Inhoudsopgave:
Video: Classification 2024
Informatie en gegevens, in al hun verschillende vormen, zijn waardevolle bedrijfsmiddelen die beveiliging vereisen. Zoals met andere, meer tastbare activa, bepaalt de waarde van de informatie het beschermingsniveau dat door de organisatie wordt vereist.
Een gegevensclassificatieschema helpt een organisatie een waarde aan zijn informatieactiva toe te kennen op basis van zijn gevoeligheid voor verlies of vrijgave en zijn kriticiteit voor de missie of het doel van de organisatie. organisatie bepalen het juiste beschermingsniveau. Bovendien kunnen gegevensclassificatieschema's vereist zijn voor wettelijke of andere wettelijke naleving.
Het uniform toepassen van één enkele beveiligingsstandaard op alle bedrijfsmiddelen van een organisatie is praktisch noch wenselijk. In dergelijke gevallen zijn ofwel niet-kritieke gegevens overbeveiligd of zijn kritieke gegevens onderbelast.
De werknemers van een organisatie moeten ook begrijpen welk classificatieschema wordt gebruikt, hoe ze informatieactiva moeten classificeren, hoe ze moeten omgaan en hoe ze moeten worden beschermd en hoe ze moeten worden vernietigd of verwijderd.
Commerciële gegevensclassificatie
Commerciële classificatieschema's worden doorgaans geïmplementeerd om informatie te beschermen die een geldwaarde heeft, om te voldoen aan toepasselijke wetgeving en om privacy te beschermen, en om aansprakelijkheid te beperken. Criteria waarmee commerciële gegevens worden geclassificeerd, omvatten
- Waarde: Het meest voorkomende classificatiecriterium in commerciële organisaties. Het is gebaseerd op geldwaarde of een andere waarde.
- Leeftijd / gebruiksduur: Informatie die in de loop van de tijd waarde verliest, verouderd of irrelevant wordt of algemeen wordt / publieke kennis wordt op deze manier geclassificeerd.
- Wettelijke vereisten: Privé-informatie, zoals medische dossiers die onderworpen zijn aan HIPAA (Health Insurance Portability and Accountability Act van 1996) en HITECH (Health Information Technology for Economic and Clinical Health Act) voorschriften en onderwijspagina's die onderworpen zijn aan de Privacy Wet, kan wettelijke vereisten voor bescherming hebben. Classificatie van dergelijke informatie kan niet alleen gebaseerd zijn op naleving, maar ook op aansprakelijkheidslimieten.
Beschrijvende labels worden vaak toegepast op bedrijfsinformatie, zoals Vertrouwelijk en eigen en Alleen intern gebruik. De organisatorische vereisten voor het beschermen van als zodanig gelabelde informatie zijn echter vaak niet formeel vastgelegd. Organisaties dienen formeel de classificatieniveaus te identificeren, evenals specifieke vereisten voor etikettering, behandeling, opslag en vernietiging / verwijdering.
Classificatie van overheidsgegevens
Regelsystemen voor overheidsgegevens worden over het algemeen geïmplementeerd om
- nationale belangen of beveiliging te beschermen.
- Voldoe aan de toepasselijke wetgeving.
- Bescherm privacy.
Een van de meest voorkomende systemen, gebruikt door het Amerikaanse Ministerie van Defensie (DoD), bestaat uit vijf brede categorieën voor informatieclassificatie: niet-geclassificeerd, gevoelig maar niet-geclassificeerd (SBU), vertrouwelijk, geheim en topgeheim.
Binnen elk classificatieniveau zijn bepaalde voorzorgsmaatregelen vereist bij het gebruik, de hantering, de reproductie, het transport en de vernietiging van informatie over de defensie-afdeling. Naast het hebben van een passend vrijgavegehalte op of boven het niveau van de informatie die wordt verwerkt, moeten individuen eerst moeten weten voordat zij toegang hebben tot de informatie. Degenen die het moeten weten, zijn degenen die de informatie nodig hebben om een toegewezen functie uit te voeren.
Niet geclassificeerd
Het laagste gegevensniveau voor overheidsgegevens is Niet geclassificeerd. Niet-geclassificeerde informatie is niet gevoelig en ongeoorloofde openbaarmaking zal de nationale veiligheid niet schaden. Niet-geclassificeerde informatie kan informatie bevatten die ooit op een hoger niveau is geclassificeerd maar inmiddels is vrijgegeven door een bevoegde autoriteit. Niet-geclassificeerde informatie is niet automatisch vrij te geven voor het publiek en kan extra modifiers bevatten, zoals Alleen voor officieel gebruik of alleen voor intern gebruik.
Gevoelige maar niet-geclassificeerde (SBU)
gevoelige maar niet-geclassificeerde informatie is een veel voorkomende aanpassing van niet-geclassificeerde informatie. Het bevat over het algemeen informatie van privé- of persoonlijke aard. Voorbeelden zijn testvragen, disciplinaire procedures en medische dossiers.
Vertrouwelijke
vertrouwelijke informatie is informatie die, indien aangetast, schade aan de nationale veiligheid kan veroorzaken. Vertrouwelijke informatie is het laagste niveau van gerubriceerde overheidsinformatie.
Geheime
geheime informatie is informatie die, indien aangetast, ernstige schade aan de nationale veiligheid kan veroorzaken. Geheime informatie moet normaal worden verantwoord gedurende de hele levenscyclus, helemaal tot aan de vernietiging ervan.
Top Secret
Top Secret -informatie is informatie die, indien aangetast, de nationale veiligheid ernstig zou kunnen schaden. Bovenkant pagina Geheime informatie kan aanvullende voorzorgsmaatregelen vereisen, zoals speciale aanduidingen en behandelingsbeperkingen.
Een persoon moet het juiste vrije ruimte hebben en need-to-know voor toegang tot geclassificeerde informatie.