情報の分類: 定義と内部開発

情報分類という用語は、システム内で情報がどのように分類されるかという明確な定義を持っているように見えるかもしれません。ただし、このプロセスには、特にデータのセキュリティと情報へのアクセスに関する規制に関して、いくつかの複雑さがあります。IT は、 IT 管理者とビジネス マネージャーがコンプライアンスのルールと規制、業界のベストプラクティス、および組織内でのセキュリティとアクセス権の割り当てに対する最適なアプローチを理解するために重要です。 情報分類とは、組織のコンピューター システムでデータをグループ化する方法を指し、多くの場合、データベース構造を使用します。これは、たとえば、マーケティング部門のデータが人事部門のデータと混在しないことを意味します。これらのファイルが組織化されずに保存されていると、後で見つけるのが難しくなります。 このタイプのデータストレージを使用すると、情報の特定のグループ(グループ)へのアクセスをITが必要な人のみに制限できます。 たとえば、財務マネージャーがアクセスする必要がある特定のファイルがあるが、新しいエントリーレベルの会計士はアクセスできない場合があります。また、この種の制限は、組織のデータを侵害やハッカーから保護します。

ISO 27001準拠

組織は、誰がITにアクセスする必要があるかに基づいてIT情報を分類します。 ほとんどのシステムでは、次の 4 つのレベルの承認が使用されます。

1. 親展： ITは上級管理職専用です。
2. 制限： ほとんどの従業員はアクセスできますが、アクセスできない従業員もいます。
3. 国内： すべての従業員がアクセスできます。外部の誰もITにアクセスできません。
4. 公共： 組織で働いていない人も含めて、誰でもアクセスできます。

多くの場合、大規模な組織にはサブカテゴリや異なるレベルがあり、これらのアクセス レベルには会社概要 ごとに異なる名前が使用される場合があります。 データへのアクセスと保護を真剣に受け止めている組織は、データベースに 情報セキュリティ管理システム(ISMS)標準であるISO 27001コンプライアンスを使用します。

この国際規格は、 組織内のデジタルデータを保護するためのベストプラクティスとして、世界中の規制機関によって推奨されています。 ISO/IEC 20071:2013(通常は単にISO27001と呼ばれる)は、ISMSの管理方法を規定しています。この基準の最新版は 2013 年 9 月に発行され、2005 年のガイダンスが更新されました。

ISO 27001:2013ステップ

ISO 27001には、ISMSの実装をサポートする ための10の管理システム条項 があります。これらは次のとおりです。

1. スコープ
2. 規範的な参考文献
3. 用語と定義
4. 文脈
5. リーダーシップ
6. プランニング&リスクマネジメント
7. ユーザーへの
8. オペレーションズ
9. パフォーマンス評価
10. 改善

ISO 27001に準拠したISMSの導入には、以下のようなものがあります。

• プロジェクトのスコープ設定 (システムの監査と、対処が必要な問題領域の発見が含まれます)。
• 経営陣からのコミットメントを確保し、新しい標準を実装するための予算を確保します。
• 利害関係者と契約要件、特に法律および規制基準を特定します。
• リスク評価の実施。
• 必要なコントロールのレビューと実装。
• このプロジェクトを管理するための社内能力の開発には、特定のトレーニング、契約社員の検索、または新しいスタッフの採用が必要になる場合があります。
• 各ステップとシステムの管理方法を文書化します。
• スタッフの意識向上トレーニングを実施します。
• レポート機能情報、特にリスク評価計画の評価に役立ちます。
• ISMSの継続的な監視、測定、監査を実施し、コンプライアンスを確保します。
• 必要な予防措置および是正措置の実施。

情報分類条項A8.2準拠

情報分類の標準は、ISO 27001 の A8.2 項にあります。 この標準には、コンプライアンスを満たすための次の手順が含まれています。

• 資産をインベントリに入力します。 すべての情報を在庫または資産登録簿に照合します。これは、以前のバージョンではなく、新しいインベントリである必要があります。これらの資産を入力する際には、各資産の所有者または責任者と、ハードコピーや印刷メディアなど、IT部門がどのような形式であるかに注意してください。

• 分類する。 すべての情報を収集したら、ITの分類を開始します。 これには、リスク評価に基づく上級管理職からのガイドラインが含まれる場合があります。たとえば、リスクが大きい情報には通常、より高いレベルの機密性が必要ですが、例外がある場合があります。
• ラベル。 情報が分類されたら、ラベリングのシステムを作成する必要があります。これは明確で一貫性がある必要がありますが、デジタル ドキュメントとハード コピーの標準は異なる場合があります。 これらが相互参照されていることを確認することがITにとって重要かもしれません。
• ハンドリングルールを作成します。 ラベル付けが完了したら、形式と分類に基づいて各情報を保護するためのルールを確立します。機密性の高いドキュメントにはアクセスに厳しい制限がある場合がありますが、古い紙のファイルは公開情報であるため、ロックされていないファイリングキャビネットに保存されている場合があります。

情報のクラス分けコンプライアンスが重要なのはなぜですか?

侵害やその他のサイバー脅威からデータを保護することは、これまで以上に重要になっています。在宅勤務のオフィスワーカーが増え、複数のデバイスからリモートでデータにアクセスする中、データがどこに存在し、誰がITにアクセスできるべきかを理解することは、組織を脅威から保護するための重要な要素です。 データベース構造が特定の許可を得て整備され、組織内の全員がプロセスにアクセスして理解できるようにシステムが適切に文書化されたら、アクセスを監視して潜在的な侵害に気づき、侵害になる可能性のある弱点を見つけ、データを安全に保つためのセキュリティ対策を実装できます。 また、ISO 27001 コンプライアンス ガイドラインに従うことで、IT 部門は政府の規制や業界のガイドラインに基づく他のセキュリティ標準を簡単に実装できます。 これらの規制には、次のようなものがあります。

• HIPAA コンプライアンス for healthcare 組織
• 欧州連合の市民の個人データに対するGDPRコンプライアンス
• データの機密性を分類するのに役立つPCIコンプライアンス
• 機密情報を保持するサービス組織のためのSOC 2コンプライアンス

クラウドストレージソリューションは安価であり、多くの組織は内部ニーズのソリューションとしてこのタイプのデータストレージに移行しています。 ただし、クラウドストレージは、情報が他の人の情報と一緒にサーバーに隔離されることを意味するため、IT部門は、潜在的なセキュリティ脅威を監視するための強力な情報分類システムを開発することがさらに重要になります。

参考文献

情報の分類 – なぜITが重要なのか? PECB大学。

Information テクノロジー — セキュリティ技術 — 情報セキュリティ管理システム — 要件. (2013年10月)。磯。

ISO 27001、国際的な情報セキュリティ標準。 ITGovernance.co.uk。

ISO/IEC 27001:2013(en)を参照してください。(2013年10月)。磯。

ISO 27001 ISMSのスコープを文書化する方法 - テンプレート付き。 (2019 年12月)ITGovernance.co.uk。

ISO27001情報分類とは?(2019年2月)。ITGovernance.co.uk。