8 Gestão de ativos
8.2Classificação da informação
8.2.1Classificação da informação
Informações adicionais
A Classificação fornece às pessoas que lidam com informações uma indicação concisa de como tratar e proteger a informação. A criação de grupos de informação com necessidades de proteção semelhantes e especificação dos procedimentos de segurança da informação que se aplicam a todas as informações de cada grupo, é um facilitador. Esta abordagem reduz a necessidade de avaliação de risco e a customização personalizada de controles caso a caso.
A informação pode deixar de ser sensível ou crítica após certo período de tempo, por exemplo, quando a informação se torna pública. Convém que estes aspectos sejam levados em consideração, pois uma classificação superestimada pode levar à implementação de controles desnecessários, resultando em despesas adicionais ou, pelo contrário, classificações subestimada podem pôr em perigo o alcance dos objetivos de negócio.
Um exemplo de um esquema de classificação de confidencialidade da informação poderia ser baseado em quatro níveis, a seguir:
a)quando sua divulgação não causa nenhum dano;
b)quando a divulgação causa constrangimento menor ou inconveniência operacional menor;
c)quando a divulgação tem um pequeno impacto significativo nas operações ou objetivos táticos;
d)quando a divulgação tem um sério impacto sobre os objetivos estratégicos de longo prazo, ou coloca a sobrevivência da organização em risco.