L'étiquetage des informations est une procédure qui permet aux organisations de mettre en pratique leur système de classification des informations en attachant des étiquettes de classification aux actifs informationnels pertinents.
Le contrôle 5.13 explique comment les organisations doivent développer, mettre en œuvre et gérer une procédure robuste d'étiquetage des informations basée sur le système de classification adopté via le contrôle 5.12.
5.13 est un contrôle préventif qui protège les actifs informationnels contre les risques de sécurité en aidant les organisations à atteindre deux objectifs distincts :
| Type de contrôle | Propriétés de sécurité des informations | Concepts de cybersécurité | Capacités opérationnelles | Domaines de sécurité |
|---|---|---|---|---|
| #Préventif | #Confidentialité #Intégrité #Disponibilité | #Protéger | #Protection des informations | #La défense #Protection |
Étant donné que l’ajout de métadonnées aux actifs numériques est le principal moyen d’étiqueter les actifs informationnels, les gestionnaires de métadonnées seront responsables de la bonne mise en œuvre de la procédure d’étiquetage.
Aux côtés des gestionnaires de métadonnées, les propriétaires d'actifs disposant d'autorisations d'accès et de modification seront responsables de l'étiquetage approprié de tous les actifs de données et apporteront les modifications nécessaires à l'étiquetage si nécessaire.
Le contrôle 5.13 identifie quatre étapes spécifiques que les organisations doivent mettre en œuvre pour procéder à l'étiquetage des informations conformément à 5.13.
Les organisations doivent développer une procédure d'étiquetage des informations à l'échelle de l'organisation qui adhère au système de classification des informations créé conformément au contrôle 5.12.
Par ailleurs, 5.13 exige que cette procédure soit étendue à tous les actifs informationnels, qu'ils soient au format numérique ou papier et que les étiquettes soient faciles à reconnaître.
Bien qu'il n'y ait aucune limite à ce que ce document de procédure peut contenir, le contrôle 5.13 stipule que les procédures doivent au moins inclure les éléments suivants :
La procédure d'étiquetage des informations ne peut être efficace que dans la mesure où le personnel et les autres parties prenantes concernées sont bien informés sur la manière d'étiqueter correctement les informations et de gérer les actifs informationnels étiquetés.
Par conséquent, les organisations devraient fournir au personnel et aux autres parties concernées une formation sur la procédure.
5.13 exige l’utilisation de métadonnées pour l’étiquetage des actifs informationnels numériques.
En outre, il note que les métadonnées devraient être déployées de manière à permettre une identification et une recherche d'informations faciles et efficaces, ainsi qu'à rationaliser le processus de prise de décision entre les systèmes liés aux informations étiquetées.
Compte tenu des risques liés au transfert vers l'extérieur de données sensibles à partir des systèmes, 5.13 recommande aux organisations d'étiqueter ces actifs informationnels avec ceux les plus appropriés au niveau de criticité et de sensibilité des informations concernées.
La seule conformité
solution dont vous avez besoin
Réservez votre démo
Le 5.13 souligne que l'identification et l'étiquetage précis des informations classifiées sont essentiels à la sécurité des opérations de partage de données.
En plus des quatre étapes spécifiques décrites ci-dessus, 5.13 recommande également aux organisations d'insérer des points de métadonnées supplémentaires tels que le nom du processus qui a créé l'actif informationnel et l'heure de cette création.
De plus, le 5.13 fait référence aux techniques d'étiquetage courantes que les organisations peuvent mettre en œuvre :
Enfin, le 5.13 souligne que le fait de qualifier les actifs informationnels de « confidentiels » et de « classifiés » peut avoir des conséquences inattendues, car cela peut permettre aux acteurs malveillants de rechercher et de trouver plus facilement des actifs informationnels sensibles.
27002:2022/5.13 remplace 27002:2013/8.2.2 (Étiquetage des informations).
Bien que les deux contrôles soient similaires dans une certaine mesure, il existe deux différences clés qui rendent la version 2022 plus complète.
Alors que la version de 2013 faisait référence aux métadonnées comme technique d’étiquetage, elle n’imposait aucune obligation spécifique de conformité lors de l’utilisation des métadonnées.
En revanche, la version 2022 impose des exigences strictes sur la manière d’utiliser la technique des métadonnées. À titre d’illustration, la version 2022 exige que :
Contrairement à la version 2022, la version 2013 ne précisait pas le contenu minimum qui devait être inclus dans une procédure d'étiquetage des informations.
ISO 27002 la mise en œuvre est plus simple grâce à notre liste de contrôle étape par étape qui vous guide tout au long du processus, depuis la définition de la portée de votre SMSI jusqu'à l'identification des risques et la mise en œuvre des contrôles.
Notre plateforme est intuitif et facile à utiliser. Ce n'est pas seulement destiné aux personnes hautement techniques ; c'est pour tout le monde dans votre organisation. Nous vous encourageons à impliquer le personnel à tous les niveaux de votre entreprise dans le processus de construction de votre ISMS, car cela vous aide à construire un système véritablement durable.
Contactez-nous dès aujourd'hui pour réserver une démo.
Nous vous donnerons une longueur d'avance de 81 %
à partir du moment où vous vous connectez
Réservez votre démo
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 5.7 | Nouveauté | Intelligence de la menace |
| 5.23 | Nouveauté | Sécurité des informations pour l'utilisation des services cloud |
| 5.30 | Nouveauté | Préparation aux TIC pour la continuité des activités |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 8.9 | Nouveauté | Gestion de la configuration |
| 8.10 | Nouveauté | Suppression des informations |
| 8.11 | Nouveauté | Masquage des données |
| 8.12 | Nouveauté | Prévention des fuites de données |
| 8.16 | Nouveauté | Activités de surveillance |
| 8.23 | Nouveauté | filtrage web |
| 8.28 | Nouveauté | Codage sécurisé |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 6.1 | 07.1.1 | Tamisage |
| 6.2 | 07.1.2 | Termes et conditions d'emploi |
| 6.3 | 07.2.2 | Sensibilisation, éducation et formation à la sécurité de l’information |
| 6.4 | 07.2.3 | Processus disciplinaire |
| 6.5 | 07.3.1 | Responsabilités après la cessation ou le changement d'emploi |
| 6.6 | 13.2.4 | Accords de confidentialité ou de non-divulgation |
| 6.7 | 06.2.2 | Travail à distance |
| 6.8 | 16.1.2, 16.1.3 | Rapports d'événements liés à la sécurité des informations |
| Identifiant de contrôle ISO/IEC 27002:2022 | Identifiant de contrôle ISO/IEC 27002:2013 | Nom du contrôle |
|---|---|---|
| 7.1 | 11.1.1 | Périmètres de sécurité physique |
| 7.2 | 11.1.2, 11.1.6 | Entrée physique |
| 7.3 | 11.1.3 | Sécurisation des bureaux, des locaux et des installations |
| 7.4 | Nouveauté | Surveillance de la sécurité physique |
| 7.5 | 11.1.4 | Se protéger contre les menaces physiques et environnementales |
| 7.6 | 11.1.5 | Travailler dans des zones sécurisées |
| 7.7 | 11.2.9 | Bureau clair et écran clair |
| 7.8 | 11.2.1 | Implantation et protection des équipements |
| 7.9 | 11.2.6 | Sécurité des actifs hors site |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Supports de stockage |
| 7.11 | 11.2.2 | Utilitaires pris en charge |
| 7.12 | 11.2.3 | Sécurité du câblage |
| 7.13 | 11.2.4 | La maintenance des équipements |
| 7.14 | 11.2.7 | Élimination ou réutilisation sécurisée des équipements |
