Die Kennzeichnung von Informationen ist ein Verfahren, das es Organisationen ermöglicht, ihr Informationsklassifizierungsschema in die Praxis umzusetzen, indem sie relevante Informationsbestände mit Klassifizierungskennzeichnungen versehen.
In Control 5.13 geht es darum, wie Organisationen ein robustes Informationskennzeichnungsverfahren basierend auf dem durch Control 5.12 übernommenen Klassifizierungsschema entwickeln, implementieren und verwalten sollten.
5.13 ist eine vorbeugende Kontrolle schützt Informationsressourcen Schutz vor Sicherheitsrisiken, indem wir Organisationen dabei helfen, zwei unterschiedliche Ziele zu erreichen:
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Informationsschutz | #Verteidigung #Schutz |
In Anbetracht der Tatsache, dass das Hinzufügen von Metadaten zu digitalen Assets die wichtigste Methode zur Kennzeichnung von Informationsressourcen ist, müssen Metadatenverwalter für die ordnungsgemäße Umsetzung des Kennzeichnungsverfahrens verantwortlich sein.
Neben den Metadatenverwaltern sind Asset-Eigentümer mit Zugriffs- und Änderungsberechtigungen für die ordnungsgemäße Kennzeichnung aller Datenbestände verantwortlich und nehmen bei Bedarf erforderliche Änderungen an der Kennzeichnung vor.
Kontrolle 5.13 identifiziert vier spezifische Schritte, die Organisationen umsetzen sollten, um die Kennzeichnung von Informationen gemäß 5.13 durchzuführen.
Organisationen sollten ein organisationsweites Informationskennzeichnungsverfahren entwickeln, das dem gemäß Kontrolle 5.12 erstellten Informationsklassifizierungsschema entspricht.
Darüber hinaus verlangt 5.13, dass dieses Verfahren auf alle Informationsressourcen ausgeweitet wird, unabhängig davon, ob sie in digitaler oder Papierform vorliegen, und dass die Etiketten leicht zu erkennen sein müssen.
Obwohl es keine Begrenzung für den Inhalt dieses Verfahrensdokuments gibt, heißt es in der Regelung 5.13, dass die Verfahren mindestens Folgendes umfassen sollten:
Das Verfahren zur Kennzeichnung von Informationen kann nur dann wirksam sein, wenn das Personal und andere relevante Interessengruppen gut darüber informiert sind, wie Informationen korrekt gekennzeichnet werden und wie mit gekennzeichneten Informationsbeständen umgegangen wird.
Daher sollten Organisationen ihren Mitarbeitern und anderen relevanten Parteien Schulungen zum Verfahren anbieten.
5.13 erfordert die Verwendung von Metadaten zur Kennzeichnung digitaler Informationsressourcen.
Darüber hinaus wird darauf hingewiesen, dass die Metadaten so bereitgestellt werden sollten, dass die Identifizierung und Suche nach Informationen einfach und effizient ist und dass der Entscheidungsprozess zwischen Systemen im Zusammenhang mit gekennzeichneten Informationen rationalisiert wird.
In Anbetracht der Risiken, die mit der externen Übertragung sensibler Daten aus Systemen verbunden sind, empfiehlt 5.13 Organisationen, diese Informationsbestände mit denjenigen zu kennzeichnen, die dem Grad der Kritikalität und Sensibilität der betreffenden Informationen am besten entsprechen.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
In Abschnitt 5.13 wird hervorgehoben, dass die Identifizierung und genaue Kennzeichnung von Verschlusssachen für die Sicherheit von Datenaustauschvorgängen von entscheidender Bedeutung ist.
Zusätzlich zu den oben beschriebenen vier spezifischen Schritten empfiehlt 5.13 den Organisationen außerdem, zusätzliche Metadatenpunkte einzufügen, wie z. B. den Namen des Prozesses, der die Informationsressource erstellt hat, und den Zeitpunkt dieser Erstellung.
Darüber hinaus bezieht sich 5.13 auf die gängigen Kennzeichnungstechniken, die Organisationen implementieren können:
Schließlich wird in Abschnitt 5.13 betont, dass die Kennzeichnung von Informationsbeständen als „vertraulich“ und „geheim“ unbeabsichtigte Folgen haben kann, da böswillige Akteure dadurch möglicherweise leichter sensible Informationsbestände durchsuchen und finden können.
27002:2022/5.13 ersetzt 27002:2013/8.2.2 (Kennzeichnung von Informationen).
Obwohl die beiden Steuerelemente in gewissem Maße ähnlich sind, gibt es zwei wesentliche Unterschiede, die die Version 2022 umfassender machen.
Während in der Version von 2013 Metadaten als Kennzeichnungstechnik bezeichnet wurden, sah sie keine spezifischen Compliance-Verpflichtungen bei der Verwendung von Metadaten vor.
Im Gegensatz dazu bringt die Version 2022 strenge Anforderungen an die Verwendung der Metadatentechnik mit sich. Zur Veranschaulichung: Die Version 2022 erfordert Folgendes:
Im Gegensatz zur Version 2022 wurden in der Version 2013 nicht die Mindestinhalte festgelegt, die in einem Informationskennzeichnungsverfahren enthalten sein sollten.
ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.
Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Aufbau Ihres Unternehmens einzubeziehen ISMS, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
