise geben Informationsressourcen klassifizierenDie Eigentümer von Informationsressourcen sind letztendlich für die Implementierung eines Klassifizierungsschemas verantwortlich.

5.12 erkennt ausdrücklich an, dass Eigentümer der betreffenden Informationsvermögen sollte rechenschaftspflichtig sein.

Wenn die Buchhaltung beispielsweise Zugriff auf die Ordner mit Gehaltsabrechnungen und Kontoauszügen hat, sollte sie die Informationen anhand des unternehmensweiten Klassifizierungsschemas klassifizieren.

Bei der Klassifizierung von Informationen sollte der Vermögenseigentümer berücksichtigen Berücksichtigen Sie die geschäftlichen Anforderungen, Grad der Auswirkung, die die Kompromittierung von Informationen auf die Organisation haben würde, und Grad der Wichtigkeit und Sensibilität der Informationen.



ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Ein Vorsprung von 81 % vom ersten Tag an

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s


Allgemeine Leitlinien zur Kontrolle 5.12

Um ein robustes System zur Klassifizierung von Informationen zu implementieren, sollten Unternehmen einen themenspezifischen Ansatz verfolgen, den Informationsbedarf jeder Geschäftseinheit verstehen und den Grad der Sensibilität und Kritikalität der Informationen bestimmen.

5.12 verlangt von Organisationen, bei der Umsetzung eines Klassifizierungssystems die folgenden sieben Kriterien zu berücksichtigen:

  • Legen Sie eine themenspezifische Richtlinie fest und gehen Sie auf die spezifischen Geschäftsanforderungen ein

5.12 bezieht sich ausdrücklich auf 5.1, Zugriffskontrolle, und verlangt von Organisationen die Einhaltung themenspezifischer Richtlinien, wie in 5.1 beschrieben. Darüber hinaus sollten das Klassifizierungsschema und die Klassifizierungsstufen spezifische Geschäftsanforderungen berücksichtigen.

  • Berücksichtigen Sie die geschäftlichen Anforderungen an die gemeinsame Nutzung und Nutzung von Informationen sowie die Notwendigkeit der Verfügbarkeit

Wenn Sie einen Informationsbestand einer unnötig höheren Klassifizierungskategorie zuordnen, kann dies das Risiko einer Störung Ihrer kritischen Geschäftsfunktionen mit sich bringen, indem der Zugriff auf und die Nutzung von Informationen eingeschränkt wird.

Daher sollten Sie sich bemühen, ein Gleichgewicht zwischen Ihren spezifischen Geschäftsanforderungen an die Verfügbarkeit und Nutzung von Informationen und den Anforderungen an die Vertraulichkeit und Integrität dieser Informationen zu finden.

  • Berücksichtigen Sie rechtliche Verpflichtungen

Einige Gesetze können Ihnen strengere Verpflichtungen auferlegen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Bei der Zuordnung von Informationsbeständen zu Kategorien sollten rechtliche Verpflichtungen Vorrang vor Ihrer eigenen Klassifizierung haben.

  • Gehen Sie risikobasiert vor und berücksichtigen Sie die möglichen Auswirkungen einer Kompromittierung

Jede Art von Informationen ist für den Geschäftsbetrieb jedes Unternehmens unterschiedlich kritisch und weist je nach Kontext einen unterschiedlichen Grad an Sensibilität auf.

Bei der Umsetzung eines Klassifizierungssystems für Informationen sollten Organisationen Folgendes fragen:

Welche Auswirkungen hätte die Beeinträchtigung der Integrität, Verfügbarkeit und Vertraulichkeit dieser Informationen auf die Organisation?

Beispielsweise unterscheiden sich Datenbanken mit professionellen E-Mail-Adressen qualifizierter Leads und Gesundheitsakten von Mitarbeitern stark hinsichtlich der Sensibilität und der potenziellen Auswirkungen.

  • Überprüfen und aktualisieren Sie die Klassifizierung regelmäßig

5.12 stellt fest, dass der Wert, die Kritikalität und die Sensibilität von Informationen nicht statisch sind und sich im Laufe des Lebenszyklus der Informationen ändern können. Daher müssen Sie jede Klassifizierung regelmäßig überprüfen und notwendige Aktualisierungen vornehmen.

Als Beispiel für eine solche Änderung bezieht sich 5.12 auf die Offenlegung von Informationen gegenüber der Öffentlichkeit, wodurch der Wert und die Sensibilität von Informationen erheblich verringert werden.

  • Konsultieren Sie andere Organisationen, mit denen Sie Informationen teilen, und klären Sie etwaige Unterschiede

Es gibt keine einheitliche Möglichkeit, Informationen zu klassifizieren, und jede Organisation kann unterschiedliche Namen, Ebenen und Kriterien für die Klassifizierung von Informationssystemen haben.

