ISO 27002:2022, Kontrolle 5.13 – Kennzeichnung von Informationen

Überarbeitete ISO 27002:2022-Kontrollen

Live-Demo buchen

Nahaufnahme,von,afrikanischen,Kind,Browsen,Internet,auf,Laptop.,Hände

Die Kennzeichnung von Informationen ist ein Verfahren, das es Organisationen ermöglicht, ihr Informationsklassifizierungsschema in die Praxis umzusetzen, indem sie relevante Informationsbestände mit Klassifizierungskennzeichnungen versehen.

In Control 5.13 geht es darum, wie Organisationen ein robustes Informationskennzeichnungsverfahren basierend auf dem durch Control 5.12 übernommenen Klassifizierungsschema entwickeln, implementieren und verwalten sollten.

Zweck der Kontrolle 5.13

5.13 ist eine vorbeugende Kontrolle schützt Informationsressourcen Schutz vor Sicherheitsrisiken, indem wir Organisationen dabei helfen, zwei unterschiedliche Ziele zu erreichen:

  • Dies erleichtert den Nachweis des Klassifizierungsgrades, den jeder Informationswert erhält, wenn die Informationen intern und extern kommuniziert werden und wenn sie von Mitarbeitern und Dritten abgerufen und genutzt werden.
  • Optimierung des Prozesses zur Automatisierung der Informationsverwaltung und -verarbeitung.

Attributtabelle

SteuerungstypEigenschaften der InformationssicherheitCybersicherheitskonzepteOperative FähigkeitenSicherheitsdomänen
#Präventiv#Vertraulichkeit
#Integrität
#Verfügbarkeit
#Schützen#Informationsschutz#Verteidigung
#Schutz
Unternehmen auf der ganzen Welt vertrauen darauf
  • Einfach und leicht zu bedienen
  • Entwickelt für den Erfolg von ISO 27001
  • Spart Ihnen Zeit und Geld
Buchen Sie Ihre Demo
img

Eigentum an der Kontrolle 5.13

In Anbetracht der Tatsache, dass das Hinzufügen von Metadaten zu digitalen Assets die wichtigste Methode zur Kennzeichnung von Informationsressourcen ist, müssen Metadatenverwalter für die ordnungsgemäße Umsetzung des Kennzeichnungsverfahrens verantwortlich sein.

Neben den Metadatenverwaltern sind Asset-Eigentümer mit Zugriffs- und Änderungsberechtigungen für die ordnungsgemäße Kennzeichnung aller Datenbestände verantwortlich und nehmen bei Bedarf erforderliche Änderungen an der Kennzeichnung vor.

Allgemeine Hinweise zur Einhaltung

Kontrolle 5.13 identifiziert vier spezifische Schritte, die Organisationen umsetzen sollten, um die Kennzeichnung von Informationen gemäß 5.13 durchzuführen.

Entwickeln und implementieren Sie ein Verfahren zur Informationskennzeichnung

Organisationen sollten ein organisationsweites Informationskennzeichnungsverfahren entwickeln, das dem gemäß Kontrolle 5.12 erstellten Informationsklassifizierungsschema entspricht.

Darüber hinaus verlangt 5.13, dass dieses Verfahren auf alle Informationsressourcen ausgeweitet wird, unabhängig davon, ob sie in digitaler oder Papierform vorliegen, und dass die Etiketten leicht zu erkennen sein müssen.

