บล็อกความรู้สำหรับ ISO 27001 และ ISO 22301 ในปี 2023

บล็อกความรู้สำหรับ ISO 27001 การจำแนกประเภทของข้อมูลเป็นส่วนที่น่าสนใจที่สุดอย่างหนึ่งของการจัดการความปลอดภัยของข้อมูล แต่ในขณะเดียวกันก็เป็นหนึ่งในส่วนที่เข้าใจผิดมากที่สุด อาจเป็นเพราะข้อเท็จจริงที่ว่าในอดีต การจำแนกประเภทข้อมูลเป็นองค์ประกอบแรกของการรักษาความปลอดภัยข้อมูลที่ได้รับการจัดการ นานก่อนที่จะมีการสร้างคอมพิวเตอร์เครื่องแรก รัฐบาล กองทัพ และองค์กรต่างๆ ก็ระบุว่าข้อมูลของตนเป็นความลับ อย่างไรก็ตาม กระบวนการทำงานยังคงเป็นเรื่องลึกลับ

ดังนั้น ในบทความนี้ ผมจะอธิบายคร่าวๆ ว่าการจัดหมวดหมู่ข้อมูลทำงานอย่างไร และวิธีการทำให้สอดคล้องกับISO 27001ซึ่งเป็นมาตรฐานชั้นนำด้านการรักษาความปลอดภัยข้อมูล แม้ว่าการจัดประเภทสามารถทำได้ตามเกณฑ์อื่นๆ แต่ฉันกำลังจะพูดถึงการจัดประเภทในแง่ของการรักษาความลับ เนื่องจากเป็นการจัดประเภทข้อมูลที่พบได้บ่อยที่สุด

กระบวนการสี่ขั้นตอนในการจำแนกข้อมูลตามมาตรฐาน ISO 27001:
  1. การป้อนสินทรัพย์ในสินค้าคงคลังของสินทรัพย์
  2. การจำแนกประเภทของข้อมูล
  3. การติดฉลากข้อมูล
  4. การจัดการข้อมูล

กระบวนการสี่ขั้นตอนในการจำแนกข้อมูล

แนวปฏิบัติที่ดีในการจำแนกข้อมูลระบุว่าการจัดประเภทควรทำผ่านกระบวนการต่อไปนี้:

 

ซึ่งหมายความว่า: (1) ข้อมูลควรถูกป้อนใน Inventory of Assets (ควบคุม A.5.9 ของ ISO 27001), (2) ควรจัดประเภท (A.5.12), (3) จากนั้นควรติดป้ายกำกับ (A .5.13) และสุดท้าย (4) ควรจัดการด้วยวิธีที่ปลอดภัย (A.5.10)

ในกรณีส่วนใหญ่ บริษัทต่างๆ จะพัฒนานโยบายการจัดประเภทข้อมูลซึ่งควรอธิบายขั้นตอนทั้งสี่นี้สำหรับการจำแนกประเภทข้อมูล – ดูข้อความด้านล่างสำหรับแต่ละขั้นตอนเหล่านี้

โปรดทราบว่ากระบวนการนี้ใช้กับทั้งข้อมูล (ข้อมูลดิบที่บันทึกซึ่งไม่มีความหมายเฉพาะ) และข้อมูล (ความหมายที่คุณให้ และข้อมูลเชิงลึกที่คุณได้รับจากข้อมูล) ในบริบทการจัดหมวดหมู่ ข้อมูลและสารสนเทศโดยทั่วไปจะได้รับการปฏิบัติเหมือนกัน

 

สินค้าคงคลังสินทรัพย์ (ทะเบียนสินทรัพย์)

จุดประสงค์ของการพัฒนารายการสินทรัพย์คือการที่คุณรู้ว่าข้อมูลลับใดที่คุณมีอยู่ในความครอบครองของคุณ และใครเป็นผู้รับผิดชอบข้อมูลนั้น (เช่น ใครคือเจ้าของ)

ข้อมูลจำแนกอาจอยู่ในรูปแบบและประเภทของสื่อต่างๆ เช่น

  • เอกสารอิเล็กทรอนิกส์
  • ระบบสารสนเทศ / ฐานข้อมูล
  • เอกสารกระดาษ
  • สื่อบันทึกข้อมูล (เช่น ดิสก์ การ์ดหน่วยความจำ เป็นต้น)
  • ข้อมูลที่ส่งด้วยวาจา
  • อีเมล

