עבור לתוכן
ISMS.online

ISO 27002:2022 – בקרה 5.13 – תיוג מידע

תיוג מידע הוא הליך המאפשר לארגונים ליישם את תכנית סיווג המידע שלהם על ידי הצמדת תוויות סיווג לנכסי מידע רלוונטיים. בקרה 5.13 מתייחסת לאופן שבו ארגונים צריכים לפתח, ליישם ולנהל הליך סימון מידע חזק המבוסס על תכנית הסיווג שאומצה באמצעות בקרה 5.12.

מְחַבֵּר
סם פיטרס
עודכן יולי 25, 2025
4/5 כוכבים

מטרת הבקרה 5.13

5.13 היא בקרה מונעת ש מגן על נכסי מידע נגד סיכוני אבטחה על ידי סיוע לארגונים להשיג שתי מטרות ברורות:

  • מה שמקל על הדגמת רמת הסיווג כל נכס מידע ניתן כאשר המידע מועבר באופן פנימי וחיצוני וכאשר עובדים וצדדים שלישיים ניגשים אליו ומשתמשים בו.
  • ייעול תהליך אוטומציה של ניהול ועיבוד מידע.

תכונות שליטה 5.13

סוג הבקרה מאפייני אבטחת מידע מושגי אבטחת סייבר יכולות מבצעיות תחומי אבטחה
#מוֹנֵעַ #סודיות #לְהַגֵן #הגנת מידע #הֲגָנָה
#יושרה #הֲגָנָה
#זמינות

בעלות על שליטה 5.13

בהתחשב בכך שהוספת מטא נתונים לנכסים דיגיטליים היא הדרך העיקרית לתיוג נכסי מידע, דיילי מטא נתונים יהיו אחראים ליישום נכון של הליך התיוג.

לצד מנהלי המטא נתונים, בעלי נכסים בעלי הרשאות גישה ושינוי יהיו אחראים לתיוג נכון של כל נכסי הנתונים ויבצעו את השינויים הדרושים בתיוג במידת הצורך.



ISMS.online מעניק לך יתרון של 81% מרגע הכניסה

ISO 27001 בקלות

יתרון של 81% מהיום הראשון

עשינו את העבודה הקשה בשבילך, ונתנו לך התחלה של 81% מרגע הכניסה. כל שעליכם לעשות הוא להשלים את החסר.

התחל כאן


הנחיות כלליות כיצד לעמוד בדרישות

בקרה 5.13 מזהה ארבעה שלבים ספציפיים שארגונים צריכים ליישם כדי לבצע תיוג מידע בהתאם ל-5.13.

פיתוח ויישום נוהל תיוג מידע

ארגונים צריכים לפתח נוהל תיוג מידע כלל-ארגוני, המתאים לתכנית סיווג המידע שנוצרה בהתאם לבקרה 5.12.

יתר על כן, 5.13 דורש כי נוהל זה יורחב לכל נכסי המידע, ללא קשר אם הוא בפורמט דיגיטלי או נייר וכי התוויות חייבות להיות קלות לזיהוי.

למרות שאין גבול למה שמסמך נוהל זה יכול להכיל, בקרה 5.13 קובעת שהנהלים צריכים לכלול לפחות את הדברים הבאים:

  • תיאור השיטות להצמדת תוויות לנכסי מידע בהתאם לאמצעי האחסון ולאופן הגישה לנתונים.
  • היכן יש לצרף את התוויות עבור כל סוג של נכס מידע.
  • אילו נכסי מידע לא יסומנו, אם בכלל. לדוגמה, ארגון עשוי להשמיט תיוג נתונים ציבוריים כדי לייעל את תהליך תיוג המידע.
  • תיאור אמצעים למקרים בהם לא ניתן לסמן סוגים מסוימים של מידע בשל מגבלות טכניות, משפטיות או חוזיות.
  • הכללים לגבי אופן הטיפול בתיוג המידע המועבר לגורמים פנימיים או חיצוניים.
  • לגבי נכסים דיגיטליים, על הנוהל להסביר כיצד יש להכניס את המטא נתונים.
  • שמות של תוויות לשימוש עבור כל הנכסים.

ספק הדרכה מתאימה לצוות כיצד להקפיד על נוהל התיוג

הנוהל לתיוג מידע יכול להיות יעיל רק במידה שצוות העובדים ובעלי עניין רלוונטיים אחרים מיודעים היטב כיצד לתייג מידע נכון וכיצד להתמודד עם נכסי מידע מסומנים.

