安全治理 论坛

7.2 信息分类 目标：确保信息得到适当程度的保护 应对信息进行分类，以在处理信息时指明保护的需求、优先级和期望的保护程度。 信息具有可变的敏感性和重要性。某些方面可能需要额外的保护级别或特别的处理。信息分类方案用来定义一组合适的保护等级并传达具体处理措施的要求。 7.2.1 分类指南 控制 应按照信息的价值、法律要求及对组织的敏感程度和关键程度进行分类。 实施指南 信息的分类和相关的保护控制要考虑到共享或限制信息的业务需求以及对业务的影响。 分类指南应包括根据预先确定的访问控制策略（见11.1.1）进行初次分类和经过一段时间后再次分类的约定。 定义资产的分类，对其分类进行定期评审并确保其分类与日俱新并处于适当的级别，这些都是资产属主的职责（见7.1.2）。分类应考虑10.7.2提到的一组资产的整体分类。 对于分类种类的数量和其使用的好处要予以考虑。过度复杂的分类方案可能对使用来说是不方便和不经济的，或许是不实际的。对于理解其他组织文件上的分类标记的含义要小心，因为其他组织对于相同或类似的标记可能有不同的定义。 其他信息 信息的保护级别可通过分析信息的机密性、完整性、可用性及其他需求进行评估。 经过一段时间之后，信息通常不再是敏感的或重要的，例如当信息被公开时。这些方面都应得到考虑，因为过分的分类会导致实施不必要的控制措施，从而花费额外的代价。 在确定信息的分类级别时把相似的安全要求用文件的形式写在一起，可能有助于简化分类工作。 一般来讲，给信息进行分类是确定如何处理和保护信息的一种快速方法。 7.2.2 信息标识与处置 控制 应制定并实施一套与组织采用的分类方案一致的信息标识和信息处理的程序。 实施指南 信息标识程序需要涵盖物理和电子形式的信息资产。 包含敏感或重要信息的系统，其输出应标记合适的分类标识。标识应按照7.2.1建立的信息分类规则进行确定。 要考虑的输出形式有打印的报告、屏幕显示、记录媒介（例如磁带、磁盘、CD）、电子消息和文件传送。 对每种分类，要定义包括安全处理、储存、传输、解密、销毁的处理程序。还要包括对安全相关事件做记录和证据保管链的程序。 与其他组织涉及信息共享的协议，应包括识别信息的分类和解析其他组织分类标识含义的程序。 其他信息 分类信息的标记和安全处理是信息共享的一个关键要求。物理标识是常用的标记形式。然而，某些信息资产（例如电子形式的文件等）不能做物理标记，而需要使用电子标记手段。例如，在屏幕或显示器上显示分类标识。对于不能做标记的场合，可能要采用其他方式表明信息的分类，例如通过程序或元数据表明分类。