تصنيف المعلومات ضمن معيار آيزو 27001
يعد تصنيف المعلومات بالتأكيد أحد أكثر الأجزاء جاذبية في إدارة أمن المعلومات ، ولكنه في نفس الوقت أحد أكثر الأجزاء التي يساء فهمها. ربما يرجع هذا إلى حقيقة أن تصنيف المعلومات تاريخيًا كان العنصر الأول لأمن المعلومات الذي كان يتم إدارته - قبل وقت طويل من إنشاء الكمبيوتر الأول ، صنفت الحكومات والجيش وكذلك الش...
يعد تصنيف المعلومات بالتأكيد أحد أكثر الأجزاء جاذبية في إدارة أمن المعلومات ، ولكنه في نفس الوقت أحد أكثر الأجزاء التي يساء فهمها. ربما يرجع هذا إلى حقيقة أن تصنيف المعلومات تاريخيًا كان العنصر الأول لأمن المعلومات الذي كان يتم إدارته - قبل وقت طويل من إنشاء الكمبيوتر الأول ، صنفت الحكومات والجيش وكذلك الشركات معلوماتهم على أنها سرية. ومع ذلك ، فإن عملية كيفية عملها ظلت إلى حد ما لغزا.
لذلك ، في هذه المقالة سنقدم لك مخططًا تفصيليًا لكيفية عمل تصنيف المعلومات ، وكيفية جعله متوافقًا مع ISO 27001 ، وهو المعيار الرائد لأمن المعلومات. على الرغم من أنه يمكن إجراء التصنيف وفقًا لمعايير أخرى ، إلا أننا سنتحدث عن التصنيف من حيث السرية ، لأن هذا هو النوع الأكثر شيوعًا لتصنيف المعلومات.
العملية المكونة من أربع خطوات لتصنيف المعلومات وفقًا لمعيار ISO 27001:
1 - إدخال الأصل في جرد الأصول
2 - تصنيف المعلومات
3 - توسيم المعلومات
4 - معالجة المعلومات
عملية من أربع خطوات لتصنيف المعلومات
تشير الممارسة الجيدة لتصنيف المعلومات إلى أن التصنيف يجب أن يتم من خلال العملية التالية:
(1) يجب إدخال المعلومات في جرد الأصول (التحكم A.5.9 من ISO 27001)
(2) يجب أن يصنف (أ / 5/12).
(3) ثم يجب أن يكون مكتوب عليه (A.5.13) ، وأخيرًا
(4) يجب التعامل معها بطريقة آمنة (أ / 5/10).
في معظم الحالات ، ستقوم الشركات بتطوير سياسة تصنيف المعلومات ، والتي يجب أن تصف كل هذه الخطوات الأربع لتصنيف المعلومات - انظر النص أدناه لكل خطوة من هذه الخطوات.
يرجى ملاحظة أن هذه العملية تنطبق على كل من البيانات (المواد الخام المسجلة التي ليس لها معنى محدد) والمعلومات (المعنى الذي تعطيه ، والرؤى التي تحصل عليها من البيانات). في سياق التصنيف ، يتم التعامل مع البيانات والمعلومات بشكل عام بالطريقة نفسها.
جرد الأصول (سجل الأصول)
الهدف من تطوير جرد الأصول هو أنك تعرف المعلومات السرية التي بحوزتك ، ومن المسؤول عنها (أي من هو المالك).
يمكن أن تكون المعلومات المصنفة بأشكال وأنواع مختلفة من الوسائط ، على سبيل المثال:
المستندات الإلكترونية
نظم المعلومات / قواعد البيانات
المستندات الورقية
وسائط التخزين (مثل الأقراص وبطاقات الذاكرة وما إلى ذلك)
تنتقل المعلومات شفهيا
بريد إلكتروني
تحديد مستويات السرية
يعد تحديد مستويات السرية لتصنيف المعلومات أمرًا مهمًا لأنه يساعد المؤسسات على فهم أهمية كل نوع من المعلومات بالنسبة لهم. وكلما ارتفع التصنيف ، زادت أهمية المعلومات ، ومن ثم ينبغي النظر في المزيد من الموارد لحمايتها.
