8.2 Classificação da informação
Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.
8.2.1 Classificação da informação
Controle: Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.
[...]
Informações adicionais
A Classificação fornece às pessoas que lidam com informações uma indicação concisa de como tratar e proteger a informação. A criação de grupos de informação com necessidades de proteção semelhantes e especificação dos procedimentos de segurança da informação que se aplicam a todas as informações de cada grupo, é um facilitador. Esta abordagem reduz a necessidade de avaliação de risco e a customização personalizada de controles caso a caso.
A informação pode deixar de ser sensível ou crítica após certo período de tempo, por exemplo, quando a informação se torna pública. Convém que estes aspectos sejam levados em consideração, pois uma classificação superestimada pode levar à implementação de controles desnecessários, resultando em despesas adicionais ou, pelo contrário, classificações subestimada podem pôr em perigo o alcance dos objetivos de negócio.
b) o estágio de rotulagem é quando se atribui um nível de classificação a uma informação, fazendo com que a mesma passe a respeitar as proteções associadas ao nível de classificação escolhido. Nem todo ativo de informação deve ser classificado. Esta é uma regra da Norma ABNT NBR ISO/IEC 27001:2013.
O item está correto quanto a descrição porém aponta para norma errada, sendo que o correto seria: Norma ABNT NBR ISO/IEC 27002:2013. Tornando assim o item errado
Vejamos a norma:
8.2.2 (...)
Informações adicionais
A rotulação de informações classificads é um requisito chave para acordos de compartilhamento de informações. Rótulos fisícos e metadados são uma forma comum de rotulage.
8.2 Classificação da informação
Objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.
8.2.1 Classificação da informação
Controle
Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.
Diretrizes para implementação
Convém que a classificação e os controles de proteção, associados para a informação, leve em consideração as necessidades do negócio para compartilhar ou restringir a informação bem como os requisitos legais.
Convém que outros ativos além dos ativos de informação também sejam classificados de acordo com a classificação da informação armazenada, processada, manuseada ou protegida pelo ativo.
Convém que os proprietários de ativos de informação sejam responsáveis por sua classificação.
Convém que o esquema de classificação inclua convenções para classificação e critérios para análise crítica da classificação ao longo do tempo.
Convém que o nível de proteção seja avaliado por meio da análise da confidencialidade, integridade e disponibilidade e quaisquer requisitos considerados para a informação.
Convém que o esquema esteja alinhado com a política de controle de acesso (Ver 9.1.1).
Convém que a cada nível seja dado um nome que faça sentido no contexto do esquema de classificação.
Convém que o esquema seja consistente em toda a organização de forma que cada pessoa possa classificar a informação e os ativos relacionados da mesma forma, e tenham um entendimento comum dos requisitos de proteção e apliquem a proteção apropriada.
Convém que a classificação seja incluída nos processos da organização e seja consistente e coerente em toda a organização.
Convém que os resultados da classificação indiquem o valor dos ativos em função da sua sensibilidade e criticidade para a organização, em termos da confidencialidade, integridade e disponibilidade.
Convém que os resultados da classificação sejam atualizados de acordo com as mudanças do seu valor, sensibilidade e criticidade ao longo do seu ciclo de vida.