ISO 27002, Kontrolle 5.13, Kennzeichnung von Informationen

ISO 27002:2022 – Kontrolle 5.13 – Kennzeichnung von Informationen

Die Kennzeichnung von Informationen ist ein Verfahren, das es Organisationen ermöglicht, ihr Informationsklassifizierungssystem in die Praxis umzusetzen, indem sie den relevanten Informationsressourcen Klassifizierungsetiketten zuweisen. Kontrolle 5.13 befasst sich damit, wie Organisationen ein robustes Verfahren zur Kennzeichnung von Informationen entwickeln, implementieren und verwalten sollten, das auf dem durch Kontrolle 5.12 eingeführten Klassifizierungssystem basiert.

Zweck der Kontrolle 5.13

5.13 ist eine vorbeugende Kontrolle schützt Informationsressourcen Schutz vor Sicherheitsrisiken, indem wir Organisationen dabei helfen, zwei unterschiedliche Ziele zu erreichen:

Dies erleichtert den Nachweis des Klassifizierungsgrades, den jeder Informationswert erhält, wenn die Informationen intern und extern kommuniziert werden und wenn sie von Mitarbeitern und Dritten abgerufen und genutzt werden.
Optimierung des Prozesses zur Automatisierung der Informationsverwaltung und -verarbeitung.

Kontrollattribute 5.13

Steuerungstyp	Eigenschaften der Informationssicherheit	Cybersicherheitskonzepte	Operative Fähigkeiten	Sicherheitsdomänen
#Präventiv	#Vertraulichkeit	#Schützen	#Informationsschutz	#Verteidigung
	#Integrität			#Schutz
	#Verfügbarkeit

Eigentum an der Kontrolle 5.13

In Anbetracht der Tatsache, dass das Hinzufügen von Metadaten zu digitalen Assets die wichtigste Methode zur Kennzeichnung von Informationsressourcen ist, müssen Metadatenverwalter für die ordnungsgemäße Umsetzung des Kennzeichnungsverfahrens verantwortlich sein.

Neben den Metadatenverwaltern sind Asset-Eigentümer mit Zugriffs- und Änderungsberechtigungen für die ordnungsgemäße Kennzeichnung aller Datenbestände verantwortlich und nehmen bei Bedarf erforderliche Änderungen an der Kennzeichnung vor.

ISMS.online verschafft Ihnen einen Vorsprung von 81 % ab dem Moment Ihrer Anmeldung

ISO 27001 leicht gemacht

Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.

Los geht´s

Allgemeine Hinweise zur Einhaltung

Kontrolle 5.13 identifiziert vier spezifische Schritte, die Organisationen umsetzen sollten, um die Kennzeichnung von Informationen gemäß 5.13 durchzuführen.

Entwickeln und implementieren Sie ein Verfahren zur Informationskennzeichnung

Organisationen sollten ein organisationsweites Informationskennzeichnungsverfahren entwickeln, das dem gemäß Kontrolle 5.12 erstellten Informationsklassifizierungsschema entspricht.

Darüber hinaus verlangt 5.13, dass dieses Verfahren auf alle Informationsressourcen ausgeweitet wird, unabhängig davon, ob sie in digitaler oder Papierform vorliegen, und dass die Etiketten leicht zu erkennen sein müssen.

Obwohl es keine Begrenzung für den Inhalt dieses Verfahrensdokuments gibt, heißt es in der Regelung 5.13, dass die Verfahren mindestens Folgendes umfassen sollten:

Beschreibung der Methoden zum Anbringen von Etiketten an Informationsressourcen abhängig vom Speichermedium und der Art des Datenzugriffs.
Wo die Etiketten für jede Art von Informationsressource angebracht werden sollen.
Welche Informationsressourcen werden ggf. nicht gekennzeichnet? Beispielsweise kann eine Organisation auf die Kennzeichnung öffentlicher Daten verzichten, um den Prozess der Informationskennzeichnung zu optimieren.
Beschreibung von Maßnahmen für den Fall, dass eine Kennzeichnung bestimmter Arten von Informationen aufgrund technischer, rechtlicher oder vertraglicher Einschränkungen nicht möglich ist.
Die Regeln, wie mit der Kennzeichnung von an interne oder externe Parteien übermittelten Informationen umzugehen ist.
Bei digitalen Assets muss im Verfahren erläutert werden, wie die Metadaten eingefügt werden sollen.
Namen von Labels, die für alle Assets verwendet werden sollen.

Bieten Sie Ihren Mitarbeitern angemessene Schulungen zur Einhaltung des Etikettierungsverfahrens an

Das Verfahren zur Kennzeichnung von Informationen kann nur dann wirksam sein, wenn das Personal und andere relevante Interessengruppen gut darüber informiert sind, wie Informationen korrekt gekennzeichnet werden und wie mit gekennzeichneten Informationsbeständen umgegangen wird.