לכן, ארגונים צריכים לספק לצוות ולגורמים רלוונטיים אחרים הדרכה על הנוהל.

השתמש במטא נתונים לתיוג של נכסי מידע דיגיטליים

5.13 מחייב שימוש במטא נתונים לתיוג של נכסי מידע דיגיטליים.

יתרה מכך, היא מציינת כי יש לפרוס את המטא-נתונים באופן שיקל ויעיל את הזיהוי והחיפוש אחר מידע וכן באופן שיייעל את תהליך קבלת ההחלטות בין מערכות הקשורות למידע מסומן.

נקוט באמצעים נוספים כדי לסמן נתונים רגישים שעלולים לצאת מהמערכת

בהתחשב בסיכונים הכרוכים בהעברה החוצה של נתונים רגישים ממערכות, 5.13 ממליץ לארגונים לתייג את נכסי המידע הללו עם אלו המתאימים ביותר לרמת הקריטיות והרגישות של המידע הנוגע בדבר.

הנחיות משלימות בקרה 5.13

ה-5.13 מדגיש שזיהוי וסימון מדויק של מידע מסווג חיוני לאבטחת פעולות שיתוף הנתונים.

בנוסף לארבעת השלבים הספציפיים שתוארו לעיל, 5.13 ממליץ גם לארגונים להכניס נקודות מטא-נתונים נוספות כגון שם התהליך שיצר את נכס המידע ומועד יצירתו.

יתר על כן, ה-5.13 מתייחס לטכניקות התיוג הנפוצות שארגונים יכולים ליישם:

  • תוויות פיזיות
  • כותרות עליונות ותחתונות
  • מידע נוסף
  • watermarking
  • חותמות גומי

לבסוף, ה-5.13 מדגיש שלתיוג נכסי מידע כ'סודיים' ו'מסווגים' עלולות להיות השלכות לא מכוונות מכיוון שהיא עשויה להקל על גורמים זדוניים לחפש ולמצוא נכסי מידע רגישים.



ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

ניהול כל דרישות התאימות, הכל במקום אחד

ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.

הזמן את ההדגמה שלך


שינויים והבדלים מ-ISO 27002:2013

27002:2022/5.13 מחליף את 27002:2013/8.2.2 (תיוג מידע).

בעוד ששני הפקדים דומים במידה מסוימת, ישנם שני הבדלים עיקריים שהופכים את גרסת 2022 למקיפה יותר.

דרישות חדשות לשימוש במטא נתונים

בעוד שגרסת 2013 התייחסה למטא נתונים כאל טכניקת תיוג, היא לא הטילה חובות ספציפיות לציות בעת שימוש במטא נתונים.

לעומת זאת, גרסת 2022 מביאה דרישות מחמירות לגבי אופן השימוש בטכניקת מטא נתונים. לשם המחשה, גרסת 2022 דורשת כי:

  • מטא נתונים מתווספים למידע באופן שמקל על זיהוי, ניהול וגילוי מידע בצורה יעילה.
  • יש להכניס מטא נתונים עבור שם התהליך הארגוני שיצר נכס ספציפי והזמן שלו.

תוכן נוהל תיוג המידע חייב להיות מפורט יותר

בניגוד לגרסת 2022, גרסת 2013 לא ציינה את התוכן המינימלי שיש לכלול בנוהל תיוג מידע.

