Czym jest klasyfikacja informacji i jak istotna jest ona dla normy ISO

Czym jest klasyfikacja informacji i jak istotna jest ona dla normy ISO 27001?

Klasyfikacja informacji jest procesem, w którym organizacje oceniają posiadane przez siebie dane i poziom ich ochrony.

 

Organizacje zazwyczaj klasyfikują informacje pod względem poufności – tzn: Kto ma dostęp do ich wyświetlania. Najczęściej identyfikowane są cztery poziomy poufności:

  • Poufne (tylko kierownictwo wyższego szczebla ma dostęp)
  • Ograniczony (większość pracowników ma dostęp)
  • Wewnętrzny (wszyscy pracownicy mają dostęp)
  • Publiczny (wszyscy mają dostęp)

 

Jak można się spodziewać, większe i bardziej złożone organizacje będą potrzebowały więcej poziomów. Weźmy na przykład szpitale: lekarze i pielęgniarki potrzebują dostępu do danych z historii medycznej pacjentów, które są bardzo wrażliwe, ale nie powinni mieć dostępu do innych rodzajów informacji, takich jak na przykład dane finansowe szpitala.

 

W takich przypadkach należy utworzyć oddzielny poziom, który uwzględnia określone zadania w pracy.

 

Gdzie mieści się w tym ISO/IEC 27001?

Organizacje, które poważnie podchodzą do ochrony swoich informacji, powinny postępować zgodnie z wytycznymi określonymi w ISO/IEC 27001.

 

Standard opisuje najlepsze praktyki tworzenia i utrzymywania systemu zarządzania bezpieczeństwem informacji, a klasyfikacja informacji odgrywa ważną rolę.

 

Punkt A7.2 w normie nosi tytuł "Klasyfikacja informacji" i zaleca, aby organizacje "zapewniały, że informacje otrzymują odpowiedni poziom ochrony".

 

Standard nie wyjaśnia, jak należy to zrobić, ale proces jest stosunkowo prosty. Musisz tylko wykonać te cztery kroki:

 

1. Wprowadź swoje aktywa do rejestru zasobów

Pierwszym krokiem jest zebranie wszystkich informacji w inwentarzu (lub rejestrze zasobów). Należy również zwrócić uwagę, kto jest za to odpowiedzialny za aktywa (kto go posiada) i w jakim formacie (dokumenty elektroniczne, bazy danych, dokumenty papierowe, nośniki pamięci itp.).

 

2. Klasyfikacja

Następnie musisz sklasyfikować informacje. Właściciele aktywów są odpowiedzialni za to, ale dobrym pomysłem dla kierownictwa wyższego szczebla jest dostarczenie wytycznych opartych na wynikach oceny ryzyka ISO/IEC 27001 organizacji.

 

Informacje, na które ma wpływ większe ryzyko, powinny generalnie uzyskać wyższy poziom poufności. Bądź jednak ostrożny, ponieważ nie zawsze tak jest. Będą przypadki, w których wrażliwe informacje muszą być udostępniane szerszej grupie osób, aby mogły wykonywać swoją pracę.

 

Organizacje współpracujące z sektorem publicznym i prywatnym zazwyczaj korzystają z dwóch odrębnych systemów klasyfikacji. Pomaga to w rozróżnieniu informacji, które mogą i nie mogą być udostępniane stronom trzecim.

 

3. Etykietowanie

Po zaklasyfikowaniu informacji właściciel zasobu musi utworzyć system do jego oznaczania. Będą potrzebne różne procesy dla informacji przechowywanych cyfrowo i fizycznie, ale system oznaczeń powinien być spójny i przejrzysty, jak to tylko możliwe.

 

4. Obsługa

Na koniec należy ustalić zasady dotyczące ochrony każdej informacji w oparciu o jej klasyfikację i format. Na przykład, możesz powiedzieć, że wewnętrzne papierowe dokumenty powinny być umieszczone w otwartej szafce w części lokalu, do której mają dostęp wszyscy pracownicy, podczas gdy ograniczone dokumenty muszą być umieszczone w zamkniętej szafce, a poufne informacje muszą być przechowywane w bezpiecznym miejscu.

 

Należy ustanowić dodatkowe zasady dotyczące danych przesyłanych - niezależnie od tego, czy są one wysyłane pocztą, wysyłane pocztą elektroniczną, czy też przekazywane w inny sposób

 

Tworzenie polityki klasyfikacji informacji

Klasyfikacja informacji nie wymaga dużej wiedzy eksperckiej w zakresie bezpieczeństwa informacji, ale wymaga dużej koordynacji między działami.

 

Dlatego ważne jest, aby utworzyć politykę klasyfikacji informacji, aby upewnić się, że wszyscy wiedzą, co mają robić. Nie można oczekiwać, że wszyscy natychmiast zapamiętają i będą przestrzegać zasad dotyczących tego, kto może uzyskać dostęp do informacji i co należy zrobić, aby go chronić.

 

Polityka powinna wyjaśniać, dlaczego konieczna jest klasyfikacja informacji, kto jest odpowiedzialny za klasyfikację i etykietowanie oraz prezentować podejście Twojej organizacji do klasyfikacji.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Polityka prywatności