Skip to main content

5.12 Klasyfikacja informacji

Cel

Zapewnienie identyfikacji i zrozumienia potrzeb ochrony informacji zgodnie z jej znaczeniem dla organizacji, w kontekście poufności, integralności i dostępności.

Wymagania

Organizacja powinna:

  • Określić politykę dotyczącą klasyfikacji informacji i komunikować ją wszystkim zainteresowanym stronom.
  • Uwzględnić wymagania dotyczące poufności, integralności i dostępności informacji w schemacie klasyfikacji.
  • Przyjąć klasyfikację i powiązane środki ochrony zgodnie z potrzebami biznesowymi dotyczącymi udostępniania i ochrony informacji.
  • Ustalić konwencje klasyfikacyjne i kryteria przeglądu klasyfikacji w czasie.
  • Powiązać klasyfikację informacji z polityką kontroli dostępu.
  • Zapewnić, że klasyfikacja jest jednolita w całej organizacji i ujęta w procedurach operacyjnych.
  • Ustalona klasyfikacja powinna umożliwiać identyfikację poziomu wpływu ujawnienia informacji na organizację.

Wdrożenie

  • Wdrożyć klasyfikację informacji w ramach systemu zarządzania bezpieczeństwem informacji (ISMS).
  • Przypisać odpowiedzialność właścicielom informacji za ich klasyfikację.
  • Regularnie przeglądać klasyfikację i aktualizować ją w zależności od wartości, wrażliwości i krytyczności informacji.
  • Opracować i wdrożyć procedury dla sytuacji wymiany informacji między organizacjami, w tym metody interpretacji klasyfikacji zewnętrznych partnerów.

Przykładowe poziomy klasyfikacji poufności

Organizacja może przyjąć następujące poziomy klasyfikacji informacji:

  • Niski poziom – ujawnienie nie powoduje szkód.
  • Średni poziom – ujawnienie może powodować drobne straty reputacyjne lub operacyjne.
  • Wysoki poziom – ujawnienie może mieć istotny krótkoterminowy wpływ na działalność.
  • Krytyczny poziom – ujawnienie może zagrozić długoterminowym celom biznesowym lub istnieniu organizacji.

Przegląd i aktualizacja

  • Polityka klasyfikacji powinna być regularnie aktualizowana w odpowiedzi na zmiany organizacyjne, technologiczne i prawne.
  • Przegląd klasyfikacji powinien obejmować ocenę adekwatności środków ochrony dla każdej kategorii informacji.

Prawidłowa klasyfikacja informacji pozwala na skuteczniejsze zarządzanie ryzykiem i dostosowanie środków ochrony do rzeczywistych potrzeb organizacji.