בקרות חדשות ISO 27002

פקדים חדשים
מזהה בקרה ISO/IEC 27002:2022 מזהה בקרה ISO/IEC 27002:2013 שם בקרה
5.7 NEW אינטליגנציה מאיימת
5.23 NEW אבטחת מידע לשימוש בשירותי ענן
5.30 NEW מוכנות ICT להמשכיות עסקית
7.4 NEW ניטור אבטחה פיזית
8.9 NEW ניהול תצורה
8.10 NEW מחיקת מידע
8.11 NEW מיסוך נתונים
8.12 NEW מניעת דליפת נתונים
8.16 NEW פעילויות ניטור
8.23 NEW סינון אינטרנט
8.28 NEW קידוד מאובטח
בקרות ארגוניות
מזהה בקרה ISO/IEC 27002:2022 מזהה בקרה ISO/IEC 27002:2013 שם בקרה
5.1 05.1.1, 05.1.2 מדיניות לאבטחת מידע
5.2 06.1.1 תפקידים ואחריות של אבטחת מידע
5.3 06.1.2 הפרדת תפקידים
5.4 07.2.1 אחריות ניהולית
5.5 06.1.3 קשר עם הרשויות
5.6 06.1.4 קשר עם קבוצות עניין מיוחדות
5.7 NEW אינטליגנציה מאיימת
5.8 06.1.5, 14.1.1 אבטחת מידע בניהול פרויקטים
5.9 08.1.1, 08.1.2 מלאי מידע ונכסים קשורים אחרים
5.10 08.1.3, 08.2.3 שימוש מקובל במידע ובנכסים קשורים אחרים
5.11 08.1.4 החזרת נכסים
5.12 08.2.1 סיווג מידע
5.13 08.2.2 תיוג מידע
5.14 13.2.1, 13.2.2, 13.2.3 העברת מידע
5.15 09.1.1, 09.1.2 בקרת גישה
5.16 09.2.1 ניהול זהות
5.17 09.2.4, 09.3.1, 09.4.3 מידע אימות
5.18 09.2.2, 09.2.5, 09.2.6 זכויות גישה
5.19 15.1.1 אבטחת מידע ביחסי ספקים
5.20 15.1.2 טיפול באבטחת מידע במסגרת הסכמי ספקים
5.21 15.1.3 ניהול אבטחת מידע בשרשרת אספקת ה-ICT
5.22 15.2.1, 15.2.2 מעקב, סקירה וניהול שינויים של שירותי ספקים
5.23 NEW אבטחת מידע לשימוש בשירותי ענן
5.24 16.1.1 תכנון והכנה לניהול אירועי אבטחת מידע
5.25 16.1.4 הערכה והחלטה על אירועי אבטחת מידע
5.26 16.1.5 מענה לאירועי אבטחת מידע
5.27 16.1.6 למידה מאירועי אבטחת מידע
5.28 16.1.7 איסוף ראיות
5.29 17.1.1, 17.1.2, 17.1.3 אבטחת מידע בזמן שיבוש
5.30 5.30 מוכנות ICT להמשכיות עסקית
5.31 18.1.1, 18.1.5 דרישות משפטיות, סטטוטוריות, רגולטוריות וחוזיות
5.32 18.1.2 זכויות קניין רוחני
5.33 18.1.3 הגנה על רשומות
5.34 18.1.4 פרטיות והגנה על PII
5.35 18.2.1 סקירה עצמאית של אבטחת מידע
5.36 18.2.2, 18.2.3 עמידה במדיניות, כללים ותקנים לאבטחת מידע
5.37 12.1.1 נהלי הפעלה מתועדים
אנשים בקרות
מזהה בקרה ISO/IEC 27002:2022 מזהה בקרה ISO/IEC 27002:2013 שם בקרה
6.1 07.1.1 סריקה
6.2 07.1.2 תנאי העסקה
6.3 07.2.2 מודעות, חינוך והדרכה לאבטחת מידע
6.4 07.2.3 תהליך משמעתי
6.5 07.3.1 אחריות לאחר סיום או שינוי עבודה
6.6 13.2.4 הסכמי סודיות או סודיות
6.7 06.2.2 עבודה מרחוק
6.8 16.1.2, 16.1.3 דיווח על אירועי אבטחת מידע
בקרות פיזיות
מזהה בקרה ISO/IEC 27002:2022 מזהה בקרה ISO/IEC 27002:2013 שם בקרה
7.1 11.1.1 היקפי אבטחה פיזית
7.2 11.1.2, 11.1.6 כניסה פיזית
7.3 11.1.3 אבטחת משרדים, חדרים ומתקנים
7.4 NEW ניטור אבטחה פיזית
7.5 11.1.4 הגנה מפני איומים פיזיים וסביבתיים
7.6 11.1.5 עבודה באזורים מאובטחים
7.7 11.2.9 שולחן כתיבה ברור ומסך ברור
7.8 11.2.1 מיקום ומיגון ציוד
7.9 11.2.6 אבטחת נכסים מחוץ לשטח
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 אחסון מדיה
7.11 11.2.2 כלי עזר תומכים
7.12 11.2.3 אבטחת כבלים
7.13 11.2.4 תחזוקת ציוד
7.14 11.2.7 סילוק מאובטח או שימוש חוזר בציוד
בקרות טכנולוגיות
מזהה בקרה ISO/IEC 27002:2022 מזהה בקרה ISO/IEC 27002:2013 שם בקרה
8.1 06.2.1, 11.2.8 התקני נקודת קצה למשתמש
8.2 09.2.3 זכויות גישה מורשות
8.3 09.4.1 הגבלת גישה למידע
8.4 09.4.5 גישה לקוד מקור
8.5 09.4.2 אימות מאובטח
8.6 12.1.3 ניהול קיבולת
8.7 12.2.1 הגנה מפני תוכנות זדוניות
8.8 12.6.1, 18.2.3 ניהול נקודות תורפה טכניות
8.9 NEW ניהול תצורה
8.10 NEW מחיקת מידע
8.11 NEW מיסוך נתונים
8.12 NEW מניעת דליפת נתונים
8.13 12.3.1 גיבוי מידע
8.14 17.2.1 יתירות של מתקני עיבוד מידע
8.15 12.4.1, 12.4.2, 12.4.3 רישום
8.16 NEW פעילויות ניטור
8.17 12.4.4 סנכרון שעון
8.18 09.4.4 שימוש בתוכניות שירות מועדפות
8.19 12.5.1, 12.6.2 התקנת תוכנות על מערכות תפעול
8.20 13.1.1 אבטחת רשתות
8.21 13.1.2 אבטחת שירותי רשת
8.22 13.1.3 הפרדת רשתות
8.23 NEW סינון אינטרנט
8.24 10.1.1, 10.1.2 שימוש בקריפטוגרפיה
8.25 14.2.1 מחזור חיי פיתוח מאובטח
8.26 14.1.2, 14.1.3 דרישות אבטחת יישומים
8.27 14.2.5 ארכיטקטורת מערכת מאובטחת ועקרונות הנדסיים
8.28 NEW קידוד מאובטח
8.29 14.2.8, 14.2.9 בדיקות אבטחה בפיתוח וקבלה
8.30 14.2.7 פיתוח במיקור חוץ
8.31 12.1.4, 14.2.6 הפרדת סביבות פיתוח, בדיקה וייצור
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 שינוי הנהלה
8.33 14.3.1 מידע על הבדיקה
8.34 12.7.1 הגנה על מערכות מידע במהלך בדיקות ביקורת

