Professional Documents
Culture Documents
Ngoài ra, quyền sở hữu (xem I.1.2) và phân loại thông tin (xem I.2) cần được thỏa thuận và tài liệu
hóa cho từng tài sản. Dự trên tầm quan trọng, giá trị kinh doanh và phân loại an ninh của tài sản, các
mức bảo vệ xứng với tầm quan trọng của tài sản phải được xác định (Thông tin khác về việc làm thế
nào đánh giá tài sản để thể hiện tầm quan trọng có thể được tìm thấy trong ISO/IEC TR 13335-3).
soát sản phẩm, phát triển, bảo dưỡng, sử dụng và an ninh cho tài sản. Thuật ngữ “Người chiếm hữu”
không có nghĩa là cá nhân đó thực sự có quyền sở hữu đối với tài sản.
I.2 Phân loại thông tin
Mục tiêu: Nhằm đảm bảo rằng thông tin nhận được mức bảo vệ thích hợp.
Thông tin phải được phân loại để xác định sự cần thiết, độ ưu tiên, và mức độ bảo vệ cần có khi xử
lý thông tin.
Thông tin có nhiều mức độ nhạy cảm và quan trọng khác nhau. Một số thông tin có thể yêu cầu một
mức bảo vệ bổ sung hay cách xử lý đặc biệt. Phải được dùng một sơ đồ phân loại thông tin để xác
định một tập hợp các mức bảo vệ và truyền đạt sự cần thiết của các biện pháp xử lý đặc biệt.
I.2.1 Hướng dẫn phân loại
Biện pháp kiểm soát
Thông tin phải được phân loại theo giá trị, các yêu cầu pháp luật, độ nhạy cảm, và tầm quan trọng
đối với tổ chức.
Hướng dẫn thực hiện
Phân loại và các kiểm soát liên quan cho thông tin cần tính đến các nhu cầu kinh doanh trong việc
chia sẻ hay hạn chế thông tin và các ảnh hưởng kinh doanh liên kết đến các nhu cầu đó.
Hướng dẫn phân loại nên bao gồm các quy ước để khởi tạo phân loại và phân loại lại theo thời gian;
phù hợp với các chính sách kiểm soát truy cập đã được định trước (xem 11.1.1).
Người chiếm hữu (xem I.1.2) tài sản phải có trách nhiệm xác định sự phân loại tài sản, xem xét định
kỳ, đảm bảo luôn cập nhật và ở mức thích hợp. Sự phân loại phải tính đến ảnh hưởng kết hợp được
đề cập trong 10.7.2.
Xem xét sử dụng một số hạng mục phân loại và những lợi ích tăng lên từ việc sử dụng chúng. Các sơ
đồ phân loại quá phức tạp có thể trở nên cồng kềnh và không kinh tế để ứng dụng hay phi thực tế.
Phải quan tâm thực hiện việc diễn giải các nhãn phân loại tài liệu từ các tổ chức khác, có thể có các
cách xác định khác, giống hay tương tự việc đặt tên dán nhãn.
Thỏa thuận với những tổ chức khác về việc chia sẻ thông tin cần bao gồm các thủ tục để định rõ sự
phân loại cho thông tin đó và để làm sáng tỏ các nhãn phân loại từ các tổ chức khác.