Không phải tất cả dữ liệu đều có cách tổ chức hay có giá trị giống nhau. Ví dụ, một số dữ liệu liên quan đến chiến lƣợc kinh doanh, bí mật thƣơng mại, thông tin về sản phẩm mới…nếu bị lộ ra ngoài có thể gây thiệt hại lớn, và gây nhiều trở ngại cho doanh nghiệp trên thị trƣờng.
Vì vậy, việc phân loại thông tin đem lại nhiều lợi ích cho doanh nghiệp. Thông tin đƣợc lƣu trữ trên môi trƣờng đám mây có thể tác động vào một doanh nghiệp trên toàn cầu, không chỉ các đơn vị kinh doanh hoặc các cấp hoạt động. Mục đích của nó là để tăng cƣờng bảo mật, toàn vẹn và sẵn sàng, giảm thiểu rủi ro cho thông tin. Ngoài ra, bằng cách tập trung các cơ chế bảo vệ và điều khiển vào các lĩnh vực thông tin sẽ tiết kiệm chi phí hơn.
Việc phân loại thông tin hỗ trợ các yêu cầu về bảo mật và cho phép quản lý tuân thủ. Một công ty có thể cần sử dụng sự phân loại để duy trì lợi thế cạnh tranh trong một thị trƣờng khó khăn nhƣ hiện nay.
2.3.3.2. Lợi ích của phân loại thông tin
Sử dụng biện pháp phân loại thông tin đem lại một số lợi ích rõ ràng cho một tổ chức khi tham gia vào điện toán đám mây.
Nó thể hiện cam kết của một tổ chức về đảm bảo an ninh và giúp xác định những thông tin nhạy cảm nhất, quan trọng nhất đối với một tổ chức.
Nó hỗ trợ những nguyên lý của bảo mật, toàn vẹn, và sẵn sàng nhƣ nó gắn liền với dữ liệu và giúp xác định loại bảo vệ nào nên áp dụng để bảo vệ thông tin. Nó có thể là cần thiết để đảm bảo việc tuân thủ, quy định hoặc vì lý do pháp lý.
2.3.3.3. Khái niệm phân loại thông tin
Các thông tin về tiến trình một tổ chức cần phải đƣợc phân loại theo mức độ nhạy cảm nếu bị mất mát hay bị tiết lộ ra ngoài. Chủ sở hữu hệ thống thông tin có trách nhiệm xác định mức độ nhạy cảm của dữ liệu. Phân loại theo quy định để thực hiện biện pháp bảo mật đúng cách.
Muốn phân loại thông tin, cần tuân theo một số điều khoản sau :
- Dữ liệu công cộng : là những thông tin chƣa đƣợc phân loại, tất cả thông tin của một công ty mà không phù hợp với bất kỳ hạng mục nào thì có thể đƣợc xem xét để ở mức công cộng. Việc những thông tin này bị tiết lộ sẽ không gây ảnh hƣởng nghiêm trọng hoặc gây ra những bất lợi cho tổ chức, nhân viên hoặc khách hàng của công ty.
- Dữ liệu nhạy cảm: là những thông tin đòi hỏi mức độ phân loại cao hơn dữ liệu bình thƣờng. Những thông tin này phải đƣợc bảo vệ khỏi sự mất mát cũng nhƣ phải bảo vệ sự toàn vẹn, tránh những thay đổi trái phép.
- Dữ liệu riêng tƣ: sự phân loại này áp dụng cho những thông tin cá nhân chỉ đƣợc sử dụng trong tổ chức. Những thông tin này nếu bị tiết lộ trái phép có thể gây hậu quả nghiêm trọng, gây bất lợi cho tổ chức hoặc cá nhân một nhân viên nào đó. Ví dụ, mức lƣơng và các thông tin về y tế đƣợc coi là riêng tƣ.
- Dữ liệu mật: sự phân loại này áp dụng cho các thông tin nhạy cảm nhất của một doanh nghiệp, đó có thể là những dự định kinh doanh đƣợc sử dụng trong tổ
chức. Việc tiết lộ trái phép những thông tin này sẽ gây hậu quả rất nghiêm trọng, gây bất lợi cho tổ chức, cổ đông, đối tác kinh doanh hoặc khách hàng của công ty. Ví dụ, thông tin về việc phát triển sản phẩm mới, bí mật thƣơng mại, các cuộc đàm phán sáp nhập đƣợc coi là rất bí mật.
- Một tổ chức có thể sử dụng một chƣơng trình phân loại cao, trung bình hoặc thấp dựa trên nền tảng CIA cho bất cứ yêu cầu bảo vệ cao, trung bình hoặc thấp. Ví dụ, một hệ thống thông tin có thể yêu cầu mức độ bảo vệ tính toàn vẹn và tính sẵn có cao, nhƣng lại không yêu cầu phải bảo mật.
Bảng 2.1: Phân loại mức độ nhạy cảm, và những tác động đối với từng loại mức độ Phân loại Tác động
Cao Có thể gây ra thiệt hại về ngƣời, bỏ tù, mất mát tài chính lớn, hoặc yêu cầu khắc phục hậu quả pháp lý nếu thông tin bị tổn thƣơng.
Trung bình Có thể gây ra mất mát tài chính đáng kể nếu thông tin bị tổn thƣơng.
Thấp Trong trƣờng hợp này, nếu thông tin bị tổn thƣơng sẽ gây ra những mất mát nhỏ về tài chính hoặc phạt hành chính nếu ngƣời gây ra là trẻ vị thành niên.
2.3.3.4 Tiêu chí phân loại
-Giá trị: là tiêu chí đầu tiên đƣợc sử dụng để làm tiêu chuẩn đánh giá sự phân loại dữ liệu trong lĩnh vực riêng tƣ. Nếu thông tin rất có giá trị đối với một tổ chức hoặc với đối thủ cạnh tranh của nó, thì sau đó thông tin cần phải phân loại.
-Tuổi, việc phân loại thông tin có thể bị hạ xuống nếu giá trị của thông tin giảm theo thời gian. Ở Bộ quốc phòng Hoa Kỳ, một số tài liệu mật sẽ đƣợc tự động giải mật sau khi đƣợc xác định là đã qua khoảng thời gian quan trọng.
-Sử dụng hữu ích, nếu thông tin đã trở nên lỗi thời do có nhiều thông tin mới đƣợc cập nhật, thay đổi đáng kể trong công ty, hoặc nhiều lý do khác..thông tin có thể đƣợc giải mật.
-Hiệp hội cá nhân, nếu thông tin cá nhân của một số ngƣời đặc biệt, nắm giữ những vị trí quan trọng hoặc giải quyết bằng một luật riêng tƣ, nó có thể cần đƣợc phân loại.
2.3.3.5 Thủ tục phân loại
- Xác định các quản trị viên thích hợp để giám sát dữ liệu. Các giám sát dữ liệu phải có trách nhiệm bảo vệ thông tin, thực hiện các hoạt động sao lƣu và phục hồi dữ liệu.
- Xác định tiêu chí phân loại và dán nhãn thông tin.
- Phân loại các dữ liệu của chủ sở hữu của nó, có thể đƣợc xem xét lại bởi ngƣời giám sát.
- Xác định tài liệu đối với bất kỳ chính sách ngoại lệ nào. - Xác định loại kiểm soát đƣợc áp dụng cho từng cấp phân loại. - Xác định chấm dứt thủ tục giải mật thông tin.
- Tạo một chƣơng trình nâng cao nhận thức về phân loại và điều khiển.