כיצד ISMS.online עוזר

ISO 27002 היישום פשוט יותר עם רשימת הבדיקה המפורטת שלנו שמנחה אותך לאורך כל התהליך, מהגדרת היקף ה-ISMS שלך ועד לזיהוי סיכונים ויישום בקרה.

הפלטפורמה שלנו הוא אינטואיטיבי וקל לשימוש. זה לא רק לאנשים טכניים מאוד; זה מיועד לכולם בארגון שלך. אנו ממליצים לך לערב צוות בכל הרמות של העסק שלך בתהליך בנייתך האיזמים, כי זה עוזר לך לבנות מערכת בת קיימא באמת.

צור קשר עוד היום כדי הזמן הדגמה.

סם פיטרס

סם הוא מנהל מוצר ראשי ב-ISMS.online ומוביל את הפיתוח של כל תכונות המוצר והפונקציונליות. סם הוא מומחה בתחומי ציות רבים ועובד עם לקוחות בכל פרויקט בהתאמה אישית או בקנה מידה גדול.

צא לסיור וירטואלי

התחל עכשיו את ההדגמה האינטראקטיבית החינמית שלך בת 2 דקות ותראה
ISMS.online בפעולה!

נסה את זה עכשיו
לוח מחוונים של הפלטפורמה במצב חדש לגמרי

אנחנו מובילים בתחומנו

4/5 כוכבים
משתמשים אוהבים אותנו
לידר - חורף 2026
מנהיג אזורי - חורף 2026 בריטניה
מנהיג אזורי - חורף 2026 האיחוד האירופי
מוביל אזורי - חורף 2026 שוק בינוני האיחוד האירופי
מנהיג אזורי - חורף 2026 EMEA
מוביל אזורי - חורף 2026 שוק בינוני EMEA

"ISMS.Online, כלי יוצא מן הכלל לציות לתקנות"

— ג'ים מ.

"הופך את הביקורת החיצונית לפשוטה ומקשרת את כל ההיבטים של ה-ISMS שלך יחד בצורה חלקה"

— קארן סי.

"פתרון חדשני לניהול ISO והסמכות אחרות"

— בן ה.