Czym jest klasyfikacja informacji i jak istotna jest ona dla normy ISO

Czym jest klasyfikacja informacji i jak istotna jest ona dla normy ISO 27001?

Klasyfikacja informacji jest procesem, w którym organizacje oceniają posiadane przez siebie dane i poziom ich ochrony.

 

Organizacje zazwyczaj klasyfikują informacje pod względem poufności – tzn: Kto ma dostęp do ich wyświetlania. Najczęściej identyfikowane są cztery poziomy poufności:

  • Poufne (tylko kierownictwo wyższego szczebla ma dostęp)
  • Ograniczony (większość pracowników ma dostęp)
  • Wewnętrzny (wszyscy pracownicy mają dostęp)
  • Publiczny (wszyscy mają dostęp)

 

Jak można się spodziewać, większe i bardziej złożone organizacje będą potrzebowały więcej poziomów. Weźmy na przykład szpitale: lekarze i pielęgniarki potrzebują dostępu do danych z historii medycznej pacjentów, które są bardzo wrażliwe, ale nie powinni mieć dostępu do innych rodzajów informacji, takich jak na przykład dane finansowe szpitala.

 

W takich przypadkach należy utworzyć oddzielny poziom, który uwzględnia określone zadania w pracy.

 

Gdzie mieści się w tym ISO/IEC 27001?

Organizacje, które poważnie podchodzą do ochrony swoich informacji, powinny postępować zgodnie z wytycznymi określonymi w ISO/IEC 27001.

 

Standard opisuje najlepsze praktyki tworzenia i utrzymywania systemu zarządzania bezpieczeństwem informacji, a klasyfikacja informacji odgrywa ważną rolę.

 

Punkt A7.2 w normie nosi tytuł "Klasyfikacja informacji" i zaleca, aby organizacje "zapewniały, że informacje otrzymują odpowiedni poziom ochrony".

 

Standard nie wyjaśnia, jak należy to zrobić, ale proces jest stosunkowo prosty. Musisz tylko wykonać te cztery kroki:

 

1. Wprowadź swoje aktywa do rejestru zasobów

Pierwszym krokiem jest zebranie wszystkich informacji w inwentarzu (lub rejestrze zasobów). Należy również zwrócić uwagę, kto jest za to odpowiedzialny za aktywa (kto go posiada) i w jakim formacie (dokumenty elektroniczne, bazy danych, dokumenty papierowe, nośniki pamięci itp.).

 

2. Klasyfikacja

Następnie musisz sklasyfikować informacje. Właściciele aktywów są odpowiedzialni za to, ale dobrym pomysłem dla kierownictwa wyższego szczebla jest dostarczenie wytycznych opartych na wynikach oceny ryzyka ISO/IEC 27001 organizacji.

 

Informacje, na które ma wpływ większe ryzyko, powinny generalnie uzyskać wyższy poziom poufności. Bądź jednak ostrożny, ponieważ nie zawsze tak jest. Będą przypadki, w których wrażliwe informacje muszą być udostępniane szerszej grupie osób, aby mogły wykonywać swoją pracę.

 

Organizacje współpracujące z sektorem publicznym i prywatnym zazwyczaj korzystają z dwóch odrębnych systemów klasyfikacji. Pomaga to w rozróżnieniu informacji, które mogą i nie mogą być udostępniane stronom trzecim.

 

3. Etykietowanie

Po zaklasyfikowaniu informacji właściciel zasobu musi utworzyć system do jego oznaczania. Będą potrzebne różne procesy dla informacji przechowywanych cyfrowo i fizycznie, ale system oznaczeń powinien być spójny i przejrzysty, jak to tylko możliwe.

 

4. Obsługa

Na koniec należy ustalić zasady dotyczące ochrony każdej informacji w oparciu o jej klasyfikację i format. Na przykład, możesz powiedzieć, że wewnętrzne papierowe dokumenty powinny być umieszczone w otwartej szafce w części lokalu, do której mają dostęp wszyscy pracownicy, podczas gdy ograniczone dokumenty muszą być umieszczone w zamkniętej szafce, a poufne informacje muszą być przechowywane w bezpiecznym miejscu.

 

Należy ustanowić dodatkowe zasady dotyczące danych przesyłanych - niezależnie od tego, czy są one wysyłane pocztą, wysyłane pocztą elektroniczną, czy też przekazywane w inny sposób

 

Tworzenie polityki klasyfikacji informacji

Klasyfikacja informacji nie wymaga dużej wiedzy eksperckiej w zakresie bezpieczeństwa informacji, ale wymaga dużej koordynacji między działami.

 

Dlatego ważne jest, aby utworzyć politykę klasyfikacji informacji, aby upewnić się, że wszyscy wiedzą, co mają robić. Nie można oczekiwać, że wszyscy natychmiast zapamiętają i będą przestrzegać zasad dotyczących tego, kto może uzyskać dostęp do informacji i co należy zrobić, aby go chronić.

 

Polityka powinna wyjaśniać, dlaczego konieczna jest klasyfikacja informacji, kto jest odpowiedzialny za klasyfikację i etykietowanie oraz prezentować podejście Twojej organizacji do klasyfikacji.

Skontaktuj się z nami

Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) informuję, iż:

1) administratorem Pani/Pana danych osobowych jest ISOQAR CEE  Sp. z o.o. ul. Wąwozowa 11, 02-796 Warszawa,

2) Pani/Pana dane osobowe przetwarzane będą w celach marketingowych na podstawie Art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.

3) Pani/Pana dane osobowe przechowywane będą do momentu odwołania zgody

4) odbiorcami Pani/Pana danych osobowych będą wyłącznie podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa oraz podmioty realizujące usługę mass mailingu

5) posiada Pani/Pan prawo do żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania usunięcia lub ograniczenia przetwarzania, prawo do cofnięcia zgody oraz prawo do przenoszenia danych

6) ma Pani/Pan prawo wniesienia skargi do organu` nadzorczego

7) Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach określonych w regulaminie (opcje: subskrypcji, itp.) a konsekwencją takiego przetwarzania będzie otrzymywanie wyselekcjonowanej informacji marketingowej

8) podanie danych osobowych jest dobrowolne, jednakże niepodanie danych może skutkować niemożliwością uczestnictwa w (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Jednocześnie zgodnie z art.6 ust.1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. wyrażam zgodę na przetwarzanie moich danych osobowych w celu (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Regulamin plików cookies