Klasyfikacja informacji jest procesem, w którym organizacje oceniają posiadane przez siebie dane i określają wymagany poziom ich ochrony.
Organizacje zazwyczaj klasyfikują informacje pod względem poufności, określając, kto ma do nich dostęp. Najczęściej wyróżnia się cztery poziomy poufności:
Jak można się spodziewać, większe i bardziej złożone organizacje będą potrzebować większej liczby poziomów klasyfikacji informacji. Weźmy na przykład szpitale: lekarze i pielęgniarki potrzebują dostępu do danych z historii medycznej pacjentów, które są bardzo wrażliwe, ale nie powinni mieć dostępu do innych rodzajów informacji, takich jak na przykład dane finansowe szpitala.
W takich przypadkach należy utworzyć oddzielny poziom, który uwzględnia określone zadania w pracy.
Gdzie mieści się w tym ISO/IEC 27001?
Organizacje, które poważnie podchodzą do ochrony informacji, powinny postępować zgodnie z wytycznymi określonymi w ISO/IEC 27001.
Standard opisuje najlepsze praktyki tworzenia, utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji, a klasyfikacja informacji odgrywa ważną rolę.
Punkt A 7.2 w normie nosi tytuł "Klasyfikacja informacji" i zaleca, aby organizacje "zapewniały, że informacje otrzymują odpowiedni poziom ochrony".
Standard nie precyzuje, jak dokładnie to zrobić, ale proces jest stosunkowo prosty. Wystarczy przejść przez cztery następujące kroki:
1. Wprowadź swoje aktywa do rejestru zasobów
Pierwszym krokiem jest zebranie wszystkich informacji w inwentarzu (lub rejestrze zasobów). Należy również zwrócić uwagę kto jest za odpowiedzialny za aktywa (kto je posiada) i w jakim formacie (dokumenty elektroniczne, bazy danych, dokumenty papierowe, nośniki pamięci itp.).
2. Klasyfikacja
Następnie należy przeprowadzić klasyfikację informacji. Właściciele zasobów są odpowiedzialni za ten proces, ale zaleca się, aby kierownictwo wyższego szczebla dostarczyło wytyczne oparte na wynikach oceny ryzyka ISO/IEC 27001 organizacji.
Informacje, które niosą większe ryzyko, zazwyczaj powinny otrzymać wyższy poziom poufności. Jednak należy zachować ostrożność, ponieważ nie zawsze jest to regułą. Mogą wystąpić sytuacje, w których wrażliwe informacje muszą być udostępnione większej liczbie osób, aby mogły wykonywać swoje obowiązki.
Organizacje współpracujące zarówno z sektorem publicznym, jak i prywatnym, często stosują dwa oddzielne systemy klasyfikacji. To pomaga w odróżnianiu informacji, które mogą lub nie mogą być udostępniane stronom trzecim.
3. Etykietowanie
Po sklasyfikowaniu informacji, właściciel zasobu musi utworzyć system oznaczeń. Będą potrzebne różne procesy dla informacji przechowywanych w formie cyfrowej i fizycznej, ale system oznaczeń powinien być spójny i jak najbardziej przejrzysty.
4. Obsługa
Na zakończenie, należy ustalić zasady dotyczące ochrony informacji, opierając się na jej klasyfikacji i formacie, w którym jest przechowywana. Na przykład, można określić, że wewnętrzne dokumenty w formie papierowej będą przechowywane w otwartej szafce na obszarze dostępnym dla wszystkich pracowników, podczas gdy dokumenty o ograniczonym dostępie powinny być umieszczone w zamkniętym pomieszczeniu, do którego dostęp mają wyłącznie upoważnione osoby.
Należy również ustalić dodatkowe zasady dotyczące przesyłania danych - niezależnie od tego, czy są one wysyłane pocztą, przekazywane drogą elektroniczną czy przekazywane w inny sposób.
Tworzenie polityki klasyfikacji informacji
Klasyfikacja informacji nie wymaga dużej wiedzy eksperckiej w zakresie bezpieczeństwa informacji, ale wymaga dużej koordynacji między działami.
Dlatego ważne jest, aby utworzyć politykę klasyfikacji informacji, aby upewnić się, że wszyscy wiedzą, co mają robić. Nie można oczekiwać, że wszyscy natychmiast zapamiętają i będą przestrzegać zasad dotyczących tego, kto może uzyskać dostęp do informacji i co należy zrobić, aby go chronić.
Polityka powinna wyjaśniać, dlaczego konieczna jest klasyfikacja informacji, kto jest odpowiedzialny za klasyfikację i etykietowanie oraz prezentować podejście Twojej organizacji do klasyfikacji.
System zarządzania bezpieczeństwem informacji ISO/IEC 27001
Jeśli chcą Państwo dowiedzieć się więcej na temat systemu zarządzania bezpieczeństwem informacji zachęcamy do skorzystania z naszej oferty szkoleń, która dostępna jest na stronie internetowej.
ISOQAR świadczy również akredytowane usługi w zakresie certyfikacji ISO/IEC 27001 i norm powiązanych. Jeśli mają Państwo dodatkowe pytania lub chcieliby uzyskać ofertę, serdecznie zachęcamy do kontaktu za pośrednictwem formularza kontaktowego lub telefonicznie pod numerem 22 649 76 64.