ISO 27002:2022, Kiểm soát 5.12 – Phân loại thông tin

Mục đích của Kiểm soát 5.12

5.12 là biện pháp kiểm soát phòng ngừa giúp xác định rủi ro bằng cách cho phép các tổ chức xác định mức độ bảo vệ cho từng tài sản thông tin dựa trên mức độ quan trọng và nhạy cảm của thông tin.

5.12 cảnh báo rõ ràng các tổ chức về việc phân loại thông tin quá mức hoặc quá thấp trong Hướng dẫn bổ sung. Hướng dẫn này nêu rằng các tổ chức nên tính đến các yêu cầu về tính bảo mật, tính khả dụng và tính toàn vẹn khi họ phân bổ tài sản vào các danh mục có liên quan.

Điều này đảm bảo rằng sơ đồ phân loại tạo ra sự cân bằng phù hợp giữa nhu cầu kinh doanh về thông tin và các yêu cầu bảo mật cho từng loại thông tin.

Thuộc tính của Kiểm soát 5.12

Quyền sở hữu kiểm soát 5.12

Mặc dù cần có sự phân loại toàn tổ chức về các chương trình thông tin với các mức độ phân loại và tiêu chí về cách phân loại tài sản thông tin , nhưng chủ sở hữu tài sản thông tin phải chịu trách nhiệm cuối cùng trong việc thực hiện chương trình phân loại.

5.12 quy định rõ ràng rằng chủ sở hữu tài sản thông tin có liên quan phải chịu trách nhiệm.

Ví dụ, nếu bộ phận kế toán có quyền truy cập vào các thư mục chứa báo cáo bảng lương và sao kê ngân hàng, họ phải phân loại thông tin dựa trên sơ đồ phân loại của toàn tổ chức.

Khi phân loại thông tin, chủ sở hữu tài sản phải tính đến nhu cầu kinh doanh , mức độ tác động của việc xâm phạm thông tin đối với tổ chức và mức độ quan trọng và nhạy cảm của thông tin.

Hướng dẫn chung về Kiểm soát 5.12

Để triển khai chương trình phân loại thông tin mạnh mẽ, các tổ chức nên áp dụng phương pháp tiếp cận theo chủ đề cụ thể, hiểu nhu cầu thông tin của từng đơn vị kinh doanh và xác định mức độ nhạy cảm và tính quan trọng của thông tin.

5.12 yêu cầu các tổ chức phải tính đến bảy tiêu chí sau khi triển khai chương trình phân loại:

• Thiết lập chính sách theo chủ đề cụ thể và giải quyết các nhu cầu kinh doanh cụ thể

5.12 đề cập rõ ràng đến 5.1, Kiểm soát truy cập và yêu cầu các tổ chức tuân thủ các chính sách cụ thể theo chủ đề như được mô tả trong 5.1. Ngoài ra, sơ đồ phân loại và các cấp độ phải tính đến các nhu cầu kinh doanh cụ thể.

• Xem xét nhu cầu kinh doanh về việc chia sẻ và sử dụng thông tin cũng như nhu cầu về tính khả dụng

Nếu bạn chỉ định một tài sản thông tin vào một danh mục phân loại cao hơn không cần thiết, điều này có thể gây ra nguy cơ gián đoạn các chức năng kinh doanh quan trọng của bạn do hạn chế quyền truy cập và sử dụng thông tin.

Do đó, bạn nên cố gắng tìm sự cân bằng giữa nhu cầu kinh doanh cụ thể về tính khả dụng và việc sử dụng thông tin với các yêu cầu về tính bảo mật và toàn vẹn của thông tin đó.

• Xem xét các nghĩa vụ pháp lý

Một số luật có thể áp đặt các nghĩa vụ nghiêm ngặt hơn đối với bạn để đảm bảo tính bảo mật, tính toàn vẹn và tính khả dụng của thông tin. Khi chỉ định tài sản thông tin vào các danh mục, các nghĩa vụ pháp lý phải được ưu tiên hơn phân loại của riêng bạn.

