Skip to main content

5.13 Oznaczanie informacji

Cel

Zapewnienie, że informacje są oznaczane zgodnie z ich klasyfikacją, co umożliwia ich właściwą ochronę, kontrolę dostępu oraz automatyzację procesów zarządzania informacją.

Wymagania

Organizacja powinna:

  • Opracować i wdrożyć procedury oznaczania informacji zgodnie z przyjętym schematem klasyfikacji.
  • Określić standardowe metody oznaczania, takie jak:
    • nagłówki i stopki w dokumentach,
    • etykiety na nośnikach danych,
    • metadane w systemach informatycznych,
    • znakowanie wodne (watermarking),
    • stemple fizyczne i cyfrowe.
  • Zapewnić, że oznaczenia są łatwo rozpoznawalne i stosowane w całej organizacji.
  • Ustanowić zasady dotyczące wyjątków, np. sytuacji, w których oznaczanie nie jest wymagane lub nie jest możliwe z powodów technicznych.

Wdrożenie

  • Opracować jednolitą metodologię oznaczania dokumentów, plików, baz danych i innych zasobów informacyjnych.
  • Wdrożyć automatyczne oznaczanie informacji w systemach IT, w tym w systemach zarządzania dokumentacją i przetwarzania informacji.
  • Zapewnić, że metadane stosowane w oznaczaniu umożliwiają efektywne wyszukiwanie informacji oraz wspierają mechanizmy kontroli dostępu.
  • Określić procedury przypisywania metadanych do informacji oraz sposoby ich wykorzystania zgodnie z architekturą IT organizacji.
  • Ustalić zasady oznaczania informacji przy ich wymianie między organizacjami oraz sposoby interpretacji klasyfikacji stosowanych przez inne podmioty.
  • Przeprowadzać szkolenia dla pracowników w zakresie oznaczania informacji oraz interpretacji etykiet klasyfikacyjnych.

Przegląd i aktualizacja

  • Regularnie weryfikować skuteczność oznaczania informacji poprzez audyty i przeglądy zgodności.
  • Aktualizować zasady oznaczania w odpowiedzi na zmiany technologiczne, organizacyjne i regulacyjne.
  • Analizować ryzyko związane z oznaczaniem informacji, w tym możliwość identyfikacji wartościowych danych przez podmioty nieuprawnione.
  • Zapewnić, że systemy IT chronią dane zgodnie z najwyższym poziomem klasyfikacji zawartych informacji, a w momencie eksportu oznaczają je odpowiednimi etykietami.

Odpowiednie oznaczanie informacji pozwala na skuteczniejsze zarządzanie dostępem, ochronę przed nieautoryzowanym ujawnieniem i zgodność z wymaganiami prawnymi, jednocześnie wspierając efektywność operacyjną organizacji.