ISO 27001:2022 Annexe A Contrôle 5.13

Lignes directrices générales sur la façon de se conformer à la norme ISO 27001:2022, annexe A 5.13

À l’aide de l’Annexe A Contrôle 5.13, les organisations peuvent étiqueter les informations conformément à quatre étapes spécifiques.

Établir une procédure pour les informations d'étiquetage

Le système de classification des informations créé selon l'Annexe A Contrôle 5.12 doit être respecté par les procédures d'étiquetage des informations des organisations.

5.13 exige également que cette procédure s'applique à tous les actifs informationnels, qu'ils soient numériques ou papier et que les étiquettes soient facilement reconnaissables.

Il n'y a aucune limite à ce que ce document de procédure peut contenir, mais l'Annexe A Contrôle 5.13 exige que les procédures incluent les éléments suivants :

• Une explication des méthodes d'apposition d'étiquettes sur les actifs informationnels en fonction du type de support de stockage et de la manière dont les données sont accessibles.
• Pour chaque type d’actif informationnel, où les étiquettes doivent être apposées.
• Par exemple, une organisation peut omettre de publier des données publiques dans le cadre de son processus d'étiquetage des informations.
• Des limitations techniques, légales ou contractuelles empêchent l'étiquetage de certains types d'informations.
• Les règles régissent la manière dont les informations doivent être étiquetées lorsqu'elles sont transmises en interne ou en externe.
• Des instructions doivent accompagner les actifs numériques sur la manière d'insérer des métadonnées.
• Tous les actifs doivent être étiquetés avec les mêmes noms.

Fournir une formation adéquate sur les procédures d’étiquetage aux employés

Le personnel et les autres parties prenantes concernées doivent comprendre comment étiqueter informations correctement et gérer les actifs informationnels étiquetés avant que la procédure d'étiquetage des informations puisse être effective.

En conséquence, les organisations devraient former le personnel et les autres parties concernées à la procédure.

Les actifs d'information numérique doivent être étiquetés avec des métadonnées

Les actifs d'information numérique doivent être étiquetés à l'aide de métadonnées conformément à 5.13.

Le déploiement des métadonnées devrait également faciliter l’identification et la recherche d’informations et rationaliser la prise de décision entre les systèmes liés aux informations étiquetées.

Des précautions supplémentaires doivent être prises pour étiqueter les données sensibles susceptibles de quitter le système

La recommandation 5.13 de l'Annexe A se concentre sur l'identification de l'étiquette la plus appropriée pour les transferts d’informations critiques et sensibles actifs, compte tenu des risques encourus.

Annexe A 5.13 Orientations supplémentaires

Pour que les opérations de partage de données soient sécurisées, il est essentiel d’identifier et d’étiqueter avec précision les informations classifiées.

L'annexe A 5.13 recommande également aux organisations d'insérer des points de métadonnées supplémentaires. C’est-à-dire le nom du processus qui a créé l’actif informationnel et l’heure à laquelle il a été créé.

De plus, l'annexe A 5.13 décrit les techniques d'étiquetage standard que les organisations peuvent utiliser :

• Étiquettes physiques
• En-têtes et pieds de page
• Métadonnées
• Filigrane
• Tampons en caoutchouc

Enfin, l'annexe A 5.13 souligne que le fait de qualifier les actifs informationnels de « confidentiels » et de « classifiés » peut avoir des conséquences inattendues. Cela peut permettre aux acteurs malveillants de découvrir et de trouver plus facilement des informations sensibles.

Quels sont les changements et les différences par rapport à la norme ISO 27001:2013 ?

ISO 27001: 2022 L'Annexe A 5.13 remplace l'ISO 27001:2013 Annexe A 8.2.2 (Étiquetage des informations).

Les deux contrôles de l'Annexe A sont similaires dans une certaine mesure, mais deux différences clés rendent la version ISO 27001:2022 plus complète.

L'utilisation de métadonnées est devenue nécessaire pour répondre à de nouvelles exigences

Même si la version de 2013 faisait référence aux métadonnées comme technique d’étiquetage, elle n’imposait aucune obligation spécifique de conformité lors de l’utilisation des métadonnées.

En revanche, la version 2022 intègre des différences et des modifications par rapport à la norme ISO 27001:2013.

L'utilisation des métadonnées est désormais une nécessité

En 2013, les métadonnées étaient évoquées comme une technique d’étiquetage, mais aucune obligation de conformité spécifique n’était imposée.

Contrairement à cela, la version 2022 inclut des exigences strictes concernant les techniques de métadonnées. Par exemple, la version 2022 nécessite les éléments suivants :

• L'ajout de métadonnées aux informations facilite leur identification, leur gestion et leur découverte.
• Il est nécessaire d'insérer des métadonnées pour le nom et la date du processus qui a créé l'actif.

Il est nécessaire de fournir plus de détails dans la procédure d'étiquetage des informations

Les procédures d'étiquetage des informations dans la version 2013 n'étaient pas tenues d'inclure le contenu minimum comme dans la version 2022.

Tableau de tous les contrôles ISO 27001:2022 Annexe A

Dans le tableau ci-dessous, vous trouverez plus d'informations sur chaque individu ISO 27001:2022 Annexe A Contrôle.

Comment ISMS.online vous aide

Mise en œuvre de la norme ISO 27001 est plus facile grâce à notre liste de contrôle étape par étape, qui vous guide depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles de l'Annexe A.

En utilisant notre plateforme est intuitif et facile. Il ne s'adresse pas uniquement aux employés hautement techniques, mais à tous les membres de votre entreprise. Nous vous encourageons à impliquer l’ensemble de votre personnel dans la construction de votre ISMS, car cela vous aide à construire un système véritablement durable.

Contactez-nous dès aujourd'hui pour réserver une démo.