Die Klassifizierung von Informationen ist ein Prozess, der es Organisationen ermöglicht Gruppeninformationsbestände in relevante Kategorien eingeteilt werden, abhängig vom Schutzniveau, das jede Informationskategorie bereitstellen sollte.
Control 5.12 befasst sich mit der Implementierung eines Klassifizierungsschemas für Informationen basierend auf Vertraulichkeits-, Integritäts- und Verfügbarkeitsanforderungen für Informationsressourcen.
5.12 ist eine vorbeugende Kontrolle identifiziert Risiken indem es Organisationen ermöglicht, das Schutzniveau für jedes Informationsgut auf der Grundlage der Wichtigkeit und Sensibilität der Informationen zu bestimmen.
5.12 warnt Organisationen ausdrücklich vor einer Über- oder Unterklassifizierung von Informationen in den ergänzenden Leitlinien. Darin heißt es, dass Organisationen die Anforderungen an Vertraulichkeit, Verfügbarkeit und Integrität berücksichtigen sollten, wenn sie Vermögenswerte relevanten Kategorien zuordnen.
Dadurch wird sichergestellt, dass das Klassifizierungsschema ein angemessenes Gleichgewicht zwischen den Geschäftsanforderungen herstellt Informationen und die Sicherheitsanforderungen für jede Informationskategorie.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Identifizieren | #Informationsschutz | #Schutz #Verteidigung |
Zwar sollte es eine organisationsweite Klassifizierung von Informationssystemen mit Klassifizierungsstufen und Kriterien für die Vorgehensweise geben Informationsressourcen klassifizierenDie Eigentümer von Informationsressourcen sind letztendlich für die Implementierung eines Klassifizierungsschemas verantwortlich.
5.12 erkennt ausdrücklich an, dass Eigentümer der betreffenden Informationsvermögen sollte rechenschaftspflichtig sein.
Wenn die Buchhaltung beispielsweise Zugriff auf die Ordner mit Gehaltsabrechnungen und Kontoauszügen hat, sollte sie die Informationen anhand des unternehmensweiten Klassifizierungsschemas klassifizieren.
Bei der Klassifizierung von Informationen sollte der Vermögenseigentümer berücksichtigen Berücksichtigen Sie die geschäftlichen Anforderungen, Grad der Auswirkung, die die Kompromittierung von Informationen auf die Organisation haben würde, und Grad der Wichtigkeit und Sensibilität der Informationen.
Um ein robustes System zur Klassifizierung von Informationen zu implementieren, sollten Unternehmen einen themenspezifischen Ansatz verfolgen, den Informationsbedarf jeder Geschäftseinheit verstehen und den Grad der Sensibilität und Kritikalität der Informationen bestimmen.
5.12 verlangt von Organisationen, bei der Umsetzung eines Klassifizierungssystems die folgenden sieben Kriterien zu berücksichtigen:
5.12 bezieht sich ausdrücklich auf 5.1, Zugriffskontrolle, und verlangt von Organisationen die Einhaltung themenspezifischer Richtlinien, wie in 5.1 beschrieben. Darüber hinaus sollten das Klassifizierungsschema und die Klassifizierungsstufen spezifische Geschäftsanforderungen berücksichtigen.
Wenn Sie einen Informationsbestand einer unnötig höheren Klassifizierungskategorie zuordnen, kann dies das Risiko einer Störung Ihrer kritischen Geschäftsfunktionen mit sich bringen, indem der Zugriff auf und die Nutzung von Informationen eingeschränkt wird.
Daher sollten Sie sich bemühen, ein Gleichgewicht zwischen Ihren spezifischen Geschäftsanforderungen an die Verfügbarkeit und Nutzung von Informationen und den Anforderungen an die Vertraulichkeit und Integrität dieser Informationen zu finden.
Einige Gesetze können Ihnen strengere Verpflichtungen auferlegen, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten. Bei der Zuordnung von Informationsbeständen zu Kategorien sollten rechtliche Verpflichtungen Vorrang vor Ihrer eigenen Klassifizierung haben.