Diese Unterschiede können zu Risiken führen, wenn die beiden Organisationen Informationsbestände untereinander austauschen. Daher müssen Sie eine Vereinbarung mit Ihrem Gegenüber treffen, um sicherzustellen, dass bei der Klassifizierung von Informationen und der Interpretation der Klassifizierungsstufen eine einheitliche Klassifizierung gewährleistet ist.

  • Konsistenz auf Organisationsebene

Jede Abteilung innerhalb der Organisation sollte über ein gemeinsames Verständnis der Klassifizierungsstufen und -verfahren verfügen, damit die Klassifizierungen in der gesamten Organisation konsistent sind.



Klettern

Befreien Sie sich von einem Berg an Tabellenkalkulationen

Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.

Buchen Sie Ihre Demo


Anleitung zur Implementierung des Klassifizierungssystems für Informationen

Während 5.12 anerkennt, dass es kein einheitliches Klassifizierungsschema gibt und Organisationen Spielraum bei der Entscheidung und Beschreibung einzelner Klassifizierungsstufen haben, wird das folgende Beispiel als Informationsklassifizierungsschema aufgeführt:

a) Offenlegung verursacht keinen Schaden;

b) Die Offenlegung verursacht einen geringfügigen Reputationsschaden oder geringfügige betriebliche Auswirkungen.

c) die Offenlegung erhebliche kurzfristige Auswirkungen auf den Betrieb oder die Geschäftsziele hat;

d) Offenlegung hat schwerwiegende Auswirkungen auf langfristige Geschäftsziele oder gefährdet das Überleben der Organisation.

Änderungen und Unterschiede zu ISO 27002:2013

Die Klassifizierung von Informationen wurde in Abschnitt 8.2.1 in der vorherigen Version behandelt.

Obwohl die beiden Versionen sehr ähnlich sind, gibt es zwei wesentliche Unterschiede:

In der alten Fassung gab es keinen expliziten Hinweis auf die Anforderung an die Konsistenz der Klassifizierungsstufen bei der Übermittlung von Informationen zwischen Organisationen.

In der Version 2022 müssen Sie jedoch eine Vereinbarung mit Ihrem Gegenüber treffen, um sicherzustellen, dass bei der Klassifizierung von Informationen und der Interpretation der Klassifizierungsstufen Konsistenz herrscht.

Zweitens verlangt die neue Version ausdrücklich, dass Organisationen themenspezifische Richtlinien einführen. In der älteren Version hingegen gab es nur einen kurzen Hinweis auf die Zugangskontrolle.

