Ilmainen e-kirja: NIS2 haltuun hyödyntäen ISO 27001 -käytäntöjä
Lataa e-kirja

Tutustu tehtävään liittyviin vaatimuskehikkoihin tarkemmin

8.2.3
ISO 27001

ISO 27001:2013

Muita saman teeman digiturvatehtäviä

Tietoluokkien määrittely ja luokkakohtaiset suojausmenettelyt

Critical
High
Normal
Low

Tietoluokittelun avulla voidaan antaa tietoja käsitteleville henkilöille nopea näkemys siitä, miten kriittistä tietoa on kyseessä ja kuinka tietoa pitää käsitellä sekä suojata.

Käytetyt tietoluokat ja niitä vastaavat suojaustasot on määritelty. Tietoluokka määritellään analysoimalla kyseessä olevan tiedon luottamuksellisuus, eheys ja saatavuus sekä mahdolliset muut vaatimukset. Kullekin tasolle annetaan selkeä ja kuvaava nimi.

Tietoluokat voivat olla esimerkiksi seuraavia:

  • tietojen paljastaminen ei aiheuta harmia (JULKINEN)
  • tietojen paljastaminen aiheuttaa lievää kiusaa tai vähäistä toiminnallista harmia (LUOTTAMUKSELLINEN)
  • tietojen paljastamisella on huomattavia lyhyen aikavälin vaikutuksia toimintaan tai taktisiin tavoitteisiin (RAJOITETTU)
  • tietojen paljastamisella on vakavia vaikutuksia pitkän aikavälin strategisiin tavoitteisiin tai se vaarantaa koko organisaation olemassaolon (KIELLETTY)

RAJOITETULTA paperitiedolta voidaan vaatia mm. seuraavia suojauksia:

  • Lukittu kaappi
  • Luotettu siirtokumppani
  • Sinetöidyt kirjekuoret
  • Turvallinen hävittäminen

RAJOITETULTA sähköiseltä tiedolta voidaan vaatia mm. seuraavia suojauksia:

  • Valitun salaustason käyttö
  • Salasanasuojaus
  • Turvallinen hävittäminen
  • Tarkemmin rajatut pääsyoikeudet
T07: Tietojen luokittelu
Katakri
8.2.1: Classification of information
ISO 27001
8.2.2: Labelling of information
ISO 27001
8.2: Information classification
ISO 27001
8.2.3: Handling of assets
ISO 27001

Tietoluokkien dokumentointi tietoaineistoille

Critical
High
Normal
Low

Tietoaineistojen omistajat (tai liittyvän tieto-omaisuuden, kuten tietovarannon tai tietojärjestelmän) omistajat vastaavat tietoaineistojen luokitteluista ja luokittelun vastaavuudesta tietoluokkien määritelmiin.

Omistaja päivittää tietoluokittelua omaisuuden elinkaaren aikana sen arvon, arkaluonteisuuden ja kriittisyyden vaihtelun mukaisesti.

T07: Tietojen luokittelu
Katakri
8.2.1: Classification of information
ISO 27001
18.1.3: Protection of records
ISO 27001
ID.AM-5: Resource prioritization
NIST
HAL-04.2: Suojattavat kohteet - luokittelu
Julkri

Tietoluokkien merkitsemistapojen määrittely ja ohjeistaminen

Critical
High
Normal
Low

Tiedon merkitsemistavat on määritelty, ne ovat helposti tunnistettavia ja ne kattavat sekä fyysiset että sähköiset tiedot ja omaisuudet. Merkinnästä tulee käydä ilmi, miltä osin asiakirja on salassa pidettävä ja mihin salassapito perustuu. Henkilöstöä ohjeistetaan merkintöjen tekemisestä.

8.2.1: Classification of information
ISO 27001
8.2.2: Labelling of information
ISO 27001
12.1.1: Documented operating procedures
ISO 27001
HAL-04.4: Suojattavat kohteet - merkitseminen
Julkri
5.13: Tiedon merkintä
ISO 27001

Tietoluokittelu toimipisteille ja fyysiselle tieto-omaisuudelle

Critical
High
Normal
Low

Organisaatio on luokitellut tietoaineistojen lisäksi myös toimipisteet sekä fyysisen tieto-omaisuuden niissä käsiteltävän tiedon kriittisyyden perusteella.

Lakisääteisten vaatimusten huomiointi tietoluokitteluun liittyvissä merkinnöissä

Critical
High
Normal
Low

Tiedon merkitsemistapojen pitää kattaa sekä fyysisessä että sähköisessä muodossa olevat tiedot ja niihin liittyvä suojattava omaisuus kuten tietovälineet.

Merkintöjen olisi oltava organisaation määrittelemien luokitteluperiaatteiden mukaisia ja helposti tunnistettavia. Organisaation olisi ohjeistettava, mihin ja miten merkinnät kiinnitetään. Ohjeistuksessa tulee ottaa huomioon myös tulosteet. Lisäksi tarpeettoman työn säästämiseksi kannattaa ohjeistaa, milloin merkintöjä ei tarvita.

Tietyissä tapauksissa, kuten esimerkiksi julkisuuslain mukaisista salassa pitoa koskevista merkinnöistä tulee myös käydä ilmi, miltä osin asiakirja on salassa pidettävä sekä mihin salassapito perustuu.



HAL-04.4: Suojattavat kohteet - merkitseminen
Julkri

Luottamuksellisen tiedon piilottamistarpeiden määrittäminen ja toteuttaminen

Critical
High
Normal
Low

Organisaation on määritettävä tilanteet, joissa henkilötietojen tai muiden luottamuksellisten tietojen suojaaminen on erityisen tärkeää, ja tarvittaessa toteutettava tällaisen tiedon piilottamista sopivan vahvuisilla menetelmillä, esimerkiksi naamiointia (masking), pseudonymisointia tai anonymisointia hyödyntäen.

Anonymisoinnin ja pseudonymisoinnin lisäksi mahdollisia käytettäviä tekniikoita ovat mm.:

  • salaus
  • merkkien nollaus tai poistaminen
  • arvojen vaihtaminen
  • arvojen korvaaminen hasheilla
8.11: Tietojen peittäminen
ISO 27001

Tietoluokittelun yleinen katselmointi

Critical
High
Normal
Low

Tietoluokittelun toimivuutta ja johdonmukaisuutta organisaatiossa kokonaisuutena tarkastalleen säännöllisesti.

Tietoluokittelun periaatteiden tulisi olla yhdenmukaisia koko organisaatiossa, jotta kaikilla on yhtenäinen ymmärrys suojausvaatimuksista ja yhtä kriittiselle tiedolle toteutetaan yhtä kattava suojaus.

8.2.3: Handling of assets
ISO 27001

Turvallista hävittämistä edellyttävien tietovälineiden merkitseminen

Critical
High
Normal
Low

Turvallista hävittämistä edellyttävien tietovälineiden tunnistamiseen ja merkitseen on olemassa sovitut menettelyt.

8.2.2: Labelling of information
ISO 27001
8.3.2: Disposal of media
ISO 27001
TEK-21: Sähköisessä muodossa olevien tietojen tuhoaminen
Julkri
5.13: Tiedon merkintä
ISO 27001

Luottamuksellisten tietojen tunnistaminen

Critical
High
Normal
Low

Organisaatiolla täytyy olla toimintatapa uusien luottamuksellista tietoa sisältävien tietoaineistojen tunnistamiseen niiden vastaanotto tai luontivaiheessa.

Luottamuksellisia tietoja sisältäville tietoaineistoille tulee määrittää säilytysaika, jonka jälkeen tiedot poistetaan tai arkistoidaan.