8.2 信息分級

8.2 信息分級

8.2.1信息的分級

控制
信息宜按照法律要求、價值、重要性及其對未授權泄露或修改的敏感性進行分級。
實現指南
信息的分級及相關保護控制宜考慮到共享或限制信息的業務需求和法律要求。非信息類的資產的分級也可與該資產存儲、處理或保護的信息分級保持一致。
信息資產的擁有者宜對其分級負責。
分級方案宜包含當時的分級規則和當時的分級評審準則。宜通過分析考慮到的信息的保密性、完整性和可用性以及其他任何要求，以評估方案的保護級別。該方案宜與訪問控制策略一致（見9.1.1）。
宜命名每個不同的級別，以便給出在該分級方案應用語境中的含義。
方案宜在整個組織中保持一致，以便每個人以同樣的方式對信息和相關資產進行分級，對保護要求有相同的理解，并應用適當的保護。
組織的過程宜包含分級，并在組織中保持一致和協調。分級的結果宜體現資產的價值，該價值取決于資產對組織的敏感性和重要性，例如，依據保密性、完整性和可用性。分級結果宜根據資產在其生命周期中的價值、敏感性和重要性的變化進行更新。
其他信息
分級為處理信息的人員提供如何處理和保護信息的簡明指示。將有相似保護需求的信息分組，并規定適用于每個組中所有信息的信息安全規程，有助于分級。這一途徑減少了逐項的風險評估和客戶化控制設計的需求。
在一段時間后，信息可能不再是敏感的或關鍵的，例如，當該信息已經公開時。這些方面宜予以考慮，因為過多的分級致使實現不必要的控制，從而導致附加成本，相反，若缺乏有效的分級，就可能損害業務目標的實現。
以下給出了一個四級信息保密性分級方案示例：
a) 泄露不造成損害；
b) 泄露造成輕微的困境或操作不便；
c) 泄露對于運行和戰術目標造成重大的短期影響；

8.2.2信息的標記

控制
宜按照組織采用的信息分級方案，制定并實現一組適當的信息標記規程。
實現指南
信息標記的規程需要涵蓋物理和電子格式的信息及其相關資產。該標記宜反映8.2.1中所建立的分級方案。標記宜易于識別。該規程宜考慮信息被訪問的方式或資產根據其介質類型被處理的方式，對標記的位置和方式給出指導。該規程可規定省略標記的情形，例如省略非保密信息的標記，以減少工作量。宜使員工和合同方了解標記規程。
包含分級為敏感或關鍵信息的系統輸出宜帶有合適的分級標記。
其他信息
分級信息的標記是實現信息共享的一個關鍵要求。物理標簽和元數據標簽是常見的標記形式。

8.2.3資產的處理

控制
宜按照組織采用的信息分級方案，制定并實現資產處理規程。
實現指南
宜建立信息操作、處理、存儲和傳輸的規程，并與其分級（見8.2.1）保持一致。
宜考慮以下：
a) 支持每個級別的保護要求的訪問限制;
b) 對資產授權接受者的正式記錄的維護；
c) 對信息的臨時或永久拷貝的保護，與原始信息的保護級別一致；
d) 符合制造商說明書的IT資產存儲；
e) 清晰地標記介質的所有拷貝，以便引起已授權接受者的關注。
不同組織的分級方案可能不盡相同，即使其分級名稱相似。另外，在組織間傳遞的信息的分級根據其在不同組織的情境可能發生變化，即使分級方案完全相同。