Juliana Jenny Kolb
Home > Redes de Computadores > NBR ISO/IEC 27002:2013
Materiais Complementares
Versão 2005 – Documento em PDF |
Versão 2013 – Documento em PDF |
NBR ISO/IEC 27002:2013 – Classificação da informação
Em relação à classificação da informação, a norma recomenda:
- que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada;
- que a classificação e os controles de proteção, associados para a informação (e outros ativos), leve em consideração as necessidades do negócio para compartilhar ou restringir a informação bem como os requisitos legais;
- que os proprietários de ativos de informação sejam responsáveis por sua classificação;
- que o esquema de classificação inclua convenções para classificação e critérios para análise crítica da classificação ao longo do tempo;
- que o nível de proteção seja avaliado por meio da análise da confidencialidade, integridade e disponibilidade e quaisquer requisitos considerados para a informação;
- que o esquema esteja alinhado com a política de controle de acesso (Ver 9.1.1);
- que a cada nível seja dado um nome que faça sentido no contexto do esquema de classificação;
- que o esquema seja consistente em toda a organização de forma que cada pessoa possa classificar a informação e os ativos relacionados da mesma forma, e tenham um entendimento comum dos requisitos de proteção e apliquem a proteção apropriada;
- que a classificação seja incluída nos processos da organização;
- que os resultados da classificação indiquem o valor dos ativos em função da sua sensibilidade e criticidade para a organização, em termos da confidencialidade, integridade e disponibilidade;
- que os resultados da classificação sejam atualizados de acordo com as mudanças do seu valor, sensibilidade e criticidade ao longo do seu ciclo de vida.