Daher sollten Organisationen ihren Mitarbeitern und anderen relevanten Parteien Schulungen zum Verfahren anbieten.

Verwenden Sie Metadaten zur Kennzeichnung digitaler Informationsbestände

5.13 erfordert die Verwendung von Metadaten zur Kennzeichnung digitaler Informationsressourcen.

Darüber hinaus wird darauf hingewiesen, dass die Metadaten so bereitgestellt werden sollten, dass die Identifizierung und Suche nach Informationen einfach und effizient ist und dass der Entscheidungsprozess zwischen Systemen im Zusammenhang mit gekennzeichneten Informationen rationalisiert wird.

Ergreifen Sie zusätzliche Maßnahmen, um sensible Daten zu kennzeichnen, die möglicherweise aus dem System gelangen

In Anbetracht der Risiken, die mit der externen Übertragung sensibler Daten aus Systemen verbunden sind, empfiehlt 5.13 Organisationen, diese Informationsbestände mit denjenigen zu kennzeichnen, die dem Grad der Kritikalität und Sensibilität der betreffenden Informationen am besten entsprechen.

Ergänzende Leitlinien zur Kontrolle 5.13

In Abschnitt 5.13 wird hervorgehoben, dass die Identifizierung und genaue Kennzeichnung von Verschlusssachen für die Sicherheit von Datenaustauschvorgängen von entscheidender Bedeutung ist.

Zusätzlich zu den oben beschriebenen vier spezifischen Schritten empfiehlt 5.13 den Organisationen außerdem, zusätzliche Metadatenpunkte einzufügen, wie z. B. den Namen des Prozesses, der die Informationsressource erstellt hat, und den Zeitpunkt dieser Erstellung.

Darüber hinaus bezieht sich 5.13 auf die gängigen Kennzeichnungstechniken, die Organisationen implementieren können:

Physische Etiketten
Kopf- und Fußzeilen
Metadaten
Watermarking
Stempel

Schließlich wird in Abschnitt 5.13 betont, dass die Kennzeichnung von Informationsbeständen als „vertraulich“ und „geheim“ unbeabsichtigte Folgen haben kann, da böswillige Akteure dadurch möglicherweise leichter sensible Informationsbestände durchsuchen und finden können.

ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.

Buchen Sie Ihre Demo

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/5.13 ersetzt 27002:2013/8.2.2 (Kennzeichnung von Informationen).

Obwohl die beiden Steuerelemente in gewissem Maße ähnlich sind, gibt es zwei wesentliche Unterschiede, die die Version 2022 umfassender machen.

Neue Anforderungen an die Verwendung von Metadaten

Während in der Version von 2013 Metadaten als Kennzeichnungstechnik bezeichnet wurden, sah sie keine spezifischen Compliance-Verpflichtungen bei der Verwendung von Metadaten vor.

Im Gegensatz dazu bringt die Version 2022 strenge Anforderungen an die Verwendung der Metadatentechnik mit sich. Zur Veranschaulichung: Die Version 2022 erfordert Folgendes:

Metadaten werden Informationen auf eine Weise hinzugefügt, die es einfach macht, Informationen effizient zu identifizieren, zu verwalten und zu entdecken.
Es sollten Metadaten für den Namen des Organisationsprozesses, der ein bestimmtes Asset erstellt hat, und seine Zeit eingefügt werden.

Der Inhalt des Informationskennzeichnungsverfahrens muss detaillierter sein

Im Gegensatz zur Version 2022 wurden in der Version 2013 nicht die Mindestinhalte festgelegt, die in einem Informationskennzeichnungsverfahren enthalten sein sollten.

