ISO 27001 clasificare informatii: 4 niveluri si reguli

Cum clasifici informatiile pentru ISO 27001? Imparti tot ce stochezi sau prelucrezi pe 4 niveluri (public, intern, confidential, strict confidential), in functie de cat te costa o scurgere accidentala. Schema o definesti pe baza evaluarii de risc, o documentezi in politica de clasificare si o aplici prin etichetarea fiecarei informatii.

Cerinta vine din controlul A.5.12 al Anexei A din ISO 27001:2022 (adoptata in Romania ca SR EN ISO/IEC 27001:2023). A.5.12 cere clasificarea, A.5.13 cere etichetarea consistenta. Sunt doua controale separate, dar nu functioneaza una fara cealalta.

Defineste schema de clasificare

ISO 27001 nu impune nume fixe pentru niveluri. Cea mai folosita schema in firmele din Romania are 4 trepte. Tabelul de mai jos arata ce intra in fiecare.

Nivel	Acces	Exemple tipice	Impact al unei scurgeri
Public	Toata lumea	Comunicate, site public, materiale de marketing	Niciun impact
Intern	Toti angajatii	Organigrame, manuale operationale, rapoarte interne	Pierdere reputationala minora
Confidential	Pe nevoie de a sti	Date clienti, contracte, oferte, cod sursa	Daune financiare, pierderi contractuale
Strict confidential	Lista nominala	Date sensibile GDPR, parole, chei criptografice, secrete comerciale	Amenzi GDPR sau NIS2, raspundere penala

Schema cu 4 niveluri acopera majoritatea SRL-urilor. Daca esti firma mica (sub 20 angajati) si nu prelucrezi date sensibile reglementate, poti folosi 3 niveluri (public, intern, confidential). Mai mult de 4 niveluri devine greu de gestionat in practica si auditorii o sa intrebe de ce ai nevoie de granularitate suplimentara.

Pentru fiecare nivel, politica de clasificare trebuie sa raspunda la trei intrebari: cine poate accesa, cum se eticheteaza si cum se distruge cand nu mai e necesara.

Eticheteaza informatiile pe nivel

Controlul A.5.13 cere ca eticheta sa fie vizibila si consistenta. Daca informatia nu e etichetata, in practica e neclasificata si toata schema cade.

Etichetarea in practica:

• Documente Word, PDF, prezentari: header sau footer cu nivelul (“Confidential” sau “Strict confidential”)
• Email: marcaj in subiect ([CONFIDENTIAL]) sau printr-o eticheta automata Microsoft Purview ori Google Workspace
• Foldere si baze de date: nume cu prefix sau permisiuni de acces care reflecta nivelul
• Documente fizice: stampila sau eticheta colorata pe coperta
• Echipamente (laptop, USB): autocolant cu nivelul cel mai inalt al datelor stocate

Informatiile publice pot ramane fara eticheta explicita, dar restul trebuie marcate. Lipsa etichetei pe un document confidential e una dintre observatiile cele mai frecvente in audit.

Aplica regulile de manipulare

Clasificarea fara reguli de manipulare e doar teorie. Pentru fiecare nivel, politica trebuie sa specifice ce se intampla la stocare, transmitere si distrugere.

Actiune	Public	Intern	Confidential	Strict confidential
Stocare	Servere publice OK	Servere interne, drive partajat	Drive cu acces restrictionat, criptat	Vault dedicat, criptare AES-256
Transmitere	Liber	Email intern	Email criptat sau platforma securizata	Canal dedicat, semnatura digitala
Acces extern	Permis	Restrictionat (NDA)	Doar cu aprobare scrisa	Interzis fara exceptie justificata
Distrugere	Stergere obisnuita	Stergere logica	Stergere securizata (overwrite)	Distrugere fizica certificata

Ai un SRL de software cu 25 angajati care livreaza pentru clienti din Germania. Codul sursa al produsului principal il clasifici “Confidential” (acces doar pentru dezvoltatorii din echipa, repository privat cu autentificare in doi pasi). Datele personale ale clientilor (CNP, adresa, date de plata) le clasifici “Strict confidential” (criptare la rest, acces logat, retentie limitata conform GDPR). Manualul de onboarding al noilor angajati e “Intern”. Pagina de cariere de pe site e “Public”. Pentru fiecare categorie ai stabilit un proprietar (CTO pentru cod, DPO pentru date personale) si reguli concrete din tabelul de mai sus.

