Classificação da Informação: o controle que define o nível de proteção dos dados
- Mainsafe
- há 4 dias
- 2 min de leitura
O controle 5.10 da ISO/IEC 27001 trata da classificação da informação processo essencial para definir como cada dado deve ser protegido, de acordo com seu valor, sensibilidade e criticidade.
A partir da classificação, a organização consegue aplicar o nível certo de segurança para cada tipo de informação, evitando desperdícios e garantindo conformidade com a LGPD.
O que é a classificação da informação
De acordo com a ISO 27002 classificar informações significa organizar e rotular dados conforme sua importância e necessidade de proteção.
Essa prática permite:
Controlar acessos e autorizações;
Cumprir requisitos legais (como a LGPD);
Definir regras de compartilhamento, armazenamento e descarte;
Evitar que dados críticos sejam expostos por erro ou descuido.
Como funciona o controle 5.10 (ISO 27001)
A ISO determina que:
Cada ativo deve ser classificado segundo seu valor, sensibilidade e criticidade;
A classificação deve considerar confidencialidade, integridade e disponibilidade;
O proprietário do ativo é o responsável pela sua classificação;
A classificação deve ser coerente em toda a organização e revisada periodicamente.
💡 A ISO 27002 reforça que a classificação também se aplica a ativos físicos, digitais e serviços que armazenem ou processem informações.
Níveis de classificação (exemplos práticos)
Nível | Descrição | Exemplo de uso |
Público | Informação de domínio público, sem impacto se divulgada. | Posts institucionais, políticas públicas. |
Interno | Uso restrito aos colaboradores da empresa. | Relatórios internos, comunicações de equipe. |
Confidencial | Exige controle de acesso e autorização. | Dados financeiros, informações de clientes. |
Sensível | Exige proteção máxima e controles especiais. | Dados pessoais sensíveis (LGPD), segredos industriais. |
Cada categoria deve ter regras de armazenamento, transmissão, retenção e descarte, conforme o grau de risco.
Rotulagem e tratamento da informação
As informações devem receber rótulos físicos ou digitais que indiquem seu nível de classificação — visíveis em documentos, sistemas e e-mails.
Procedimentos recomendados:
Identificação clara do nível de sigilo;
Orientações de manuseio e compartilhamento;
Treinamentos sobre como aplicar e reconhecer rótulos;
Automação por sistemas de DLP (Data Loss Prevention).
Relação entre classificação e LGPD
A classificação da informação é o complemento técnico da LGPD:
A LGPD define o que é dado pessoal e sensível;
A ISO 27001 determina como protegê-los.
Assim, classificar corretamente as informações permite cumprir os princípios da LGPD (segurança, prevenção e responsabilização) e reduzir a chance de incidentes reportáveis à ANPD.
Como o DPONOTE e a MainSafe ajudam
DPONOTE – Classificação e proteção integrada
Registro e classificação de informações conforme a ISO 27001;
Associação direta aos ativos, riscos e RoPA;
Evidências para auditorias LGPD e ISO.
MainSafe – Consultoria e governança
Implementação do controle 5.10 da ISO 27001;
Elaboração de políticas e planos de classificação;
Treinamentos e conscientização sobre rotulagem e confidencialidade;
Revisões periódicas de sensibilidade e criticidade dos dados.
Com MainSafe e DPONOTE, sua empresa garante que cada informação receba o nível certo de proteção, equilibrando eficiência e conformidade.
Comentários