Neue ISO 27002-Kontrollen

Neue Steuerelemente

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.7	NEU	Bedrohungsinformationen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.30	NEU	IKT-Bereitschaft für Geschäftskontinuität
7.4	NEU	Physische Sicherheitsüberwachung
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.16	NEU	Überwachungsaktivitäten
8.23	NEU	Web-Filter
8.28	NEU	Sichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
5.1	05.1.1, 05.1.2	Richtlinien zur Informationssicherheit
5.2	06.1.1	Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.3	06.1.2	Aufgabentrennung
5.4	07.2.1	Führungsaufgaben
5.5	06.1.3	Kontakt mit Behörden
5.6	06.1.4	Kontakt zu speziellen Interessengruppen
5.7	NEU	Bedrohungsinformationen
5.8	06.1.5, 14.1.1	Informationssicherheit im Projektmanagement
5.9	08.1.1, 08.1.2	Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.10	08.1.3, 08.2.3	Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.11	08.1.4	Rückgabe von Vermögenswerten
5.12	08.2.1	Klassifizierung von Informationen
5.13	08.2.2	Kennzeichnung von Informationen
5.14	13.2.1, 13.2.2, 13.2.3	Informationsübertragung
5.15	09.1.1, 09.1.2	Zugriffskontrolle
5.16	09.2.1	Identitätsmanagement
5.17	09.2.4, 09.3.1, 09.4.3	Authentifizierungsinformationen
5.18	09.2.2, 09.2.5, 09.2.6	Zugangsrechte
5.19	15.1.1	Informationssicherheit in Lieferantenbeziehungen
5.20	15.1.2	Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.21	15.1.3	Management der Informationssicherheit in der IKT-Lieferkette
5.22	15.2.1, 15.2.2	Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23	NEU	Informationssicherheit bei der Nutzung von Cloud-Diensten
5.24	16.1.1	Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.25	16.1.4	Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.26	16.1.5	Reaktion auf Informationssicherheitsvorfälle
5.27	16.1.6	Aus Informationssicherheitsvorfällen lernen
5.28	16.1.7	Sammlung von Beweisen
5.29	17.1.1, 17.1.2, 17.1.3	Informationssicherheit bei Störungen
5.30	5.30	IKT-Bereitschaft für Geschäftskontinuität
5.31	18.1.1, 18.1.5	Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.32	18.1.2	Rechte am geistigen Eigentum
5.33	18.1.3	Schutz von Aufzeichnungen
5.34	18.1.4	Privatsphäre und Schutz personenbezogener Daten
5.35	18.2.1	Unabhängige Überprüfung der Informationssicherheit
5.36	18.2.2, 18.2.3	Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.37	12.1.1	Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
6.1	07.1.1	Rekrutierung
6.2	07.1.2	Beschäftigungsbedingungen
6.3	07.2.2	Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.4	07.2.3	Disziplinarverfahren
6.5	07.3.1	Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.6	13.2.4	Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.7	06.2.2	Fernarbeit
6.8	16.1.2, 16.1.3	Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
7.1	11.1.1	Physische Sicherheitsbereiche
7.2	11.1.2, 11.1.6	Physischer Eintritt
7.3	11.1.3	Absicherung von Büros, Räumen und Anlagen
7.4	NEU	Physische Sicherheitsüberwachung
7.5	11.1.4	Schutz vor physischen und umweltbedingten Bedrohungen
7.6	11.1.5	Arbeiten in sicheren Bereichen
7.7	11.2.9	Klarer Schreibtisch und klarer Bildschirm
7.8	11.2.1	Standort und Schutz der Ausrüstung
7.9	11.2.6	Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Speichermedium
7.11	11.2.2	Unterstützende Versorgungsunternehmen
7.12	11.2.3	Verkabelungssicherheit
7.13	11.2.4	Wartung der Ausrüstung
7.14	11.2.7	Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 Kontrollkennung	ISO/IEC 27002:2013 Kontrollkennung	Kontrollname
8.1	06.2.1, 11.2.8	Benutzerendpunktgeräte
8.2	09.2.3	Privilegierte Zugriffsrechte
8.3	09.4.1	Beschränkung des Informationszugriffs
8.4	09.4.5	Zugriff auf Quellcode
8.5	09.4.2	Sichere Authentifizierung
8.6	12.1.3	Kapazitätsmanagement
8.7	12.2.1	Schutz vor Malware
8.8	12.6.1, 18.2.3	Management technischer Schwachstellen
8.9	NEU	Konfigurationsmanagement
8.10	NEU	Löschung von Informationen
8.11	NEU	Datenmaskierung
8.12	NEU	Verhinderung von Datenlecks
8.13	12.3.1	Informationssicherung
8.14	17.2.1	Redundanz der Informationsverarbeitungseinrichtungen
8.15	12.4.1, 12.4.2, 12.4.3	Protokollierung
8.16	NEU	Überwachungsaktivitäten
8.17	12.4.4	Uhrzeitsynchronisation
8.18	09.4.4	Verwendung privilegierter Hilfsprogramme
8.19	12.5.1, 12.6.2	Installation von Software auf Betriebssystemen
8.20	13.1.1	Netzwerksicherheit
8.21	13.1.2	Sicherheit von Netzwerkdiensten
8.22	13.1.3	Trennung von Netzwerken
8.23	NEU	Web-Filter
8.24	10.1.1, 10.1.2	Verwendung von Kryptographie
8.25	14.2.1	Sicherer Entwicklungslebenszyklus
8.26	14.1.2, 14.1.3	Anforderungen an die Anwendungssicherheit
8.27	14.2.5	Sichere Systemarchitektur und technische Prinzipien
8.28	NEU	Sichere Codierung
8.29	14.2.8, 14.2.9	Sicherheitstests in Entwicklung und Abnahme
8.30	14.2.7	Ausgelagerte Entwicklung
8.31	12.1.4, 14.2.6	Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Änderungsmanagement
8.33	14.3.1	Testinformationen
8.34	12.7.1	Schutz von Informationssystemen während der Auditprüfung

Wie ISMS.online hilft

ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.

Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Aufbau Ihres Unternehmens einzubeziehen ISMS, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Wir sind führend auf unserem Gebiet