Zweck der Kontrolle 5.13
5.13 ist eine vorbeugende Kontrolle schützt Informationsressourcen Schutz vor Sicherheitsrisiken, indem wir Organisationen dabei helfen, zwei unterschiedliche Ziele zu erreichen:
- Dies erleichtert den Nachweis des Klassifizierungsgrades, den jeder Informationswert erhält, wenn die Informationen intern und extern kommuniziert werden und wenn sie von Mitarbeitern und Dritten abgerufen und genutzt werden.
- Optimierung des Prozesses zur Automatisierung der Informationsverwaltung und -verarbeitung.
Kontrollattribute 5.13
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Informationsschutz | #Verteidigung |
| #Integrität | #Schutz | |||
| #Verfügbarkeit |
Eigentum an der Kontrolle 5.13
In Anbetracht der Tatsache, dass das Hinzufügen von Metadaten zu digitalen Assets die wichtigste Methode zur Kennzeichnung von Informationsressourcen ist, müssen Metadatenverwalter für die ordnungsgemäße Umsetzung des Kennzeichnungsverfahrens verantwortlich sein.
Neben den Metadatenverwaltern sind Asset-Eigentümer mit Zugriffs- und Änderungsberechtigungen für die ordnungsgemäße Kennzeichnung aller Datenbestände verantwortlich und nehmen bei Bedarf erforderliche Änderungen an der Kennzeichnung vor.
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Allgemeine Hinweise zur Einhaltung
Kontrolle 5.13 identifiziert vier spezifische Schritte, die Organisationen umsetzen sollten, um die Kennzeichnung von Informationen gemäß 5.13 durchzuführen.
Entwickeln und implementieren Sie ein Verfahren zur Informationskennzeichnung
Organisationen sollten ein organisationsweites Informationskennzeichnungsverfahren entwickeln, das dem gemäß Kontrolle 5.12 erstellten Informationsklassifizierungsschema entspricht.
Darüber hinaus verlangt 5.13, dass dieses Verfahren auf alle Informationsressourcen ausgeweitet wird, unabhängig davon, ob sie in digitaler oder Papierform vorliegen, und dass die Etiketten leicht zu erkennen sein müssen.
Obwohl es keine Begrenzung für den Inhalt dieses Verfahrensdokuments gibt, heißt es in der Regelung 5.13, dass die Verfahren mindestens Folgendes umfassen sollten:
- Beschreibung der Methoden zum Anbringen von Etiketten an Informationsressourcen abhängig vom Speichermedium und der Art des Datenzugriffs.
- Wo die Etiketten für jede Art von Informationsressource angebracht werden sollen.
- Welche Informationsressourcen werden ggf. nicht gekennzeichnet? Beispielsweise kann eine Organisation auf die Kennzeichnung öffentlicher Daten verzichten, um den Prozess der Informationskennzeichnung zu optimieren.
- Beschreibung von Maßnahmen für den Fall, dass eine Kennzeichnung bestimmter Arten von Informationen aufgrund technischer, rechtlicher oder vertraglicher Einschränkungen nicht möglich ist.
- Die Regeln, wie mit der Kennzeichnung von an interne oder externe Parteien übermittelten Informationen umzugehen ist.
- Bei digitalen Assets muss im Verfahren erläutert werden, wie die Metadaten eingefügt werden sollen.
- Namen von Labels, die für alle Assets verwendet werden sollen.
Bieten Sie Ihren Mitarbeitern angemessene Schulungen zur Einhaltung des Etikettierungsverfahrens an
Das Verfahren zur Kennzeichnung von Informationen kann nur dann wirksam sein, wenn das Personal und andere relevante Interessengruppen gut darüber informiert sind, wie Informationen korrekt gekennzeichnet werden und wie mit gekennzeichneten Informationsbeständen umgegangen wird.
Daher sollten Organisationen ihren Mitarbeitern und anderen relevanten Parteien Schulungen zum Verfahren anbieten.
Verwenden Sie Metadaten zur Kennzeichnung digitaler Informationsbestände
5.13 erfordert die Verwendung von Metadaten zur Kennzeichnung digitaler Informationsressourcen.
