Innholdsfortegnelse:
Video: Klassifisering og risikovurdering av ungdom med atferdsvansker ved Tore Andreassen, Bufdir. Del 1 2024
Informasjon og data, i alle sine ulike former, er verdifulle forretningsaktiver som krever sikkerhet. Som med andre mer materielle eiendeler, bestemmer informasjonens verdi det nivået av beskyttelse som kreves av organisasjonen.
En dataklassifiseringsordning hjelper en organisasjon til å tildele en verdi til sine informasjonsmidler basert på dens følsomhet for tap eller avsløring og dens kritikk til organisasjonens oppdrag eller formål, og hjelper organisasjonen bestemmer riktig nivå av beskyttelse. I tillegg kan dataklassifiseringsordninger være påkrevd for regulatorisk eller annen lovlig etterlevelse.
Det er verken praktisk eller ønskelig å anvende en enkelt beskyttelsesstandard jevnt over alle organisasjonens eiendeler. I så fall er enten ikke-kritiske data overbeskyttet eller kritiske data underbeskyttet.
En organisasjonens ansatte må også forstå klassifiseringsskjemaet som brukes, hvordan man klassifiserer informasjonenes ressurser, håndterer og beskytter krav og ordentlig destruksjon eller avhending.
Kommersiell dataklassifisering
Kommersielle dataklassifiseringsordninger implementeres vanligvis for å beskytte informasjon som har en pengeverdi, å overholde gjeldende lover og beskytte personvern og begrense ansvar. Kriterier ved hvilke kommersielle data er klassifisert, inkluderer
- Verdi: Det vanligste klassifiseringskriteriet i kommersielle organisasjoner. Den er basert på monetær verdi eller annen verdi.
- Alder / brukstid: Informasjon som mister verdi over tid, blir foreldet eller irrelevant, eller blir vanlig / offentlig kunnskap er klassifisert på denne måten.
- Regulatoriske krav: Private opplysninger, som medisinske journaler underlagt HIPAA (Health Insurance Portability and Accountability Act of 1996) og HITECH (Health Information Technology for Economic and Clinical Health Act) forskrifter og pedagogiske oppføringer underlagt personvernet Lov, kan ha juridiske krav til beskyttelse. Klassifisering av slik informasjon kan ikke bare være basert på overholdelse, men også på ansvarsgrenser.
Beskrivende etiketter brukes ofte til bedriftsinformasjon, for eksempel Konfidensielt og proprietært og Kun intern bruk. De organisatoriske kravene til å beskytte informasjon som er merket som sådan, er imidlertid ofte ikke formelt definert. Organisasjoner bør formelt identifisere standardklassifikasjonsnivåer, samt spesifikke krav til merking, håndtering, lagring og destruksjon / bortskaffelse.
Regjeringens dataklassifisering
Regjeringens klassifiseringssystemer er generelt implementert til
- Beskytt nasjonale interesser eller sikkerhet.
- Følg gjeldende lover.
- Beskytt personvern.
En av de mer vanlige systemene, som brukes i Forsvarets Forsvarsdepartement (DoD), består av fem brede kategorier for informasjonsklassifisering: Uklassifisert, følsom men uklassifisert (SBU), konfidensiell, hemmelig og topphemmelig.
Innenfor hvert klassifikasjonsnivå er det nødvendig med visse garantier ved bruk, håndtering, reproduksjon, transport og ødeleggelse av forsvarsdepartementets informasjon. I tillegg til å ha et passende klareringsnivå ved eller over nivået på informasjonen som behandles, må enkeltpersoner ha behov for å vite før de kan få tilgang til informasjonen. De som trenger å vite er de som trenger informasjonen for å utføre en tilordnet jobbfunksjon.
Uklassifisert
Det laveste statlige dataklassifikasjonsnivået er Uklassifisert. Uklassifisert informasjon er ikke følsom, og uautorisert avsløring vil ikke forårsake skade på nasjonal sikkerhet. Uklassifisert informasjon kan inneholde informasjon som en gang ble klassifisert på et høyere nivå, men har siden blitt avklassifisert av en passende myndighet. Uklassifisert informasjon kan ikke automatisk løses til offentligheten og kan omfatte tilleggsmodifikatorer som Kun for offentlig bruk eller Kun for intern bruk.
Sensitive but Unclassified (SBU)
Sensitive but Unclassified informasjon er en felles modifikator av uklassifisert informasjon. Den inneholder vanligvis informasjon av privat eller personlig art. Eksempler inkluderer test spørsmål, disiplinære prosedyrer og medisinske journaler.
Konfidensiell
Konfidensiell Informasjon er informasjon som, hvis det er kompromittert, kan skade nasjonal sikkerhet. Konfidensiell informasjon er det laveste nivået av klassifisert offentlig informasjon.
Hemmelig
Hemmelig Informasjon er informasjon som kan forårsake alvorlig skade på nasjonal sikkerhet hvis den kompromitteres. Hemmelig informasjon må normalt regnskapsføres gjennom hele livssyklusen, helt til ødeleggelsen.
Topphemmelig
Topphemmelig Informasjon er informasjon som, hvis den er kompromittert, kan føre til alvorlig skade på nasjonal sikkerhet. Øverste hemmelige opplysninger kan kreve tilleggsforanstaltninger, for eksempel spesielle betegnelser og håndteringsbegrensninger.
En person må ha riktig clearance nivå og need-to-know for tilgang til klassifisert informasjon.