Obwohl es keine Begrenzung für den Inhalt dieses Verfahrensdokuments gibt, heißt es in der Regelung 5.13, dass die Verfahren mindestens Folgendes umfassen sollten:

  • Beschreibung der Methoden zum Anbringen von Etiketten an Informationsressourcen abhängig vom Speichermedium und der Art des Datenzugriffs.
  • Wo die Etiketten für jede Art von Informationsressource angebracht werden sollen.
  • Welche Informationsressourcen werden ggf. nicht gekennzeichnet? Beispielsweise kann eine Organisation auf die Kennzeichnung öffentlicher Daten verzichten, um den Prozess der Informationskennzeichnung zu optimieren.
  • Beschreibung von Maßnahmen für den Fall, dass eine Kennzeichnung bestimmter Arten von Informationen aufgrund technischer, rechtlicher oder vertraglicher Einschränkungen nicht möglich ist.
  • Die Regeln, wie mit der Kennzeichnung von an interne oder externe Parteien übermittelten Informationen umzugehen ist.
  • Bei digitalen Assets muss im Verfahren erläutert werden, wie die Metadaten eingefügt werden sollen.
  • Namen von Labels, die für alle Assets verwendet werden sollen.

Bieten Sie Ihren Mitarbeitern angemessene Schulungen zur Einhaltung des Etikettierungsverfahrens an

Das Verfahren zur Kennzeichnung von Informationen kann nur dann wirksam sein, wenn das Personal und andere relevante Interessengruppen gut darüber informiert sind, wie Informationen korrekt gekennzeichnet werden und wie mit gekennzeichneten Informationsbeständen umgegangen wird.

Daher sollten Organisationen ihren Mitarbeitern und anderen relevanten Parteien Schulungen zum Verfahren anbieten.

Verwenden Sie Metadaten zur Kennzeichnung digitaler Informationsbestände

5.13 erfordert die Verwendung von Metadaten zur Kennzeichnung digitaler Informationsressourcen.

Darüber hinaus wird darauf hingewiesen, dass die Metadaten so bereitgestellt werden sollten, dass die Identifizierung und Suche nach Informationen einfach und effizient ist und dass der Entscheidungsprozess zwischen Systemen im Zusammenhang mit gekennzeichneten Informationen rationalisiert wird.

Ergreifen Sie zusätzliche Maßnahmen, um sensible Daten zu kennzeichnen, die möglicherweise aus dem System gelangen

In Anbetracht der Risiken, die mit der externen Übertragung sensibler Daten aus Systemen verbunden sind, empfiehlt 5.13 Organisationen, diese Informationsbestände mit denjenigen zu kennzeichnen, die dem Grad der Kritikalität und Sensibilität der betreffenden Informationen am besten entsprechen.

Einen Vorsprung bekommen
auf ISO 27002

Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo

Aktualisiert für ISO 27001 2022
  • 81 % der Arbeit wird für Sie erledigt
  • Assured Results-Methode für den Zertifizierungserfolg
  • Sparen Sie Zeit, Geld und Ärger
Buchen Sie Ihre Demo
img

Ergänzende Leitlinien zur Kontrolle 5.13

In Abschnitt 5.13 wird hervorgehoben, dass die Identifizierung und genaue Kennzeichnung von Verschlusssachen für die Sicherheit von Datenaustauschvorgängen von entscheidender Bedeutung ist.

Zusätzlich zu den oben beschriebenen vier spezifischen Schritten empfiehlt 5.13 den Organisationen außerdem, zusätzliche Metadatenpunkte einzufügen, wie z. B. den Namen des Prozesses, der die Informationsressource erstellt hat, und den Zeitpunkt dieser Erstellung.

Darüber hinaus bezieht sich 5.13 auf die gängigen Kennzeichnungstechniken, die Organisationen implementieren können:

  • Physische Etiketten
  • Kopf- und Fußzeilen
  • Metadaten
  • Watermarking
  • Stempel

Schließlich wird in Abschnitt 5.13 betont, dass die Kennzeichnung von Informationsbeständen als „vertraulich“ und „geheim“ unbeabsichtigte Folgen haben kann, da böswillige Akteure dadurch möglicherweise leichter sensible Informationsbestände durchsuchen und finden können.

Änderungen und Unterschiede zu ISO 27002:2013

27002:2022/5.13 ersetzt 27002:2013/8.2.2 (Kennzeichnung von Informationen).

Obwohl die beiden Steuerelemente in gewissem Maße ähnlich sind, gibt es zwei wesentliche Unterschiede, die die Version 2022 umfassender machen.

