Zweck der Kontrolle 5.12
5.12 ist eine vorbeugende Kontrolle identifiziert Risiken indem es Organisationen ermöglicht, das Schutzniveau für jedes Informationsgut auf der Grundlage der Wichtigkeit und Sensibilität der Informationen zu bestimmen.
5.12 warnt Organisationen ausdrücklich vor einer Über- oder Unterklassifizierung von Informationen in den ergänzenden Leitlinien. Darin heißt es, dass Organisationen die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität berücksichtigen sollten, wenn sie Vermögenswerte relevanten Kategorien zuordnen.
Dadurch wird sichergestellt, dass das Klassifizierungsschema ein angemessenes Gleichgewicht zwischen den Geschäftsanforderungen herstellt Informationen und die Sicherheitsanforderungen für jede Informationskategorie.
Kontrollattribute 5.12
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Identifizieren | #Informationsschutz | #Schutz |
| #Integrität | #Verteidigung | |||
| #Verfügbarkeit |
Eigentum an der Kontrolle 5.12
Zwar sollte es eine organisationsweite Klassifizierung von Informationssystemen mit Klassifizierungsstufen und Kriterien für die Vorgehensweise geben Informationsressourcen klassifizierenDie Eigentümer von Informationsressourcen sind letztendlich für die Implementierung eines Klassifizierungsschemas verantwortlich.
5.12 erkennt ausdrücklich an, dass Eigentümer der betreffenden Informationsvermögen sollte rechenschaftspflichtig sein.
Wenn die Buchhaltung beispielsweise Zugriff auf die Ordner mit Gehaltsabrechnungen und Kontoauszügen hat, sollte sie die Informationen anhand des unternehmensweiten Klassifizierungsschemas klassifizieren.
Bei der Klassifizierung von Informationen sollte der Vermögenseigentümer berücksichtigen Berücksichtigen Sie die geschäftlichen Anforderungen, Grad der Auswirkung, die die Kompromittierung von Informationen auf die Organisation haben würde, und Grad der Wichtigkeit und Sensibilität der Informationen.
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Allgemeine Leitlinien zur Kontrolle 5.12
Um ein robustes System zur Klassifizierung von Informationen zu implementieren, sollten Unternehmen einen themenspezifischen Ansatz verfolgen, den Informationsbedarf jeder Geschäftseinheit verstehen und den Grad der Sensibilität und Kritikalität der Informationen bestimmen.
5.12 verlangt von Organisationen, bei der Umsetzung eines Klassifizierungssystems die folgenden sieben Kriterien zu berücksichtigen:
- Legen Sie eine themenspezifische Richtlinie fest und gehen Sie auf die spezifischen Geschäftsanforderungen ein
5.12 bezieht sich ausdrücklich auf 5.1, Zugriffskontrolle, und verlangt von Organisationen die Einhaltung themenspezifischer Richtlinien, wie in 5.1 beschrieben. Darüber hinaus sollten das Klassifizierungsschema und die Klassifizierungsstufen spezifische Geschäftsanforderungen berücksichtigen.
- Berücksichtigen Sie die geschäftlichen Anforderungen an die gemeinsame Nutzung und Nutzung von Informationen sowie die Notwendigkeit der Verfügbarkeit
Wenn Sie einen Informationsbestand einer unnötig höheren Klassifizierungskategorie zuordnen, kann dies das Risiko einer Störung Ihrer kritischen Geschäftsfunktionen mit sich bringen, indem der Zugriff auf und die Nutzung von Informationen eingeschränkt wird.
Daher sollten Sie sich bemühen, ein Gleichgewicht zwischen Ihren spezifischen Geschäftsanforderungen an die Verfügbarkeit und Nutzung von Informationen und den Anforderungen an die Vertraulichkeit und Integrität dieser Informationen zu finden.
- Berücksichtigen Sie rechtliche Verpflichtungen
Einige Gesetze können Ihnen strengere Verpflichtungen auferlegen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Bei der Zuordnung von Informationsbeständen zu Kategorien sollten rechtliche Verpflichtungen Vorrang vor Ihrer eigenen Klassifizierung haben.