การกำหนดระดับความลับ

การกำหนดระดับความลับสำหรับการจำแนกประเภทข้อมูลมีความสำคัญ เนื่องจากจะช่วยให้องค์กรเข้าใจถึงความสำคัญของข้อมูลแต่ละประเภทสำหรับพวกเขา ยิ่งการจัดหมวดหมู่สูงเท่าใด ข้อมูลก็ยิ่งมีความสำคัญมากขึ้นเท่านั้น และควรพิจารณาทรัพยากรมากขึ้นเพื่อป้องกันข้อมูลนั้น บล็อกความรู้สำหรับ ISO 27001

ISO 27001 ไม่ได้กำหนดระดับของการจำแนกประเภท (กล่าวคือ ไม่มีการจัดประเภทข้อมูลของ ISO 27001 หรือแผนการจัดประเภทข้อมูลของ ISO 27001) – นี่คือสิ่งที่คุณควรพัฒนาขึ้นเอง โดยพิจารณาจากสิ่งที่พบได้ทั่วไปในประเทศของคุณหรือในอุตสาหกรรมของคุณ ยิ่งองค์กรของคุณมีขนาดใหญ่และซับซ้อนมากเท่าใด คุณก็จะมีระดับความลับมากขึ้นเท่านั้น ตัวอย่างเช่น สำหรับองค์กรขนาดกลาง คุณอาจใช้ระดับการจัดประเภทข้อมูลประเภทนี้กับระดับความลับสามระดับและระดับสาธารณะหนึ่งระดับ:

  • ความลับ (ระดับความลับสูงสุด)
  • จำกัด (ระดับความลับปานกลาง)
  • การใช้งานภายใน (ระดับความลับต่ำสุด)
  • สาธารณะ (ทุกคนสามารถดูข้อมูลได้)

ในกรณีส่วนใหญ่ เจ้าของสินทรัพย์มีหน้าที่รับผิดชอบในการจัดประเภทข้อมูล และโดยปกติจะทำโดยอิงจากผลการประเมินความเสี่ยง ยิ่งข้อมูลมีมูลค่าสูงเท่าไร ควรจะเป็น. (ดูเพิ่มเติมที่ISO 27001 Risk Assessment, Treatment, & Management: The Complete Guide )

บ่อยครั้ง บริษัทอาจมีแผนการจำแนกประเภทที่แตกต่างกันสองแบบ หากใช้งานได้ทั้งกับภาครัฐและภาคเอกชน ตัวอย่างเช่น NATO กำหนดให้แบ่งประเภทต่อไปนี้โดยมีระดับความลับสี่ระดับและระดับสาธารณะสองระดับ:

  • ความลับสุดยอดของจักรวาล
  • ความลับของนาโต้
  • ความลับของนาโต้
  • NATO จำกัด
  • NATO ไม่เป็นความลับอีกต่อไป (ลิขสิทธิ์)
  • ข้อมูลที่ไม่ละเอียดอ่อนที่เปิดเผยต่อสาธารณะ

อย่างไรก็ตาม สิ่งสำคัญคือต้องสังเกตว่าในสถานการณ์ที่เฉพาะเจาะจงมาก ซึ่งความสำคัญของข้อมูลเป็นเนื้อเดียวกัน องค์กรสามารถใช้ระดับการจำแนกประเภทเดียวได้ เป็นที่ยอมรับอย่างสมบูรณ์ตามมาตรฐานในการใช้ระดับการรักษาความลับระดับเดียวหรือหลายระดับเป็นการจัดประเภทข้อมูล ISO 27001/โครงสร้างการจัดประเภทข้อมูล ISO 27001

การติดฉลากข้อมูล

เมื่อคุณจัดประเภทข้อมูลแล้ว คุณต้องติดฉลากอย่างเหมาะสม – คุณควรพัฒนาแนวทางสำหรับสินทรัพย์ข้อมูลแต่ละประเภทว่าจำเป็นต้องจัดประเภทอย่างไร – อีกครั้ง ISO 27001 ไม่ได้กำหนดไว้ที่นี่ ดังนั้นคุณสามารถพัฒนากฎของคุณเองได้