Jede Art von Informationen ist für den Geschäftsbetrieb jedes Unternehmens unterschiedlich kritisch und weist je nach Kontext einen unterschiedlichen Grad an Sensibilität auf.
Bei der Umsetzung eines Klassifizierungssystems für Informationen sollten Organisationen Folgendes fragen:
Welche Auswirkungen hätte die Beeinträchtigung der Integrität, Verfügbarkeit und Vertraulichkeit dieser Informationen auf die Organisation?
Beispielsweise unterscheiden sich Datenbanken mit professionellen E-Mail-Adressen qualifizierter Leads und Gesundheitsakten von Mitarbeitern stark hinsichtlich der Sensibilität und der potenziellen Auswirkungen.
5.12 stellt fest, dass der Wert, die Kritikalität und die Sensibilität von Informationen nicht statisch sind und sich im Laufe des Lebenszyklus der Informationen ändern können. Daher müssen Sie jede Klassifizierung regelmäßig überprüfen und notwendige Aktualisierungen vornehmen.
Als Beispiel für eine solche Änderung bezieht sich 5.12 auf die Offenlegung von Informationen gegenüber der Öffentlichkeit, wodurch der Wert und die Sensibilität von Informationen erheblich verringert werden.
Es gibt keine einheitliche Möglichkeit, Informationen zu klassifizieren, und jede Organisation kann unterschiedliche Namen, Ebenen und Kriterien für die Klassifizierung von Informationssystemen haben.
Diese Unterschiede können zu Risiken führen, wenn die beiden Organisationen Informationsbestände untereinander austauschen. Daher müssen Sie eine Vereinbarung mit Ihrem Gegenüber treffen, um sicherzustellen, dass bei der Klassifizierung von Informationen und der Interpretation der Klassifizierungsstufen eine einheitliche Klassifizierung gewährleistet ist.
Jede Abteilung innerhalb der Organisation sollte über ein gemeinsames Verständnis der Klassifizierungsstufen und -verfahren verfügen, damit die Klassifizierungen in der gesamten Organisation konsistent sind.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Während 5.12 anerkennt, dass es kein einheitliches Klassifizierungsschema gibt und Organisationen Spielraum bei der Entscheidung und Beschreibung einzelner Klassifizierungsstufen haben, wird das folgende Beispiel als Informationsklassifizierungsschema aufgeführt:
a) Offenlegung verursacht keinen Schaden;
b) Die Offenlegung verursacht einen geringfügigen Reputationsschaden oder geringfügige betriebliche Auswirkungen.
c) die Offenlegung erhebliche kurzfristige Auswirkungen auf den Betrieb oder die Geschäftsziele hat;
d) Offenlegung hat schwerwiegende Auswirkungen auf langfristige Geschäftsziele oder gefährdet das Überleben der Organisation.
Die Klassifizierung von Informationen wurde in Abschnitt 8.2.1 in der vorherigen Version behandelt.
Obwohl die beiden Versionen sehr ähnlich sind, gibt es zwei wesentliche Unterschiede:
In der alten Fassung gab es keinen expliziten Hinweis auf die Anforderung an die Konsistenz der Klassifizierungsstufen bei der Übermittlung von Informationen zwischen Organisationen.
In der Version 2022 müssen Sie jedoch eine Vereinbarung mit Ihrem Gegenüber treffen, um sicherzustellen, dass bei der Klassifizierung von Informationen und der Interpretation der Klassifizierungsstufen Konsistenz herrscht.
Zweitens verlangt die neue Version ausdrücklich, dass Organisationen themenspezifische Richtlinien einführen. In der älteren Version hingegen gab es nur einen kurzen Hinweis auf die Zugangskontrolle.
Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Aufbau Ihres Unternehmens einzubeziehen ISMS, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wir sind kostengünstig und schnell