- Gehen Sie risikobasiert vor und berücksichtigen Sie die möglichen Auswirkungen einer Kompromittierung
Jede Art von Informationen ist für den Geschäftsbetrieb jedes Unternehmens unterschiedlich kritisch und weist je nach Kontext einen unterschiedlichen Grad an Sensibilität auf.
Bei der Umsetzung eines Klassifizierungssystems für Informationen sollten Organisationen Folgendes fragen:
Welche Auswirkungen hätte die Beeinträchtigung der Integrität, Verfügbarkeit und Vertraulichkeit dieser Informationen auf die Organisation?
Beispielsweise unterscheiden sich Datenbanken mit professionellen E-Mail-Adressen qualifizierter Leads und Gesundheitsakten von Mitarbeitern stark hinsichtlich der Sensibilität und der potenziellen Auswirkungen.
- Überprüfen und aktualisieren Sie die Klassifizierung regelmäßig
5.12 stellt fest, dass der Wert, die Kritikalität und die Sensibilität von Informationen nicht statisch sind und sich im Laufe des Lebenszyklus der Informationen ändern können. Daher müssen Sie jede Klassifizierung regelmäßig überprüfen und notwendige Aktualisierungen vornehmen.
Als Beispiel für eine solche Änderung bezieht sich 5.12 auf die Offenlegung von Informationen gegenüber der Öffentlichkeit, wodurch der Wert und die Sensibilität von Informationen erheblich verringert werden.
- Konsultieren Sie andere Organisationen, mit denen Sie Informationen teilen, und klären Sie etwaige Unterschiede
Es gibt keine einheitliche Möglichkeit, Informationen zu klassifizieren, und jede Organisation kann unterschiedliche Namen, Ebenen und Kriterien für die Klassifizierung von Informationssystemen haben.
Diese Unterschiede können zu Risiken führen, wenn die beiden Organisationen Informationsbestände untereinander austauschen. Daher müssen Sie eine Vereinbarung mit Ihrem Gegenüber treffen, um sicherzustellen, dass bei der Klassifizierung von Informationen und der Interpretation der Klassifizierungsstufen eine einheitliche Klassifizierung gewährleistet ist.
- Konsistenz auf Organisationsebene
Jede Abteilung innerhalb der Organisation sollte über ein gemeinsames Verständnis der Klassifizierungsstufen und -verfahren verfügen, damit die Klassifizierungen in der gesamten Organisation konsistent sind.
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Anleitung zur Implementierung des Klassifizierungssystems für Informationen
Während 5.12 anerkennt, dass es kein einheitliches Klassifizierungsschema gibt und Organisationen Spielraum bei der Entscheidung und Beschreibung einzelner Klassifizierungsstufen haben, wird das folgende Beispiel als Informationsklassifizierungsschema aufgeführt:
a) Offenlegung verursacht keinen Schaden;
b) Die Offenlegung verursacht einen geringfügigen Reputationsschaden oder geringfügige betriebliche Auswirkungen.
c) die Offenlegung erhebliche kurzfristige Auswirkungen auf den Betrieb oder die Geschäftsziele hat;
d) Offenlegung hat schwerwiegende Auswirkungen auf langfristige Geschäftsziele oder gefährdet das Überleben der Organisation.
Änderungen und Unterschiede zu ISO 27002:2013
Die Klassifizierung von Informationen wurde in Abschnitt 8.2.1 in der vorherigen Version behandelt.
Obwohl die beiden Versionen sehr ähnlich sind, gibt es zwei wesentliche Unterschiede:
In der alten Fassung gab es keinen expliziten Hinweis auf die Anforderung an die Konsistenz der Klassifizierungsstufen bei der Übermittlung von Informationen zwischen Organisationen.
In der Version 2022 müssen Sie jedoch eine Vereinbarung mit Ihrem Gegenüber treffen, um sicherzustellen, dass bei der Klassifizierung von Informationen und der Interpretation der Klassifizierungsstufen Konsistenz herrscht.
Zweitens verlangt die neue Version ausdrücklich, dass Organisationen themenspezifische Richtlinien einführen. In der älteren Version hingegen gab es nur einen kurzen Hinweis auf die Zugangskontrolle.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Aufbau Ihres Unternehmens einzubeziehen ISMS, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
