Politika klasifikace a označování dat – SME

Politika klasifikace a označování dat (P13S) definuje, jak musí být veškeré informace zpracovávané organizací klasifikovány a označovány, aby byla zajištěna jejich důvěrnost, integrita a dostupnost v celém životním cyklu. Tato politika umožňuje konzistentní nakládání s daty v souladu s předpisy tím, že přiřazuje úrovně ochrany informacím podle citlivosti, dopadu na obchodní činnost nebo právních povinností, například těch definovaných GDPR, NIS2 a DORA. Její přijetí je klíčové pro organizace usilující o certifikaci ISO/IEC 27001, protože jim umožňuje systematicky snižovat riziko náhodného zveřejnění, neoprávněného přístupu nebo nesprávného nakládání s citlivými daty. Tato politika je určena pro SME, jak naznačuje číslo dokumentu P13S a přiřazení „General Manager“ jako vlastníka politiky, což odráží přizpůsobení pro organizace bez vyhrazených rolí IT nebo CISO. Politika převádí komplexní regulační a bezpečnostní požadavky do jasně strukturovaných odpovědností vhodných pro SME. General Manager vlastní a dohlíží na vynucování politiky a výjimky; vlastníci informací nebo správci dat provádějí počáteční klasifikaci, označování a pravidelný přezkum; vedoucí IT nebo správce (interní nebo outsourcovaný) implementuje technická opatření; a veškerý personál/dodavatelé jsou povinni klasifikaci uplatňovat, kontrolovat a respektovat a účastnit se školení. Rozsah politiky je komplexní a zahrnuje veškerá data organizace bez ohledu na formát, umístění nebo fázi životního cyklu. Patří sem elektronické soubory, data v cloudu i on-premise, fyzické dokumenty, e-maily a také dočasná nebo přechodná data, jako jsou logy a soubory mezipaměti. Zaměstnanci a třetí strany, které s těmito daty nakládají, musí klasifikaci a označování důsledně uplatňovat při vytváření, používání, ukládání, přenosu, archivaci nebo výmazu. Je vyžadováno jednoduché tříúrovňové schéma klasifikace: Veřejné (volně sdělitelné), Vnitřní použití (omezené na zaměstnance) a Důvěrné (citlivé, vyžadující nejpřísnější ochranná opatření, jako je šifrování a řízení přístupu). Politika vyžaduje viditelné a trvalé označování napříč digitálními i fyzickými aktivy, rutinní přezkumy při změnách obchodních modelů, softwaru nebo legislativy a formální pravidla nakládání pro každou úroveň klasifikace. Tato ustanovení zajišťují, že SME i se zjednodušenými provozními strukturami mohou prokázat právní soulad a ochranu dat na základě rizik a současně podporovat odpovědnost a jasnou správu dat. Pravidelné audity, namátkové kontroly a dokumentovaná správa výjimek dále posilují soulad. Porušení, jako je ukládání důvěrných dat na nezabezpečených místech nebo neoznačení aktiv odpovídajícím způsobem, podléhá sankcím od napomenutí až po právní kroky. Každoroční povinný přezkum zajišťuje, že se politika přizpůsobuje vyvíjejícím se rizikům, regulačním požadavkům a změnám v organizaci, a činí z ní nedílnou součást obhajitelného programu kybernetické bezpečnosti a ochrany soukromí pro SME.