Klasifikasi Informasi Menurut ISO 27001

Bagaimana Mengklasifikasikan Informasi Menurut ISO 27001

Klasifikasi informasi tentu saja merupakan salah satu bagian paling menarik dari manajemen keamanan informasi, tetapi saat yang bersamaan, jadi salah satu hal yang sering disalahpahami. Ini mungkin disebabkan oleh fakta bahwa secara historis, klasifikasi informasi adalah elemen pertama dari keamanan informasi yang sedang dikelola jauh sebelum komputer pertama dibangun, pemerintah, militer, tetapi juga perusahaan melabeli informasi mereka sebagai rahasia. Namun, proses tentang cara kerjanya tetap menjadi misteri.

Jadi, dalam artikel ini akan dijabarkan garis besar tentang cara kerja klasifikasi informasi, dan bagaimana membuatnya sesuai dengan ISO 27001, standar keamanan informasi terkemuka. Meskipun klasifikasi dapat dibuat sesuai dengan kriteria lain, saya akan berbicara tentang klasifikasi dalam hal kerahasiaan, karena ini adalah jenis klasifikasi informasi yang paling umum.

 

Empat Langkah Proses untuk Mengklasifikasikan Informasi Menurut ISO 27001:

  1. Memasukkan aset dalam Inventarisasi Aset
  2. Klasifikasi informasi
  3. Pelabelan informasi
  4. Penanganan informasi

 

Dalam kebanyakan kasus, perusahaan akan mengembangkan Kebijakan Klasifikasi Informasi, yang harus menjelaskan keempat langkah ini untuk mengklasifikasikan informasi.

Harap dicatat bahwa proses ini berlaku untuk data (bahan rekaman mentah yang tidak memiliki arti khusus) dan informasi (makna yang Anda berikan, dan wawasan yang Anda dapatkan dari data). Dalam konteks klasifikasi, umumnya data dan informasi diperlakukan sama.

 

Inventarisasi Aset (Asset Register)

Inti dari mengembangkan inventaris aset adalah Anda mengetahui informasi rahasia mana yang Anda miliki, dan siapa yang bertanggung jawab untuk itu (yaitu, siapa pemiliknya).

Informasi rahasia dapat dalam berbagai bentuk dan jenis media, misalnya:

  • Dokumen elektronik
  • Sistem Informasi / Basis Data
  • Dokumen kertas
  • Media penyimpanan (misalnya, disk, kartu memori, dll.)
  • Informasi yang dikirimkan secara verbal
  • Email

Menentukan Tingkat Kerahasiaan

Mendefinisikan tingkat kerahasiaan untuk klasifikasi informasi adalah hal yang penting karena membantu organisasi memahami pentingnya setiap jenis informasi bagi mereka. Semakin tinggi klasifikasi, semakin penting informasinya, dan kemudian semakin banyak sumber daya yang harus dipertimbangkan untuk perlindungannya.

ISO 27001 tidak menentukan tingkat klasifikasi (yaitu, tidak ada klasifikasi informasi ISO 27001 atau skema klasifikasi data ISO 27001) karena itu adalah sesuatu yang harus Anda kembangkan sendiri, berdasarkan apa yang umum di negara Anda atau di industri Anda. Semakin besar dan kompleks organisasi Anda, semakin banyak tingkat kerahasiaan yang akan Anda miliki misalnya, untuk organisasi menengah Anda dapat menggunakan tingkat klasifikasi informasi semacam ini dengan tiga tingkat rahasia dan satu tingkat publik:

  • Rahasia (tingkat kerahasiaan teratas)
  • Dibatasi (tingkat kerahasiaan sedang)
  • Penggunaan internal (tingkat kerahasiaan terendah)
  • Publik (semua orang dapat melihat informasinya)

Dalam kebanyakan kasus, pemilik aset bertanggung jawab untuk mengklasifikasikan informasi – dan ini biasanya dilakukan berdasarkan hasil penilaian risiko: semakin tinggi nilai informasi (semakin tinggi konsekuensi dari pelanggaran kerahasiaan), semakin tinggi tingkat klasifikasi yang seharusnya. (Lihat juga Penilaian Risiko, Perawatan, & Manajemen ISO 27001: Panduan Lengkap.)

