Bƣớc thứ ba trong framework là phân loại dữ liệu và hệ thống thông tin xử lý dữ liệu. Mục tiêu của quá trình phân loại để xác định những gì cần phải đƣợc bảo đảm với dữ liệu và hệ thống thông tin có giá trị. Sau khi dữ liệu và các hệ thống đƣợc phân loại thì quá trình tiếp theo là lựa chọn kiểm soát bảo mật phù hợp để bảo vệ khối tài sản này - mục 3.4. Nếu việc phân loại các tài sản của doanh nghiệp thực hiện không chính xác sẽ dẫn đến hai khả năng xảy ra ngoài mong muốn:
Doanh nghiệp đánh giá thấp giá trị tài sản của mình dẫn đến cơ chế bảo mật không phù hợp và hậu quả là làm tăng nguy cơ tổn hại đến tài sản đó.
Doanh nghiệp đánh giá quá cao giá trị tài sản của công ty dẫn đến sự đầu tƣ vào cơ chế bảo mật tốn kém.
NIST đã đƣa ra một chƣơng trình phân loại với bốn cấp độ tác động trên các thuộc tính của CIA (Confidentiality, Integrity and Availability) và các hệ thống thông tin [7]. Các bƣớc trong framework của tôi dựa theo quy trình phân loại của NIST. Quy trình gồm 4 bƣớc đƣợc mô tả trong hình 3.2:
Hình 3.2. Quy trình phân loại bảo mật của NIST [7]
NIST công bố ấn phẩm đặc biệt (Special Publication 800-60) bao gồm các quy tắc cơ bản cho việc ánh xạ các loại thông tin và hệ thống thông tin tới các phân loại
bảo mật. Trong luận văn này đang tập trung vào vấn đề bảo mật thông tin, các thuộc tính toàn vẹn và tính sẵn có trình bày trong hƣớng dẫn này nằm ngoài phạm vi của luận án và không đƣợc trình bày ở đây.
Trƣớc khi tập trung vào mô hình ĐTĐM tôi sẽ giải thích quá trình phân loại dữ liệu và hệ thống thông tin theo NIST SP 800-60.