Gevoelige informatie zoals financiële gegevens, werknemersgegevens en informatie over klanten moeten duidelijk worden gemarkeerd, op de juiste manier worden behandeld en opgeslagen en op de juiste wijze worden vernietigd in overeenstemming met het vastgestelde beleid, normen en procedures van de organisatie.:
- Markering: Hoe een organisatie gevoelige informatie identificeert, of deze nu elektronisch of op papier is. Een markering kan bijvoorbeeld PRIVILEGED AND CONFIDENTIAL lezen. De methode voor het markeren varieert, afhankelijk van het type gegevens waar we het over hebben. Elektronische documenten kunnen bijvoorbeeld een markering in de marge aan het begin van elke pagina hebben. Wanneer gevoelige gegevens door een toepassing worden weergegeven, kan het zijn dat de toepassing zelf de gebruiker informeert over de classificatie van de gegevens die worden weergegeven.
- Afhandeling: De organisatie moet procedures hebben ingesteld voor het omgaan met gevoelige informatie. Deze procedures beschrijven hoe medewerkers dergelijke informatie kunnen vervoeren, verzenden en gebruiken, evenals alle toepasselijke beperkingen.
- Opslag en back-up: Net als bij de verwerking moet de organisatie beschikken over procedures en vereisten die specificeren hoe gevoelige informatie moet worden opgeslagen en waarvan een back-up moet worden gemaakt.
- Vernietiging: Vroeg of laat moet een organisatie een document vernietigen dat gevoelige informatie bevat. De organisatie moet beschikken over procedures waarin wordt beschreven hoe gevoelige informatie die eerder is bewaard, kan worden vernietigd, ongeacht of de gegevens op papier zijn opgeslagen of als een elektronisch bestand zijn opgeslagen.
U vraagt zich misschien af, hoe bepaalt u wat de juiste hanteringsvereisten zijn voor elk classificatieniveau? Er zijn twee belangrijke manieren om dit te achterhalen:
- Toepasselijke wetten, voorschriften en normen . Vaak bevatten voorschriften zoals HIPAA en PCI specifieke vereisten voor het omgaan met gevoelige informatie.
- Risicobeoordeling . Een risicobeoordeling wordt gebruikt om relevante bedreigingen en kwetsbaarheden te identificeren, evenals het instellen van beheersmaatregelen om risico's te beperken. Sommige van deze besturingselementen kunnen de vorm aannemen van vereisten voor gegevensverwerking die deel zullen uitmaken van het asset-classificatieprogramma van een organisatie.