Neue ISO 27002-Kontrollen

Neue Steuerelemente
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.7 NEU Bedrohungsinformationen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30 NEU IKT-Bereitschaft für Geschäftskontinuität
7.4 NEU Physische Sicherheitsüberwachung
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.16 NEU Überwachungsaktivitäten
8.23 NEU Web-Filter
8.28 NEU Sichere Codierung
Organisatorische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
5.1 05.1.1, 05.1.2 Richtlinien zur Informationssicherheit
5.2 06.1.1 Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3 06.1.2 Aufgabentrennung
5.4 07.2.1 Führungsaufgaben
5.5 06.1.3 Kontakt mit Behörden
5.6 06.1.4 Kontakt zu speziellen Interessengruppen
5.7 NEU Bedrohungsinformationen
5.8 06.1.5, 14.1.1 Informationssicherheit im Projektmanagement
5.9 08.1.1, 08.1.2 Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10 08.1.3, 08.2.3 Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11 08.1.4 Rückgabe von Vermögenswerten
5.12 08.2.1 Klassifizierung von Informationen
5.13 08.2.2 Kennzeichnung von Informationen
5.14 13.2.1, 13.2.2, 13.2.3 Informationsübertragung
5.15 09.1.1, 09.1.2 Zugriffskontrolle
5.16 09.2.1 Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3 Authentifizierungsinformationen
5.18 09.2.2, 09.2.5, 09.2.6 Zugangsrechte
5.19 15.1.1 Informationssicherheit in Lieferantenbeziehungen
5.20 15.1.2 Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21 15.1.3 Management der Informationssicherheit in der IKT-Lieferkette
5.22 15.2.1, 15.2.2 Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23 NEU Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24 16.1.1 Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25 16.1.4 Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26 16.1.5 Reaktion auf Informationssicherheitsvorfälle
5.27 16.1.6 Aus Informationssicherheitsvorfällen lernen
5.28 16.1.7 Sammlung von Beweisen
5.29 17.1.1, 17.1.2, 17.1.3 Informationssicherheit bei Störungen
5.30 5.30 IKT-Bereitschaft für Geschäftskontinuität
5.31 18.1.1, 18.1.5 Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32 18.1.2 Rechte am geistigen Eigentum
5.33 18.1.3 Schutz von Aufzeichnungen
5.34 18.1.4 Privatsphäre und Schutz personenbezogener Daten
5.35 18.2.1 Unabhängige Überprüfung der Informationssicherheit
5.36 18.2.2, 18.2.3 Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37 12.1.1 Dokumentierte Betriebsabläufe
Menschenkontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
6.1 07.1.1 Rekrutierung
6.2 07.1.2 Beschäftigungsbedingungen
6.3 07.2.2 Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4 07.2.3 Disziplinarverfahren
6.5 07.3.1 Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6 13.2.4 Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7 06.2.2 Fernarbeit
6.8 16.1.2, 16.1.3 Berichterstattung über Informationssicherheitsereignisse
Physikalische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
7.1 11.1.1 Physische Sicherheitsbereiche
7.2 11.1.2, 11.1.6 Physischer Eintritt
7.3 11.1.3 Absicherung von Büros, Räumen und Anlagen
7.4 NEU Physische Sicherheitsüberwachung
7.5 11.1.4 Schutz vor physischen und umweltbedingten Bedrohungen
7.6 11.1.5 Arbeiten in sicheren Bereichen
7.7 11.2.9 Klarer Schreibtisch und klarer Bildschirm
7.8 11.2.1 Standort und Schutz der Ausrüstung
7.9 11.2.6 Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Speichermedium
7.11 11.2.2 Unterstützende Versorgungsunternehmen
7.12 11.2.3 Verkabelungssicherheit
7.13 11.2.4 Wartung der Ausrüstung
7.14 11.2.7 Sichere Entsorgung oder Wiederverwendung von Geräten
Technologische Kontrollen
ISO/IEC 27002:2022 Kontrollkennung ISO/IEC 27002:2013 Kontrollkennung Kontrollname
8.1 06.2.1, 11.2.8 Benutzerendpunktgeräte
8.2 09.2.3 Privilegierte Zugriffsrechte
8.3 09.4.1 Beschränkung des Informationszugriffs
8.4 09.4.5 Zugriff auf Quellcode
8.5 09.4.2 Sichere Authentifizierung
8.6 12.1.3 Kapazitätsmanagement
8.7 12.2.1 Schutz vor Malware
8.8 12.6.1, 18.2.3 Management technischer Schwachstellen
8.9 NEU Konfigurationsmanagement
8.10 NEU Löschung von Informationen
8.11 NEU Datenmaskierung
8.12 NEU Verhinderung von Datenlecks
8.13 12.3.1 Informationssicherung
8.14 17.2.1 Redundanz der Informationsverarbeitungseinrichtungen
8.15 12.4.1, 12.4.2, 12.4.3 Protokollierung
8.16 NEU Überwachungsaktivitäten
8.17 12.4.4 Uhrzeitsynchronisation
8.18 09.4.4 Verwendung privilegierter Hilfsprogramme
8.19 12.5.1, 12.6.2 Installation von Software auf Betriebssystemen
8.20 13.1.1 Netzwerksicherheit
8.21 13.1.2 Sicherheit von Netzwerkdiensten
8.22 13.1.3 Trennung von Netzwerken
8.23 NEU Web-Filter
8.24 10.1.1, 10.1.2 Verwendung von Kryptographie
8.25 14.2.1 Sicherer Entwicklungslebenszyklus
8.26 14.1.2, 14.1.3 Anforderungen an die Anwendungssicherheit
8.27 14.2.5 Sichere Systemarchitektur und technische Prinzipien
8.28 NEU Sichere Codierung
8.29 14.2.8, 14.2.9 Sicherheitstests in Entwicklung und Abnahme
8.30 14.2.7 Ausgelagerte Entwicklung
8.31 12.1.4, 14.2.6 Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Änderungsmanagement
8.33 14.3.1 Testinformationen
8.34 12.7.1 Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Aufbau Ihres Unternehmens einzubeziehen ISMS, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Sam Peters

Sam ist Chief Product Officer bei ISMS.online und leitet die Entwicklung aller Produktmerkmale und -funktionen. Sam ist ein Experte in vielen Compliance-Bereichen und arbeitet mit Kunden an maßgeschneiderten oder groß angelegten Projekten.

Machen Sie eine virtuelle Tour

Starten Sie jetzt Ihre kostenlose 2-minütige interaktive Demo und sehen Sie
ISMS.online im Einsatz!

Probieren Sie es jetzt
Plattform-Dashboard voll auf Kristall

Wir sind führend auf unserem Gebiet

4 / 5 Sterne
Benutzer lieben uns
Leiter - Herbst 2025
Leistungsstarke Kleinunternehmen – Herbst 2025, Großbritannien
Regionalleiter – Herbst 2025 Europa
Regionalleiter – Herbst 2025 EMEA
Regionalleiter – Herbst 2025, Großbritannien
High Performer – Herbst 2025, Europa, Mittelstand

„ISMS.Online, herausragendes Tool zur Einhaltung gesetzlicher Vorschriften“

— Jim M.

„Macht externe Audits zum Kinderspiel und verknüpft alle Aspekte Ihres ISMS nahtlos miteinander“

— Karen C.

„Innovative Lösung zur Verwaltung von ISO- und anderen Akkreditierungen“

— Ben H.