Bilgi Varlıklarının Sınıflandırılması ve Kontrolü
Bilgi güvenliği yönetimi sistemlerinin gerek şartlarından birisi bilgi varlıklarının uygun biçimde sınıflandırılması ve etkietlenmesi. ISO 27001 normlarına göre bilgi varlığı envanteri oluşturmak kolay bir iş değil, bu envanteri uygun biçimde yönetmek ve çalışanların her bir bilgi varlığına, niteliğine uygun davranmasını güvence altına almak için etiketlemek ise kavramsal ve taktik bir takım kararları doğru almayı gerektiriyor.Öncelikle kurulacak olan sınıflandırma yapısının basit, anlaşılır ve küçük bir sınıflandırma modeli oluşturuyor olması gerek. Bilgi varlıklarını güvenlik açısından ne kadar fazla kategoriye bölersek, çalışanların bu sistematiği algılayıp buna göre davranması da aynı ölçüde zorlaşıyor. O nedenle, sınıflandırmada kullanılan kategori adedinin ihtiyacı karşılyacak kadar fazla ama kafa karıştırmayacak kadar az olması gerek. Örneğin, basit ve kapsamlı bir kategorizasyon için üçlü bir sınıflandırma önerilebilir:
GİZLİ: Bu bilgi varlıklarına erişim sıkı olarak korunmalı ve sadece erişim için belirli bir iş ihtiyacı için erişmesi gerekenlere sağlanmalıdır. Bilgi varlığının paylaşılması bilgi varlığı sahibinin onayına bağlıdır. Şirket dışı ile yapılan paylaşımlarda ise ayrıca bir gizlilik sözleşmesi imzalanmasına ihtiyaç vardır. Örneğin, çalışanların performans değerlendirmeleri ve yeni ürün geliştirme planları bu kapsamda değerlendirilebilir. Bu kategorideki bilgi varlıklarının uygun biçimde etiketlenmesi şarttır.
İÇ KULLANIM:Bu bilgi varlığının şirket dışı ile paylaşımı arada bir bilgi güvenliği sözleşmesine bağlıdır. Ancak bilgi varlığının sızmasının çok ciddi hasar vermesi beklenmez ve şirket çalışanlarının erişim ve kullanıma açık bilgilerdir. Örneğin, şirketin dahili telefon defteri, çalışanların iş takvimleri bu kapsamda değerlendirilebilir. Bir bilgi varlığının hangi kategoriye girdiği anlaşılamadığı zamanlarda bu kategoride olduğu kabul edilir. Bu nedenle, bu kategorideki bilgi varlıklarının etiketlenmesine ihtiyaç yoktur.
GENEL KULLANIM:Bu bilgi varlığının şirket dışında genel kullanıma açılması için kuruluşun niteliğine göre Pazarlama, Halkla İlişkiler, Yatırımcı İlişkileri veya Kurumsal İletişim bölümlerinde kamusal dağıtım için onaylanması gereklidir. Örneğin, pazarlama broşürleri ve basın açıklamaları bu kapsamda değerlendirilebilir. Bu kategorideki bilgi varlıklarının uygun biçimde etiketlenmesi gereklidir.
Eğer üçlü kategorizasyonun yeterli olmadığı düşünülürse, istenen bir kategorinin, örneğin ?Gizli? kategorisinin ikiye bölünmesi ve Gizli bilgilerle daha yüksek gizlilik taşıyan ?ticari sır ?niteliğindeki bilgilerin ayrı bir kategoriye ayırılması düşünülebilir. Ancak kategori adedi arttıkça uygulamanın zorlaşacağı unutulmamalıdır. Bu nedenle, eğer daha yüksek bir güvenlik disiplini sağlanmak isteniyorsa, kategorizasyon sayısını artırmak yerine azaltmak önerilebilir. Böylece, çalışanlardan, sadece genel kullanıma açık olarak belirlenmiş bilgi varlıklarını paylaşmaları, kalan diğer bütün bilgiler için bilgi varlığı sahibinden izin alınması istenmiş olur. Kuruluşun güvenlik açısından durumuna göre bu kural tersine de işletilebilir ve sadece gizli bilgilerin etiketlenmesi yoluna da gidilebilir. Bu daha çok kuruluşun sahip olduğu ilişkili risklerine ve uygulamak istediği güvenlik seviyesine bağlıdır.
Bilgi varlıklarını sınıflandırmak ve buna göre etiketlemek, bu varlıkların uygun kullanımı için gerekli olsa da, tek başına yeterli değildir. Çalışanlara ayrıca her bir kategorideki bilgi varlığı ile kullanım sırasında ne gibi işlemlerin yapılabileceğini tarif edip, rehberlik etmek te gereklidir.
| İşlem | GİZLİ | İÇ KULLANIM | GENEL KULLANIM |
| Sabit Ortamlarda Depolama | Kriptolama veya Fiziksel Erişim Kontrolü | Kriptolama Opsiyonel | Kriptolama tavsiye edilmez |
| Taşınabilir Ortamlarda Depolma | Kriptolama | Kriptolama Opsiyonel | Kriptolama tavsiye edilmez |
| Kopyalama | İş Sahibi Onayı | Sınırlama Yok | Sınırlama Yok |
| Faks | Şifre Korumalı Alıcı Posta Kutusu veya Takip Edilen Gönderi | Sınırlama Yok | Sınırlama Yok |
| Internet Üzerinden Gönderim | Kriptolama | Kriptolama Opsiyonel | Kriptolama tavsiye edilmez |
| İmha | Fiziksel İmha | Normal Çöp | Normal Çöp |
| Üçüncü Taraflarla Paylaşım | İş Sahibi Onayı ve Gizlilik Sözleşmesi | Gizlilik Sözleşmesi Gerekir | Sınırlama Yok |
| Elektronik Ortam Etiketleme Kuralı | İç ve Dış Etiketler | Etiket Gerektirmez | Üretilme Tarihi ve Sınıflandırma |
| Kağıt Ortamı Etiketleme Kuralı | Eğer Cilti Değilse Her Sayfaya Etiketleme Ön ve Arka Kapakları ve Kapak Sayfası | Etiket Gerektirmez | Üretilme Tarihi ve Sınıflandırma |
| İç ve Dış Postada Paketleme | İki Zarflı Gönderim ve İç Zarfta Etiketleme | İşaretsiz Tek Zarf | İşaretsiz Tek Zarf |
| Erişim Hakları Verilmesi | İş Sahibi Tarafından | Yerel Yönetici | Sınırlama Yok |
| Yapılan İşlemlerin Kaydı | Zorunlu Değildir | Önerilmez | Önerilmez |
