HƯỚNG DẪN THỰC HIỆN PHÂN LOẠI THÔNG TIN THEO PHỤ LỤC A.8.2 ISO/IEC 27001:2013

HƯỚNG DẪN THỰC HIỆN PHÂN LOẠI THÔNG TIN THEO PHỤ LỤC A.8.2 ISO/IEC 27001:2013

Phân loại thông loại – Phụ lục A.8.2 về phân loại thông tin. Mục tiêu trong Phụ lục này là đảm bảo rằng thông tin nhận được mức độ bảo vệ thích hợp phù hợp với tầm quan trọng của nó đối với tổ chức (và các bên quan tâm như khách hàng).

Tổng quan về việc thực hiện phân loại thông tin theo phụ lục A.8.2 ISO/IEC 27001:2013?

ẢNH MINH HỌA

A.8.2.1 Phân loại thông tin

  • Thông tin phải được phân loại theo các yêu cầu pháp lý, giá trị, mức độ quan trọng và độ nhạy cảm đối với bất kỳ tiết lộ hoặc sửa đổi trái phép nào, được phân loại lý tưởng để phản ánh hoạt động kinh doanh thay vì ức chế hoặc làm phức tạp nó. Ví dụ, thông tin được công bố công khai, ví dụ trên một trang web có thể chỉ được đánh dấu là ‘công khai’ trong khi thông tin mang tính bảo mật hoặc thương mại là điều hiển nhiên đối với thông tin nhạy cảm hơn công khai.
  • Phân loại thông tin là một trong những biện pháp kiểm soát quan trọng được sử dụng để đảm bảo rằng tài sản được bảo vệ một cách đầy đủ và tương xứng. 
  • Nhiều tổ chức có 3-4 lựa chọn phân loại để cho phép quản lý hiệu quả thông tin có tính đến giá trị và tầm quan trọng của nó. 
  • Tuy nhiên, nó có thể đơn giản hoặc phức tạp theo yêu cầu để đảm bảo mức độ chi tiết chính xác cho việc bảo vệ tài sản. 
  • Hãy nhớ rằng nếu bạn giữ nó thực sự đơn giản và có quá ít phân loại có thể có nghĩa là bạn đã vượt quá hoặc bị kiểm soát kỹ thuật. 
  • Quá nhiều tùy chọn phân loại có thể khiến người dùng cuối bối rối không biết nên áp dụng tùy chọn nào và tạo thêm chi phí trên sơ đồ quản lý. Như với tất cả các kiểm soát, kiểm soát này cần được xem xét thường xuyên để đảm bảo tính phù hợp liên tục cho mục đích.

A.8.2.2 Ghi nhãn thông tin

Một bộ thủ tục thích hợp để ghi nhãn thông tin phải được phát triển và thực hiện phù hợp với sơ đồ phân loại thông tin đã được tổ chức thông qua. Các thủ tục dán nhãn thông tin sẽ cần bao hàm thông tin và các tài sản liên quan ở cả định dạng vật lý và điện tử. Việc ghi nhãn này phải phản ánh sơ đồ phân loại được thiết lập trong 8.2.1. Các nhãn phải dễ nhận biết và dễ quản lý trong thực tế nếu không sẽ không được theo dõi. Ví dụ, có thể dễ dàng hơn để quyết định rằng mọi thứ đều là bí mật trong các hệ thống kỹ thuật số trừ khi được dán nhãn rõ ràng khác, thay vì yêu cầu nhân viên gắn nhãn mọi bản cập nhật CRM bằng một tuyên bố tin cậy!

A.8.2.3 Xử lý tài sản

  • Quy trình xử lý tài sản cần được xây dựng và thực hiện phù hợp với phương án phân loại thông tin. Những điều sau đây cần được xem xét; Các hạn chế truy cập đối với từng cấp độ phân loại; Duy trì hồ sơ chính thức về những người được ủy quyền nhận tài sản; Lưu trữ tài sản CNTT phù hợp với thông số kỹ thuật của nhà sản xuất, đánh dấu phương tiện cho các bên được ủy quyền.
  • Nếu tổ chức xử lý tài sản thông tin cho khách hàng, nhà cung cấp và những người khác, điều quan trọng là phải chứng minh chính sách lập bản đồ, ví dụ: phân loại khách hàng của các bản đồ nhạy cảm chính thức cho tổ chức thương mại của chúng tôi một cách tự tin, hoặc việc phân loại bổ sung sẽ được xử lý theo những cách khác cho thấy nó đang được bảo vệ.

Nội dung

Tại sao phải thực hiện phân loại thông tin theo phụ lục A.8.2 ISO/IEC 27001:2013?