Darüber hinaus wird darauf hingewiesen, dass die Metadaten so bereitgestellt werden sollten, dass die Identifizierung und Suche nach Informationen einfach und effizient ist und dass der Entscheidungsprozess zwischen Systemen im Zusammenhang mit gekennzeichneten Informationen rationalisiert wird.
Ergreifen Sie zusätzliche Maßnahmen, um sensible Daten zu kennzeichnen, die möglicherweise aus dem System gelangen
In Anbetracht der Risiken, die mit der externen Übertragung sensibler Daten aus Systemen verbunden sind, empfiehlt 5.13 Organisationen, diese Informationsbestände mit denjenigen zu kennzeichnen, die dem Grad der Kritikalität und Sensibilität der betreffenden Informationen am besten entsprechen.
Ergänzende Leitlinien zur Kontrolle 5.13
In Abschnitt 5.13 wird hervorgehoben, dass die Identifizierung und genaue Kennzeichnung von Verschlusssachen für die Sicherheit von Datenaustauschvorgängen von entscheidender Bedeutung ist.
Zusätzlich zu den oben beschriebenen vier spezifischen Schritten empfiehlt 5.13 den Organisationen außerdem, zusätzliche Metadatenpunkte einzufügen, wie z. B. den Namen des Prozesses, der die Informationsressource erstellt hat, und den Zeitpunkt dieser Erstellung.
Darüber hinaus bezieht sich 5.13 auf die gängigen Kennzeichnungstechniken, die Organisationen implementieren können:
- Physische Etiketten
- Kopf- und Fußzeilen
- Metadaten
- Watermarking
- Stempel
Schließlich wird in Abschnitt 5.13 betont, dass die Kennzeichnung von Informationsbeständen als „vertraulich“ und „geheim“ unbeabsichtigte Folgen haben kann, da böswillige Akteure dadurch möglicherweise leichter sensible Informationsbestände durchsuchen und finden können.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022/5.13 ersetzt 27002:2013/8.2.2 (Kennzeichnung von Informationen).
Obwohl die beiden Steuerelemente in gewissem Maße ähnlich sind, gibt es zwei wesentliche Unterschiede, die die Version 2022 umfassender machen.
Neue Anforderungen an die Verwendung von Metadaten
Während in der Version von 2013 Metadaten als Kennzeichnungstechnik bezeichnet wurden, sah sie keine spezifischen Compliance-Verpflichtungen bei der Verwendung von Metadaten vor.
Im Gegensatz dazu bringt die Version 2022 strenge Anforderungen an die Verwendung der Metadatentechnik mit sich. Zur Veranschaulichung: Die Version 2022 erfordert Folgendes:
- Metadaten werden Informationen auf eine Weise hinzugefügt, die es einfach macht, Informationen effizient zu identifizieren, zu verwalten und zu entdecken.
- Es sollten Metadaten für den Namen des Organisationsprozesses, der ein bestimmtes Asset erstellt hat, und seine Zeit eingefügt werden.
Der Inhalt des Informationskennzeichnungsverfahrens muss detaillierter sein
Im Gegensatz zur Version 2022 wurden in der Version 2013 nicht die Mindestinhalte festgelegt, die in einem Informationskennzeichnungsverfahren enthalten sein sollten.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
ISO 27002 Die Implementierung wird einfacher mit unserer Schritt-für-Schritt-Checkliste, die Sie durch den gesamten Prozess führt, von der Definition des Umfangs Ihres ISMS über die Risikoidentifizierung bis hin zur Kontrollimplementierung.
Unsere Plattform ist intuitiv und einfach zu bedienen. Es ist nicht nur etwas für hochtechnische Leute; Es ist für alle in Ihrer Organisation. Wir empfehlen Ihnen, Mitarbeiter auf allen Ebenen Ihres Unternehmens in den Aufbau Ihres Unternehmens einzubeziehen ISMS, denn das hilft Ihnen, ein wirklich nachhaltiges System aufzubauen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Live-Demo anfordern Angebotsanfrage