• Hãy áp dụng phương pháp tiếp cận dựa trên rủi ro và xem xét tác động tiềm ẩn của sự thỏa hiệp

Mỗi loại thông tin có mức độ quan trọng khác nhau đối với hoạt động của từng doanh nghiệp và mức độ nhạy cảm khác nhau tùy thuộc vào bối cảnh.

Trong quá trình triển khai chương trình phân loại thông tin, các tổ chức nên hỏi:

Việc xâm phạm tính toàn vẹn, tính sẵn có và tính bảo mật của thông tin này sẽ ảnh hưởng như thế nào đến tổ chức?

Ví dụ, cơ sở dữ liệu về địa chỉ email chuyên nghiệp của khách hàng tiềm năng đủ tiêu chuẩn và hồ sơ sức khỏe của nhân viên có sự khác biệt rất lớn về mức độ nhạy cảm và tác động tiềm ẩn.

• Thường xuyên xem xét và cập nhật phân loại

5.12 lưu ý rằng giá trị, tính quan trọng và độ nhạy cảm của thông tin không phải là tĩnh và có thể thay đổi trong suốt vòng đời của thông tin. Do đó, bạn cần thường xuyên xem xét từng phân loại và thực hiện các cập nhật cần thiết.

Một ví dụ về sự thay đổi đó là 5.12 đề cập đến việc tiết lộ thông tin cho công chúng, điều này làm giảm đáng kể giá trị và tính nhạy cảm của thông tin.

• Tham khảo ý kiến ​​của các tổ chức khác mà bạn chia sẻ thông tin và giải quyết mọi khác biệt

Không có một cách duy nhất để phân loại thông tin và mỗi tổ chức có thể có tên, cấp độ và tiêu chí khác nhau khi phân loại các chương trình thông tin.

Những khác biệt này có thể dẫn đến rủi ro khi hai tổ chức trao đổi tài sản thông tin với nhau. Do đó, bạn cần đưa ra thỏa thuận với đối tác của mình để đảm bảo có sự nhất quán trong việc phân loại thông tin và diễn giải các cấp độ phân loại.

• Sự nhất quán ở cấp độ tổ chức

Mỗi phòng ban trong tổ chức phải có sự hiểu biết chung về các cấp độ và quy trình phân loại để việc phân loại được thống nhất trong toàn bộ tổ chức.

Hướng dẫn về cách triển khai chương trình phân loại thông tin

Mặc dù 5.12 thừa nhận rằng không có một sơ đồ phân loại nào phù hợp với tất cả mọi người và các tổ chức có quyền tự do quyết định và mô tả các cấp độ phân loại riêng lẻ, nhưng nó đưa ra ví dụ sau đây như một sơ đồ phân loại thông tin:

a) Việc tiết lộ không gây hại;

b) Việc tiết lộ gây ra thiệt hại nhỏ về danh tiếng hoặc tác động nhỏ đến hoạt động;

c) Việc tiết lộ có tác động đáng kể trong ngắn hạn đến hoạt động hoặc mục tiêu kinh doanh;

d) Việc tiết lộ thông tin có tác động nghiêm trọng đến các mục tiêu kinh doanh dài hạn hoặc gây nguy cơ cho sự tồn tại của tổ chức.

Những thay đổi và khác biệt so với ISO 27002:2013

Phân loại thông tin đã được đề cập ở phần 8.2.1 trong phiên bản trước.

Mặc dù hai phiên bản này rất giống nhau nhưng vẫn có hai điểm khác biệt chính:

Trong phiên bản cũ, không có tài liệu tham khảo rõ ràng nào về yêu cầu về tính nhất quán của các cấp độ phân loại khi thông tin được chuyển giao giữa các tổ chức.

Tuy nhiên, trong phiên bản 2022, bạn cần phải đưa ra thỏa thuận với đối tác để đảm bảo tính nhất quán trong việc phân loại thông tin và diễn giải các cấp độ phân loại.

Thứ hai, phiên bản mới yêu cầu rõ ràng các tổ chức phải đưa ra các chính sách cụ thể theo chủ đề. Ngược lại, trong phiên bản cũ, chỉ có một tham chiếu ngắn gọn đến kiểm soát truy cập.