  • Dùng để quản lý tài sản thông tin đảm bảo tính bảo mật, toàn vẹn và sẵn có của tài sản thông tin.
  • Phân loại cung cấp một bản tóm tắt ngắn gọn về cách quản lý và bảo mật kiến ​​thức cho những người xử lý nó. Điều này được tạo điều kiện thuận lợi bằng cách thiết lập các nhóm thông tin có nhu cầu bảo vệ tương tự nhau và xác định các thủ tục bảo mật thông tin áp dụng cho tất cả hoặc một số thông tin trong mỗi nhóm. Cách tiếp cận này loại bỏ nhu cầu đánh giá rủi ro theo từng trường hợp, cũng như thiết kế kiểm soát được cá nhân hóa.
  • Thông tin có thể hết nhạy cảm hoặc quan trọng sau một khoảng thời gian nhất định, ví dụ như khi thông tin được công khai. Các khía cạnh này cần được tính đến, vì việc phân loại quá mức có thể dẫn đến việc thực hiện các kiểm soát không cần thiết dẫn đến chi tiêu bổ sung hoặc ngược lại, việc phân loại quá mức có thể đe dọa việc đạt được các mục tiêu kinh doanh.

Các nội dung chính cần phải có thực hiện phân loại thông tin theo phụ lục A.8.2 ISO/IEC 27001:2013?

Phân hạng tài sản thông tin

Tài sản thông tin được định giá trị dựa vào ba yếu tố:

1. Tính bảo mật (Confidentiality): số người được xem nội dung thông tin.

2. Tính toàn vẹn (Integrity): số người có thẩm quyền thay đổi nội dung thông tin.

3. Tính sẵn có (availability): tính sẵn có của tài sản để thực hiện công việc.

Tiêu chí đánh giá:

 Thấp: 1Trung bình: 2Cao: 3
Tính bảo mậtTất cả nhân viên, khách được xemChỉ có nhân viên được xemChỉ có người được chỉ định mới được xem
Tính toàn vẹnTất cả nhân viên, khách đều có thể chỉnh sửaChỉ có nhân viên được chỉnh sửaChỉ có người được chỉ định mới được chỉnh sửa
Tính sẵn cóCó thể gián đoạn trong thời gian hơn 1 ngàyCó thể gián đoạn trong thời gian ngắn trong 1 ngàyKhông được gián đoạn.

Giá trị thông tin được tính:

Giá trị = Bảo mật (1-3) + Toàn vẹn (1-3) + Sẵn có (1-3)

Phân hạng:

HạngKhông bảo mậtBảo mật thấpBảo mậtBảo mật cao
Giá trị3456789

Dán nhãn thông tin

Tùy theo từng loại tài sản thông tin đã được phân hạng mà tiến hành dán nhãn nhận dạng phù hợp.

1. Với hồ sơ, tài liệu thì dán nhãn ngay bìa hồ sơ.

2. Với thông tin là dữ liệu, phần mềm ứng dụng thì sẽ nhận dạng trên vật chứa như:máy tính, thiết bị lưu trữ,…

3. Đối với tài sản thông tin là thiết bị phần cứng thì dán nhãn nhận dạng trên thiết bị đó.

Xử lý tài sản

Việc xử lý tài sản căn cứ vào hạng của tài sản

Làm thế nào để soạn thảo bảng thực hiện phân loại thông tin theo phụ lục A.8.2 ISO/IEC 27001:2013?

Kiểm soát

Thông tin phải được phân loại dựa trên các quy định pháp luật, tính nghiêm trọng và tính dễ bị tổn thương đối với việc phát hành hoặc thay đổi không mong muốn

Các phân loại và các biện pháp

Bảo mật thông tin liên quan cũng sẽ bao gồm các tiêu chuẩn quy định, có tính đến nhu cầu của thị trường đối với việc chia sẻ hoặc hạn chế thông tin. Các tài sản khác ngoài thông tin cũng có thể được phân loại theo cách phân loại thông tin được lưu trữ, xử lý, nếu không sẽ được xử lý hoặc bảo vệ bởi tài sản đó. Chủ sở hữu tài sản thông tin sẽ chịu trách nhiệm về phân loại của họ.

Hệ thống phân loại

Sẽ bao gồm các tiêu chuẩn phân loại, cũng như các hướng dẫn phân tích phân loại theo thời gian. Mức độ bảo mật được tìm thấy trong hệ thống sẽ được xác định bằng cách đánh giá tính bảo mật, tính toàn vẹn và tính khả dụng cũng như tất cả các thông số kỹ thuật thông tin khác đang được xem xét. Lược đồ phải phù hợp với chính sách về kiểm soát truy cập

Đề án sẽ phù hợp với chính sách về quản lý truy cập. 