Neue Anforderungen an die Verwendung von Metadaten

Während in der Version von 2013 Metadaten als Kennzeichnungstechnik bezeichnet wurden, sah sie keine spezifischen Compliance-Verpflichtungen bei der Verwendung von Metadaten vor.

Im Gegensatz dazu bringt die Version 2022 strenge Anforderungen an die Verwendung der Metadatentechnik mit sich. Zur Veranschaulichung: Die Version 2022 erfordert Folgendes:

  • Metadaten werden Informationen auf eine Weise hinzugefügt, die es einfach macht, Informationen effizient zu identifizieren, zu verwalten und zu entdecken.
  • Es sollten Metadaten für den Namen des Organisationsprozesses, der ein bestimmtes Asset erstellt hat, und seine Zeit eingefügt werden.

Der Inhalt des Informationskennzeichnungsverfahrens muss detaillierter sein

Im Gegensatz zur Version 2022 wurden in der Version 2013 nicht die Mindestinhalte festgelegt, die in einem Informationskennzeichnungsverfahren enthalten sein sollten.

Wie ISMS.online hilft

ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.

Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Aufbau Ihres Unternehmens einzubeziehen ISMS, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.

Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.

Bist du bereit für
die neue ISO 27002

Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo

Neue Steuerelemente

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.7NeueBedrohungsinformationen
5.23NeueInformationssicherheit bei der Nutzung von Cloud-Diensten
5.30NeueIKT-Bereitschaft für Geschäftskontinuität
7.4NeuePhysische Sicherheitsüberwachung
8.9NeueKonfigurationsmanagement
8.10NeueLöschung von Informationen
8.11NeueDatenmaskierung
8.12NeueVerhinderung von Datenlecks
8.16NeueÜberwachungsaktivitäten
8.23NeueWeb-Filter
8.28NeueSichere Codierung

Organisatorische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
5.105.1.1, 05.1.2Richtlinien zur Informationssicherheit
5.206.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
5.306.1.2Aufgabentrennung
5.407.2.1Führungsaufgaben
5.506.1.3Kontakt mit Behörden
5.606.1.4Kontakt zu speziellen Interessengruppen
5.7NeueBedrohungsinformationen
5.806.1.5, 14.1.1Informationssicherheit im Projektmanagement
5.908.1.1, 08.1.2Inventar der Informationen und anderer damit verbundener Vermögenswerte
5.1008.1.3, 08.2.3Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
5.1108.1.4Rückgabe von Vermögenswerten
5.12 08.2.1Klassifizierung von Informationen
5.1308.2.2Kennzeichnung von Informationen
5.1413.2.1, 13.2.2, 13.2.3Informationsübertragung
5.1509.1.1, 09.1.2Zugriffskontrolle
5.1609.2.1Identitätsmanagement
5.17 09.2.4, 09.3.1, 09.4.3Authentifizierungsinformationen
5.1809.2.2, 09.2.5, 09.2.6Zugangsrechte
5.1915.1.1Informationssicherheit in Lieferantenbeziehungen
5.2015.1.2Adressierung der Informationssicherheit innerhalb von Lieferantenvereinbarungen
5.2115.1.3Management der Informationssicherheit in der IKT-Lieferkette
5.2215.2.1, 15.2.2Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
5.23NeueInformationssicherheit bei der Nutzung von Cloud-Diensten
5.2416.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
5.2516.1.4Beurteilung und Entscheidung zu Informationssicherheitsereignissen
5.2616.1.5Reaktion auf Informationssicherheitsvorfälle
5.2716.1.6Aus Informationssicherheitsvorfällen lernen
5.2816.1.7Sammlung von Beweisen
5.2917.1.1, 17.1.2, 17.1.3Informationssicherheit bei Störungen
5.30NeueIKT-Bereitschaft für Geschäftskontinuität
5.3118.1.1, 18.1.5Gesetzliche, gesetzliche, behördliche und vertragliche Anforderungen
5.3218.1.2Rechte am geistigen Eigentum
5.3318.1.3Schutz von Aufzeichnungen
5.3418.1.4Privatsphäre und Schutz personenbezogener Daten
5.3518.2.1Unabhängige Überprüfung der Informationssicherheit
5.3618.2.2, 18.2.3Einhaltung von Richtlinien, Regeln und Standards zur Informationssicherheit
5.3712.1.1Dokumentierte Betriebsabläufe

Menschenkontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
6.107.1.1Schirmungsmaß
6.207.1.2Beschäftigungsbedingungen
6.307.2.2Bewusstsein für Informationssicherheit, Aus- und Weiterbildung
6.407.2.3Disziplinarverfahren
6.507.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
6.613.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
6.706.2.2Fernarbeit
6.816.1.2, 16.1.3Berichterstattung über Informationssicherheitsereignisse

Physikalische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
7.111.1.1Physische Sicherheitsbereiche
7.211.1.2, 11.1.6Physischer Eintritt
7.311.1.3Absicherung von Büros, Räumen und Anlagen
7.4NeuePhysische Sicherheitsüberwachung
7.511.1.4Schutz vor physischen und umweltbedingten Bedrohungen
7.611.1.5Arbeiten in sicheren Bereichen
7.711.2.9Klarer Schreibtisch und klarer Bildschirm
7.811.2.1Standort und Schutz der Ausrüstung
7.911.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Speichermedium
7.1111.2.2Unterstützende Versorgungsunternehmen
7.1211.2.3Verkabelungssicherheit
7.1311.2.4Wartung der Ausrüstung
7.1411.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

Technologische Kontrollen

ISO/IEC 27002:2022 KontrollkennungISO/IEC 27002:2013 KontrollkennungKontrollname
8.106.2.1, 11.2.8Benutzerendpunktgeräte
8.209.2.3Privilegierte Zugriffsrechte
8.309.4.1Beschränkung des Informationszugriffs
8.409.4.5Zugriff auf Quellcode
8.509.4.2Sichere Authentifizierung
8.612.1.3Kapazitätsmanagement
8.712.2.1Schutz vor Malware
8.812.6.1, 18.2.3Management technischer Schwachstellen
8.9NeueKonfigurationsmanagement
8.10NeueLöschung von Informationen
8.11NeueDatenmaskierung
8.12NeueVerhinderung von Datenlecks
8.1312.3.1Informationssicherung
8.1417.2.1Redundanz der Informationsverarbeitungseinrichtungen
8.1512.4.1, 12.4.2, 12.4.3Protokollierung
8.16NeueÜberwachungsaktivitäten
8.1712.4.4Uhrzeitsynchronisation
8.1809.4.4Verwendung privilegierter Hilfsprogramme
8.1912.5.1, 12.6.2Installation von Software auf Betriebssystemen
8.2013.1.1Netzwerksicherheit
8.2113.1.2Sicherheit von Netzwerkdiensten
8.2213.1.3Trennung von Netzwerken
8.23NeueWeb-Filter
8.2410.1.1, 10.1.2Verwendung von Kryptographie
8.2514.2.1Sicherer Entwicklungslebenszyklus
8.2614.1.2, 14.1.3Anforderungen an die Anwendungssicherheit
8.2714.2.5Sichere Systemarchitektur und technische Prinzipien
8.28NeueSichere Codierung
8.2914.2.8, 14.2.9Sicherheitstests in Entwicklung und Abnahme
8.3014.2.7Ausgelagerte Entwicklung
8.3112.1.4, 14.2.6Trennung von Entwicklungs-, Test- und Produktionsumgebungen
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Änderungsmanagement
8.3314.3.1Testinformationen
8.3412.7.1Schutz von Informationssystemen während der Auditprüfung
Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

Optimieren Sie Ihren Workflow mit unserer neuen Jira-Integration! Hier erfahren Sie mehr.