Video: Må man selv etablere en faskine 2024
Følsom informasjon som finansposter, ansattes data og informasjon om kunder må være tydelig merket, håndtert og lagret og destrueres hensiktsmessig i samsvar med etablerte organisatoriske retningslinjer, standarder og prosedyrer:
- Merking: Hvordan en organisasjon identifiserer sensitiv informasjon, enten elektronisk eller hard copy. For eksempel kan en merking lese PRIVILEGED AND CONFIDENTIAL. Metoden for merking varierer, avhengig av hvilken type data vi snakker om. For eksempel kan elektroniske dokumenter få merking i marginen ved siden av hver side. Hvor sensitive data vises av et program, kan det være selve applikasjonen som informerer brukeren om klassifiseringen av data som vises.
- Håndtering: Organisasjonen bør ha etablert prosedyrer for håndtering av sensitiv informasjon. Disse prosedyrene beskriver hvordan ansatte kan transportere, overføre og bruke slik informasjon, samt eventuelle gjeldende begrensninger.
- Lagring og sikkerhetskopiering: I likhet med håndtering må organisasjonen ha prosedyrer og krav som angir hvordan sensitiv informasjon må lagres og sikkerhetskopieres.
- Destruction: Før eller senere må en organisasjon ødelegge et dokument som inneholder sensitiv informasjon. Organisasjonen må ha prosedyrer som beskriver hvordan man kan ødelegge sensitiv informasjon som tidligere er beholdt, uavhengig av om dataene er i hard copy eller lagret som en elektronisk fil.
Det kan hende du lurer på hvordan bestemmer du hva som utgjør passende håndteringskrav for hvert klassifikasjonsnivå? Det er to hovedmåter å finne ut av dette:
- Gjeldende lover, forskrifter og standarder . Ofte inneholder forskrifter som HIPAA og PCI spesifikke krav til håndtering av sensitiv informasjon.
- Risikovurdering . En risikovurdering brukes til å identifisere aktuelle trusler og sårbarheter, samt etablering av kontroller for å redusere risikoen. Noen av disse kontrollene kan ta form av datahåndteringskrav som vil bli en del av en organisasjons aktivitetsklassifiseringsprogram.