Evita greselile frecvente

Over-classification. Marcezi tot ca “Confidential” pentru ca pare mai sigur. Rezultat: angajatii ignora etichetele, schema isi pierde sensul si auditorul observa ca nu e folosita coerent. Solutia e sa aplici nivelul cel mai mic care acopera riscul real.

Lipsa proprietarului de informatie. Nimeni nu raspunde cand o informatie schimba nivelul (un contract devine public dupa semnare, o oferta expira). Politica trebuie sa numeasca un proprietar pentru fiecare categorie de informatii, de obicei seful departamentului unde se genereaza.

Etichetare manuala fara automatizare. Daca depinzi de oameni sa marcheze fiecare email si fiecare document, in 6 luni ai aproximativ 30% conformitate. Solutiile automate (Microsoft Purview, etichete Google Drive, OneTrust) reduc efortul si lasa urme auditabile.

Lipsa instructiunilor pentru destinatari externi. Cand trimiti un document confidential la un client sau partener, ce trebuie sa faca el cu eticheta? Politica trebuie sa cuprinda si acordurile de NDA care obliga partea cealalta sa pastreze nivelul.

Implementeaza in 5 pasi

1. Faci evaluarea de risc si identifici categoriile de informatii din firma (date clienti, date angajati, financiare, operationale, comerciale)
2. Stabilesti schema (3 sau 4 niveluri) si numesti proprietari pentru fiecare categorie
3. Documentezi politica de clasificare (1-2 pagini) si o anexezi la Declaratia de Aplicabilitate pentru A.5.12 si A.5.13
4. Aplici etichetele pe documentele existente (incepi cu cele “Strict confidential” si “Confidential”, restul vine in 2-3 luni)
5. Faci training scurt cu angajatii si verifici la audit intern ca etichetele sunt aplicate consistent

Acopera cerintele GDPR si OUG 155/2024

Clasificarea nu e doar o cerinta ISO 27001. Daca prelucrezi date personale, articolul 32 GDPR cere “masuri tehnice si organizatorice adecvate” pentru securitatea prelucrarii. Clasificarea informatiilor este una dintre ele.

ANSPDCP a aplicat in primele 4 luni din 2025 amenzi GDPR totale de peste 230.500 EUR, multe pentru incalcari ale art. 32. In decembrie 2025, Roumasport S.R.L. a primit o amenda de 50.920 lei (10.000 EUR) dupa o brese de date care a expus informatii personale. In noiembrie 2025, Greencorp S.R.L. a primit 15.258 lei (3.000 EUR) dupa un atac cibernetic care a criptat baza de date.

Daca firma ta intra sub incidenta OUG 155/2024 (transpunerea NIS2 in Romania, in vigoare din 30 decembrie 2024), clasificarea si etichetarea sunt parte din masurile obligatorii. Amenzile pot ajunge la 7 milioane EUR pentru entitati importante si 10 milioane EUR pentru entitati esentiale.

Intrebari frecvente

Cate niveluri trebuie sa am in schema de clasificare?

Trei sau patru. Sub 3 niveluri (de exemplu doar “intern” si “extern”) nu acoperi diferenta dintre date sensibile si date care circula liber intre angajati. Peste 4 niveluri devine greu de explicat angajatilor si nu adauga valoare in practica.

Schema trebuie sa fie aceeasi pentru toate departamentele?

Da. Daca finantele clasifica diferit fata de IT, regulile de manipulare devin imposibil de aplicat cand un document trece intre echipe. Politica de clasificare e una pentru toata firma. Granularitatea suplimentara (de exemplu pentru date medicale sau date de plata) se rezolva prin sub-categorii in cadrul aceluiasi nivel.

Cat dureaza implementarea clasificarii pentru un SRL cu 30 angajati?

Aproximativ 4 pana la 6 saptamani: o saptamana pentru evaluarea riscului si schema, o saptamana pentru politica si trainingul echipei, 2 pana la 4 saptamani pentru aplicarea etichetelor pe documentele existente. Apoi devine un proces continuu (informatiile noi se eticheteaza la creare).

Cine raspunde daca o informatie e clasificata gresit?

Proprietarul informatiei, de obicei seful departamentului care a generat-o. Daca politica e neclara sau nu exista proprietar, raspunde responsabilul cu securitatea informatiei sau, in lipsa lui, conducerea executiva. Auditorii vor cere sa vada cum e atribuita responsabilitatea in politica de control acces si in matricea de roluri.