لا تحدد ISO 27001 مستويات التصنيف (أي لا يوجد تصنيف معلومات ISO 27001 ولا مخططات تصنيف بيانات ISO 27001) - هذا شيء يجب عليك تطويره بنفسك ، بناءً على ما هو شائع في بلدك أو في مجالك. كلما كانت مؤسستك أكبر وأكثر تعقيدًا ، زادت مستويات السرية لديك - على سبيل المثال ، بالنسبة لمنظمة متوسطة الحجم ، يمكنك استخدام هذا النوع من مستويات تصنيف المعلومات مع ثلاثة مستويات سرية ومستوى عام واحد:
سري (أعلى مستوى من السرية)
مقيد (مستوى سري متوسط)
الاستخدام الداخلي (أدنى مستوى من السرية)
عام (يمكن للجميع رؤية المعلومات)
في معظم الحالات ، يكون مالك الأصل مسؤولاً عن تصنيف المعلومات - ويتم ذلك عادةً بناءً على نتائج تقييم المخاطر: كلما زادت قيمة المعلومات (كلما زادت نتيجة انتهاك السرية) ، ارتفع مستوى التصنيف يجب ان يكون. (راجع أيضًا ISO 27001 لتقييم المخاطر ومعالجتها وإدارتها: الدليل الكامل.)
في كثير من الأحيان ، قد يكون لدى الشركة مخططا تصنيف مختلفان إذا كانت تعمل مع الحكومة والقطاع الخاص. على سبيل المثال ، يتطلب الناتو التصنيف التالي بأربعة مستويات سرية ومستويين عامين:
السري و الخاص جداً
السري
السري و الخاص
المقيد
الغير مصنف (حقوق النشر)
المعلومات غير الحساسة التي يمكن نشرها للجمهور
ومع ذلك ، من المهم ملاحظة أنه في حالات محددة للغاية ، حيث تكون أهمية المعلومات متجانسة ، يمكن للمنظمات اعتماد مستوى تصنيف واحد. من المقبول تمامًا وفقًا للمعيار استخدام مستويات سرية فردية أو متعددة كتصنيف معلومات ISO 27001 / هيكل تصنيف بيانات ISO 27001.
وسم المعلومات
بمجرد تصنيف المعلومات ، فأنت بحاجة إلى تصنيفها بشكل مناسب - يجب عليك تطوير الإرشادات لكل نوع من أنواع أصول المعلومات حول كيفية تصنيفها - مرة أخرى ، ISO 27001 ليس إلزاميًا هنا ، لذا يمكنك تطوير القواعد الخاصة بك.
على سبيل المثال ، يمكنك تعيين القواعد الخاصة بالمستندات الورقية بحيث تتم الإشارة إلى مستوى السرية في الزاوية اليمنى العليا من كل صفحة مستند ، كما يجب الإشارة إليه في مقدمة الغلاف أو المغلف الذي يحمل مثل هذا المستند ، وكذلك في مجلد الملفات الذي تم تخزين المستند فيه.
عادة ما يكون تصنيف المعلومات من مسؤولية مالك الأصل.
التعامل مع الأصول
عادة ما يكون هذا هو الجزء الأكثر تعقيدًا في عملية التصنيف - يجب عليك تطوير قواعد حول كيفية حماية كل نوع من الأصول اعتمادًا على مستوى السرية. على سبيل المثال ، يمكنك استخدام جدول يجب أن تحدد فيه القواعد لكل مستوى من مستويات السرية لكل نوع من أنواع الوسائط ، على سبيل المثال:
| الاستخدام الداخلي | سري جداً | سري | |
| المستندات الإلكترونية | |||
| نظم المعلومات | |||
| المستندات الورقية | |||
| وسائط التخزين | |||
| المعلومات المنقولة شفهيا | |||
| البريد الإلكتروني |
لذلك في هذا الجدول ، يمكنك تحديد المستندات الورقية المصنفة على أنها مقيدة يجب أن تكون مقفلة في خزانة ، ويمكن نقل المستندات داخل وخارج المؤسسة فقط في مظروف مغلق ، وإذا تم إرسالها خارج المنظمة ، يجب إرسال المستند بالبريد مع خدمة إيصال الإرجاع.
كما في السابق ، تتيح لك ISO 27001 حرية تعيين القواعد الخاصة بك ، ويتم تحديد ذلك عادةً من خلال سياسة تصنيف المعلومات ، أو إجراءات التصنيف.
لذلك ، كما ترى ، قد تكون عملية التصنيف معقدة ، لكن لا يجب أن تكون غير مفهومة - تمنحك ISO 27001 حرية كبيرة ، ويجب عليك بالتأكيد الاستفادة منها: اجعل العملية تتكيف مع احتياجاتك الخاصة ، ولكن في نفس الوقت آمن بدرجة كافية بحيث يمكنك التأكد من حماية معلوماتك الحساسة.