Mỗi cấp độ phải được đặt một tên phù hợp cho việc áp dụng sơ đồ phân loại. Đề án phải nhất quán trong toàn tổ chức để đảm bảo rằng mọi người đều phân loại thông tin và các tài sản liên quan theo cách giống nhau, có hiểu biết chung về các tiêu chuẩn bảo mật và áp dụng biện pháp bảo vệ thích hợp.

Việc phân loại

Phải là một phần trong các quá trình của tổ chức và phải nhất quán trong toàn tổ chức. Kết quả phân loại có thể nêu bật tầm quan trọng của tài sản, tùy thuộc vào độ nhạy cảm và mức độ quan trọng của chúng đối với tổ chức, ví dụ về tính bảo mật, tính toàn vẹn và tính sẵn có. Các kết quả phân loại cần được sửa đổi để phản ánh những thay đổi về tầm quan trọng, khả năng đáp ứng và mức độ quan trọng của chúng trong suốt vòng đời của chúng.

Trách nhiệm soạn thảo và phê duyệt thực hiện phân loại thông tin theo phụ lục A.8.2 ISO/IEC 27001:2013?

  • Trách nhiệm soạn thảo tài liệu
  • Quy trình thực hiện phân loại HTQLANTT theo ISO 27001:2013
  • Sẽ do thư ký ISO soạn, trưởng ban ISO sẽ kiểm tra.
  • Lãnh đạo cao nhất sẽ là người phê duyệt, ký đóng dấu và ban hành nội bộ.

Thực hiện phân loại thông tin theo phụ lục A.8.2 ISO/IEC 27001:2013 được phổ biến áp dụng như thế nào?

  • Việc phân loại và các biện pháp bảo mật thông tin liên quan
  • Phải bao gồm các tiêu chuẩn quy định phản ánh nhu cầu chia sẻ
  • Và hạn chế thông tin của thị trường. 
  • Tương tự, các tài sản khác ngoài thông tin có thể được phân loại
  • Theo cách tài sản lưu trữ, xử lý, xử lý hoặc bảo vệ thông tin. 
  • Chủ sở hữu tài sản thông tin có trách nhiệm phân loại tài sản của họ.
  • Cuối cùng nó sẽ bao gồm các tiêu chuẩn để phân loại
  • Cũng như các hướng dẫn để phân tích phân loại. 
  • Để xác định mức độ bảo mật của hệ thống
  • Tất cả các yêu cầu thông tin sẽ được đánh giá
  • Bao gồm tính bảo mật, tính toàn vẹn và tính khả dụng. 
  • Chính sách kiểm soát truy cập phải phù hợp với sơ đồ
  • Đề án sẽ tuân thủ chính sách quản lý truy cập. 
  • Mỗi cấp độ phân loại nên được đặt một tên phù hợp với ứng dụng của nó. 
  • Đề án phải nhất quán trong toàn tổ chức
  • Để đảm bảo mọi người đều xử lý thông tin
  • Và các tài sản liên quan theo cùng một cách, hiểu các tiêu chuẩn bảo mật
  • Và áp dụng các biện pháp bảo mật thích hợp.
  • Điều quan trọng là phân loại 1 phần của các quy trình của tổ chức, nhất quán. 
  • Tùy thuộc vào mức độ nhạy cảm
  • Và mức độ quan trọng của tài sản đối với tổ chức
  • Kết quả phân loại có thể chỉ ra tầm quan trọng của chúng. 

Mẫu thực hiện phân loại thông tin theo phụ lục A.8.2 ISO/IEC 27001:2013 tham khảo?

Danh sách tài sản thông tin tham khảo:

MẪU VÍ DỤ

Tóm lược và khẳng định yêu cầu của việc thực hiện phân loại thông tin theo phụ lục A.8.2 ISO/IEC 27001:2013?

  • Hệ thống phân loại cung cấp một cái nhìn tổng quan ngắn gọn
  • Cho những người xử lý kiến ​​thức về quản lý và bảo mật nó. 
  • Để tạo điều kiện thuận lợi cho việc này
  • Thông tin được tổ chức thành các nhóm thông tin giống nhau
  • Và các thủ tục an toàn thông tin được thực hiện
  • Áp dụng cho một phần cụ thể hoặc tất cả nhóm đó. 
  • Với phương pháp này, việc đánh giá rủi ro có thể được thực hiện
  • Theo từng trường hợp cụ thể cũng như tránh được việc thiết kế các biện pháp kiểm soát riêng lẻ.