一、ISO/IEC 27001:2022 附录A.5.12 控制原文
附录A.5.12 信息分级
控制要求:组织应根据信息对保密性、完整性、可用性的需要,以及法律、合同和业务要求,对信息进行分级,以便施加适当保护。
信息分级的核心,不是给文件贴标签本身,而是让不同重要程度的信息获得匹配的保护强度。
控制要求:组织应根据信息对保密性、完整性、可用性的需要,以及法律、合同和业务要求,对信息进行分级,以便施加适当保护。
信息分级的核心,不是给文件贴标签本身,而是让不同重要程度的信息获得匹配的保护强度。
引用:如果所有信息都被当成一样重要,结果通常只有两种:要么保护不够,要么管理负担失控。
二、条款解读说明
2.1 为什么信息分级是保护资源配置的基础
在现实组织中,信息的重要性差异巨大。公开新闻稿和核心客户数据、普通会议通知和并购材料、一般运营报表和关键源代码,显然不应采用同一套保护要求。信息分级的价值就在于帮助组织把有限的控制资源优先放到真正重要和敏感的信息上,同时避免对低敏信息施加过度负担。
A.5.12强调分类依据不仅来自保密性,也来自完整性、可用性以及法律合同要求。这意味着某些信息即使不高度敏感,也可能因完整性要求高而需要重点保护;某些运行数据即使泄露影响有限,也可能因业务连续性要求而必须重点保障可用性。因此,信息分级绝不是简单的“机密/非机密”二分法。
2.2 关键要点拆解
| 关键点 | 控制含义 | 常见问题 | 建议做法 |
|---|---|---|---|
| 分级标准 | 基于CIA、合规和业务要求设定等级 | 等级很多但标准不清 | 使用少量清晰等级和判定标准 |
| 责任归属 | 由信息所有者或业务责任方判定等级 | 全部由IT统一决定 | 让业务参与分级判断 |
| 控制联动 | 分级结果进入访问、传输、存储和销毁要求 | 分级只停留在标签 | 与保护规则绑定 |
| 动态调整 | 信息价值变化时调整等级 | 一旦分级长期不变 | 在变化场景下复审 |
2.3 分级模型不宜过度复杂
很多组织设计出五六个等级、十几项判定维度和大量例外,结果现场没人真正会用。高质量的信息分级体系通常具备两个特征:一是等级数量适中,员工容易理解;二是每个等级都明确对应保护要求,例如谁可访问、是否可外发、是否可打印、是否可脱敏、如何存储和多久保留。换句话说,分级模型的目标是指导行为,而不是展示体系复杂度。
注意:A.5.12真正要避免的,不是没有标签,而是信息分级结果没有进入访问控制、传输控制和处置控制。
三、实施要点
3.1 设计简明清晰的分级体系
- 结合组织规模和业务复杂度设置适量等级,如公开、内部、敏感、严格受限等。
- 每级都要给出清晰判定标准和示例,便于业务理解。
- 不要追求过细分级导致现场无法执行。
3.2 让业务责任方参与分级
- 信息所有者最了解信息价值和使用场景,应参与等级判断。
- IT和安全部门负责方法和规则支持,而不是完全代替业务判断。
- 对边界不清的信息可建立会审机制。
3.3 将分级结果与控制要求绑定
- 不同等级对应不同访问、加密、共享、打印、脱敏、保留和销毁要求。
- 把这些要求写进可接受使用、传输、备份和介质管理等控制中。
- 分级若不联动控制,价值会大幅下降。
3.4 对重点场景优先落地
- 优先覆盖客户数据、员工数据、财务数据、源代码、合同文档和管理层材料等高价值信息。
- 对结构化数据、文件文档和纸质载体分别考虑落地方式。
- 先抓高价值信息,通常比追求全量一步到位更现实。
3.5 定期复审和抽查
- 业务变化、合同变化、法规变化和项目变化时,应复审信息等级。
- 通过抽查文档、数据库、共享平台和流程输出来验证分级是否合理。
- 发现“分级过低”或“分级过高”都应调整。
成功:成熟的A.5.12控制,会让组织在讨论保护措施时不再依赖模糊判断,而是围绕信息等级快速决定“该保护到什么程度”。
四、常用工具与实施方法
| 工具/方法 | 应用目的 | 实施建议 | 输出成果 |
|---|---|---|---|
| 信息分级标准 | 统一分类口径 | 为每级定义标准、示例和边界 | 分级规则 |
| 分级-控制映射表 | 把分级结果转化为保护要求 | 映射访问、传输、存储和销毁规则 | 映射清单 |
| 重点信息识别清单 | 优先覆盖高价值对象 | 从业务关键数据和文档开始实施 | 重点对象目录 |
| 抽查与复审机制 | 验证分级合理性 | 周期抽查共享平台、系统数据和文档 | 复审记录 |
五、典型案例
案例一:所有文件都标“内部”导致控制失真
- 背景:企业有分级制度,但员工基本统一标为“内部”。
- 问题:高敏文件未获得区别保护,低敏文件又缺乏明确边界。
- A.5.12动作:重新设计分级标准并增加典型示例。
- 结果:分级执行质量明显改善。
- 启示:分级标准若不清晰,制度等于没有。
案例二:客户数据分级未联动共享限制
- 背景:客户信息已被标记为高敏。
- 问题:员工仍可通过普通共享链接外发。
- A.5.12动作:将高等级信息与共享、下载和脱敏规则绑定。
- 结果:高敏数据外发风险显著下降。
- 启示:分级必须进入后续控制,才有实际意义。
案例三:项目结束后信息价值变化未复审
- 背景:某项目材料在投标阶段属于高敏信息。
- 问题:项目结束后仍沿用最高等级,影响正常共享和归档。
- A.5.12动作:建立生命周期复审机制,根据使用价值调整等级。
- 结果:保护更匹配实际需要。
- 启示:分级也应具有动态性。
六、成文信息管理要求
A.5.12的审核证据重点在于:分级规则是否存在、重要信息是否已分级、分级结果是否与控制联动、以及组织是否会复审不再合适的等级。
| 建议文件或记录 | 关键内容 | 责任部门 | 审核价值 |
|---|---|---|---|
| 信息分级标准 | 等级、判定标准、示例和责任人 | 安全部/业务 | 证明分类规则已建立 |
| 重点信息分级记录 | 对象、等级、所有者、判定依据 | 业务/数据所有者 | 证明关键对象已分级 |
| 分级联动控制记录 | 与访问、共享、存储和销毁规则的关系 | 安全/IT/业务 | 证明分级用于治理 |
| 复审和抽查记录 | 等级调整、误分级纠正和复核结果 | 业务/安全 | 证明分级保持适用 |
七、常见误区及踩坑提醒
| 误区 | 问题表现 | 正确做法 |
|---|---|---|
| 分级体系过于复杂 | 现场不会用、也不愿用 | 用适量等级和清晰标准 |
| 分级只由IT决定 | 与业务价值脱节 | 让信息所有者参与判断 |
| 分级只停留在标签 | 保护要求没有变化 | 与访问、传输和处置控制联动 |
| 分级长期不复审 | 信息价值变化后仍沿用旧等级 | 建立生命周期复审机制 |
警告:避免把A.5.12做成“给文件贴标签”的形式动作。真正的风险是分级结果没有转化为差异化保护要求。
小结:A.5.12要求组织根据信息价值和风险进行分级,并据此匹配保护强度。分级越清晰,资源投入越精准,控制越有针对性。