Sangat sering, sebuah perusahaan mungkin memiliki dua skema klasifikasi yang berbeda jika bekerja baik dengan pemerintah maupun dengan sektor swasta. Misalnya, NATO memerlukan klasifikasi berikut dengan empat tingkat rahasia dan dua tingkat publik:

  • Rahasia Kosmik
  • Rahasia NATO
  • Rahasia NATO
  • NATO Dibatasi
  • NATO Unclassified (hak cipta)
  • INFORMASI TIDAK SENSITIF YANG DAPAT DIRILIS KEPADA PUBLIK

Namun, penting untuk dicatat bahwa dalam situasi yang sangat spesifik, di mana kepentingan informasi homogen, organisasi dapat mengadopsi tingkat klasifikasi tunggal. Sangat dapat diterima oleh standar untuk menggunakan tingkat kerahasiaan tunggal atau ganda sebagai klasifikasi informasi ISO 27001 / struktur klasifikasi data ISO 27001 mereka.

 

Pelabelan Informasi

Setelah Anda mengklasifikasikan informasi, maka Anda perlu memberi label dengan tepat karena harus mengembangkan pedoman untuk setiap jenis aset informasi tentang bagaimana informasi tersebut perlu diklasifikasikan. Sekali lagi, ISO 27001 tidak preskriptif di sini, sehingga Anda dapat mengembangkan aturan Anda sendiri.

Misalnya, Anda dapat menetapkan aturan untuk dokumen kertas sedemikian rupa sehingga tingkat kerahasiaan harus ditunjukkan di sudut kanan atas setiap halaman dokumen, dan itu juga harus ditunjukkan di bagian depan sampul atau amplop yang membawa dokumen semacam itu, serta pada folder pengarsipan tempat dokumen disimpan.

Pelabelan informasi biasanya menjadi tanggung jawab pemilik aset.

 

Penanganan Aset

Ini biasanya merupakan bagian paling kompleks dari proses klasifikasi – Anda harus mengembangkan aturan tentang cara melindungi setiap jenis aset tergantung pada tingkat kerahasiaan. Misalnya, Anda dapat menggunakan tabel di mana Anda harus menentukan aturan untuk setiap tingkat kerahasiaan untuk setiap jenis media, misalnya:

Jadi dalam tabel ini, Anda dapat menentukan bahwa dokumen kertas yang diklasifikasikan sebagai Terbatas harus dikunci dalam kabinet, dokumen dapat ditransfer di dalam dan di luar organisasi hanya dalam amplop tertutup, dan jika dikirim ke luar organisasi, dokumen tersebut harus dikirim dengan layanan tanda terima pengembalian.

Seperti sebelumnya, ISO 27001 memungkinkan Anda kebebasan untuk menetapkan aturan Anda sendiri, dan ini biasanya didefinisikan melalui kebijakan klasifikasi Informasi, atau prosedur Klasifikasi.

Jadi, seperti yang Anda lihat, proses klasifikasi mungkin rumit, tetapi tidak harus tidak dapat dipahami – ISO 27001 sebenarnya memberi Anda kebebasan besar, dan Anda pasti harus memanfaatkannya: buat prosesnya disesuaikan dengan kebutuhan khusus Anda, tetapi pada saat yang sama cukup aman sehingga Anda dapat yakin bahwa informasi sensitif Anda terlindungi.

Baca juga : Cara Membuat Daftar Periksa Audit Internal untuk ISO 27001 / ISO 22301

 

Qyusi Global Indonesia merupakan perusahaan yang bergerak dibidang konsultasi ISO, SMK3 dan Kontraktor.

Selain itu Qyusi Global Indonesia juga bergerak dibidang Man Power Supply.

Dengan proses yang fleksibel, harga yang bersahabat dengan mengutamakan target dan kepuasan klien membuat Qyusi Global Indonesia sangat dipercaya dan banyak direkomendasikan dalam berbagai macam bisnis.

Hubungi Kami untuk info lebih lanjut