Jednym z pierwszych etapów w każdym systemie zarządzania bezpieczeństwem, przy jego projektowaniu jest tzw. identyfikacja, klasyfikacja i wartościowanie zasobów (opiszę tylko informacyjne, środki przetwarzania na razie pominę).
- Identyfikacja jest raczej dość prosta. Po prostu wypisujemy wszystkie informacje jakie biorą udział w konkretnych etapach procesu (kadrowego, produkcyjnego, logistycznego, etc)
- Klasyfikacja – bywa dość trudna, niemniej RODO przychodzi nam z pomocą. To są kategorie danych osobowych. Kontaktowe, dotyczące wykształcenia, dotyczące zdrowia etc.
- Wartościowanie. W przypadku informacji stosujemy metodę np księgową, odtworzeniową, procesową (krytyczność informacji w procesie). I tutaj znów RODO przychodzi nam z pomocą, wprowadzając zwykłe kategorie danych (kontaktowe, dotyczące wykształcenia, etc), szczególne kategorie (zdrowie, seksualność) jak i te dotyczące skazań.
Kolejnym plusem RODO jest wskazanie tego, jak z danymi różnej “wartości” postępować. Dane zwykłych kategorii mają dość lajtowe zabezpieczenia, w stosunku do tych szczególnych i tych jeszcze bardziej szczególnych (art 10 RODO).
Takie podejście umożliwia systemowe traktowanie bezpieczeństwa i przygotowanie tzw. predefiniowanych zabezpieczeń. Po prostu wystarczy opisać jakie np. klasy odporności na włamanie mają być dla urządzeń dla dokumentów zawierających dane zwykłych, dane szczególnych i tych bardziej szczególnych. Podobnie kontrola dostępu do pomieszczeń, czy klasa systemu sygnalizacji włamania.
UWAGA (krytyczna). Wartość informacji przegląda się i aktualizuje po zakończeniu pełnego procesu szacowania ryzyka. Bywa bowiem tak, ze teoretycznie niska wartość zasobu po przeszacowaniu ryzyka zostanie zmieniona na średnia lub wysoką, w związku z ryzykiem naruszenia praw i wolności.
Różnica RODO vs ISO 27001. Wartość, jak z samego RODO wynika dla RODO jest powiązana z naruszeniem praw i wolności. Aby skorzystać w ISO – należy podstawić inne klasy wartości.
Np dane o wykształceniu szefa logistyki w RODO mogą być jako dane zwykłych kategorii, ale z punktu widzenia tajemnicy przedsiębiorstwa będzie to informacja krytyczna, związana z unikalnością stanowiska.