ตัวอย่างเช่น คุณสามารถตั้งกฎสำหรับเอกสารที่เป็นกระดาษ เช่น ให้ระบุระดับความลับที่มุมบนขวาของหน้าเอกสารแต่ละหน้า และระบุที่ด้านหน้าปกหรือซองจดหมายที่มีเอกสารดังกล่าวด้วย เช่นเดียวกับในโฟลเดอร์ไฟล์ที่เก็บเอกสาร

การติดฉลากข้อมูลมักเป็นความรับผิดชอบของเจ้าของเนื้อหา

การจัดการสินทรัพย์

โดยปกติจะเป็นส่วนที่ซับซ้อนที่สุดของกระบวนการจัดประเภท คุณควรพัฒนากฎเกี่ยวกับวิธีการปกป้องทรัพย์สินแต่ละประเภทโดยขึ้นอยู่กับระดับของการรักษาความลับ ตัวอย่างเช่น คุณสามารถใช้ตารางที่คุณต้องกำหนดกฎสำหรับการรักษาความลับแต่ละระดับสำหรับสื่อแต่ละประเภท เช่น:

ใช้ภายในถูกจำกัดเป็นความลับ
เอกสารอิเล็กทรอนิกส์
ระบบข้อมูล
เอกสารกระดาษ
สื่อจัดเก็บข้อมูล
ข้อมูลที่ส่งด้วยวาจา
อีเมล

ดังนั้นในตารางนี้ คุณสามารถกำหนดได้ว่าเอกสารกระดาษที่จัดประเภทเป็นจำกัดควรถูกล็อกไว้ในตู้ เอกสารอาจถูกถ่ายโอนภายในและภายนอกองค์กรได้เฉพาะในซองปิด และถ้าส่งภายนอกองค์กร เอกสารจะต้องส่งทางไปรษณีย์โดยมี บริการรับคืนสินค้า.

เช่นเดียวกับก่อนหน้านี้ ISO 27001 ให้อิสระแก่คุณในการกำหนดกฎของคุณเอง ซึ่งโดยปกติแล้วจะถูกกำหนดผ่านนโยบายการจัดประเภทข้อมูลหรือขั้นตอนการจำแนกประเภท

ดังนั้น อย่างที่คุณเห็น กระบวนการจัดหมวดหมู่อาจซับซ้อน แต่ไม่จำเป็นต้องเข้าใจยาก – ISO 27001 ช่วยให้คุณมีอิสระอย่างมาก และคุณควรใช้ประโยชน์จากมันอย่าง

แน่นอน: ปรับกระบวนการทั้งสองให้เข้ากับความต้องการพิเศษของคุณ แต่ในขณะเดียวกันก็ปลอดภัยเพียงพอเพื่อให้คุณมั่นใจได้ว่าข้อมูลที่ละเอียดอ่อนของคุณได้รับการปกป้อง

 

สำหรับองค์กรที่ต้องการ Document and Content Management Solution ที่สมบูรณ์แบบ พร้อม Professional Services ที่มีประสบการณ์ Implement Alfresco มามากกว่า 100 โครงการณ์ สามารถติดขอคำปรึกษากับ K&O Systems

ทั้งนี้บริษัทเคแอนด์โอ จึงได้มุ่งเน้นการจัดการแก้ไขปัญหา จัดการเอกสาร ด้านเอกสารขององค์กรมาอย่างยาวนาน และ ให้ความสำคัญกับด้านงานเอกสาร ต่อลูกค้าเป็นอย่างดี จนถึงปัจจุบันก็ได้ความยอมรับจากองค์กร ขนาดใหญ่ ขนาดกลาง และขนาดเล็กมากมาย จึงใคร่ขออาสาดูและปัญหาด้านเอกสารให้กับองค์กรของท่านอย่างสุดความสามารถ เพราะเราเป็นหนึ่งในธุรกิจ ระบบจัดเก็บเอกสาร ที่ท่านไว้ใจได้

สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์  EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9

สนใจ บทความ หรือ Technology สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699

e-mail cs@ko.in.th หรือ K&O FB / เว็บไซต์หลัก สแกนเพื่อแอด Line พูดคุยตอนนี้

Related Articles