Retningslinjer for dataklassificering
Formål
Formålet med at udarbejde disse retningslinjer er at opstille en ramme for klassificering af data på grundlag af følsomhedsniveauet, deres værdi og kritisk betydning for Appy Pie som krævet i Appy Pie’s informationssikkerhedspolitik. Denne dataklassificeringsproces vil bidrage til yderligere fastlæggelse af grundlæggende sikkerhedskontroller for datasikkerhed eller databeskyttelse.
Gælder for
Politikken gælder for personalet og udvides til at omfatte Appy Pie’s tredjepartsagenter samt enhver anden Appy Pie-affilieret virksomhed, der har adgang til Appy Pie-data. Politikken gælder især for de ressourcer, der er ansvarlige for klassificering og beskyttelse af Appy Pie’s data, som specificeret i Informationssikkerhedsroller og ansvarsområder.
Definitioner
Fortrolige data er et generisk udtryk, der betegner alle data, der er klassificeret som Restricted data i henhold til den dataklassificeringsordning, der er fastlagt i denne politik. Det kaldes ofte også følsomme data.
En Data Steward er en udpeget medarbejder på højt niveau hos Appy Pie, som overvåger livscyklussen for et eller flere sæt Appy Pie-data.
Appy Pie Data omfatter alle data, der ejes eller er licenseret af Appy Pie.
Ikke-offentlige oplysninger er alle oplysninger, der er klassificeret som private eller begrænsede oplysninger i henhold til den dataklassificeringsordning, der er fastlagt i politikken.
Følsomme data er et generisk udtryk for alle data, der er klassificeret som Restricted data i henhold til den dataklassificeringsordning, der er fastlagt i denne politik. Det kaldes ofte også fortrolige data.
Klassificering af data
Dataklassificering i forbindelse med informations- eller datasikkerhed er klassificering af data på baggrund af deres følsomhedsniveau og den indvirkning, de kan have på Appy Pie, hvis de bliver videregivet, ændret eller ødelagt uden sanktion eller tilladelse. Denne dataklassificeringsproces hjælper med at fastlægge de relevante grundlæggende sikkerhedskontroller for databeskyttelse. Alle Appy Pie-data skal klassificeres i et af tre følsomhedsniveauer eller klassifikationer:
| A. | Begrænsede data |
| Kun de data bør klassificeres som Restricted, som, hvis de afsløres, ændres eller ødelægges uden tilladelse, kan medføre en betydelig risiko for Appy Pie, dets kunder eller dets associerede selskaber. F.eks. data, der er beskyttet af statslige eller føderale regler om beskyttelse af personlige oplysninger eller data, der er beskyttet af fortrolighedsaftaler. Begrænsede data skal beskyttes med det højeste niveau af sikkerhedskontrol. | |
| B. | Private data |
| Kun de data bør klassificeres som private, som, hvis de afsløres, ændres eller ødelægges uden tilladelse, kan medføre en moderat risiko for Appy Pie, dets kunder eller dets associerede selskaber. Alle Appy Pie-data, der ikke udtrykkeligt er klassificeret som begrænsede eller offentlige data, bør som standard betragtes som private data. Private data skal beskyttes ved hjælp af et rimeligt niveau af sikkerhedskontrol. | |
| C. | Offentlige data |
| Kun de data bør klassificeres som offentlige, som, hvis de afsløres, ændres eller ødelægges uden tilladelse, kan medføre lille eller ingen risiko for Appy Pie, dets kunder og dets associerede selskaber. F.eks. pressemeddelelser, uddannelsesressourcer og casestudier. Selv om der kun skal anvendes få eller ingen kontroller for at beskytte fortroligheden af offentlige data, skal der stadig anvendes et vist kontrolniveau for at forhindre uautoriseret ændring eller ødelæggelse af offentlige data. |
Dataklassificering skal udføres af en egnet dataansvarlig. Data Stewards er medarbejdere på højt niveau hos Appy Pie, som er ansvarlige for at føre tilsyn med hele livscyklussen for et eller flere sæt Appy Pie-data.
Beregning af klassificering
Formålet med informationssikkerhed, som nævnt i vores politik for informationssikkerhed, er at beskytte fortroligheden, integriteten og tilgængeligheden af Appy Pie-data. Klassificering af data angiver omfanget af konsekvenserne for Appy Pie, hvis der sker en kompromittering af fortrolighed, integritet eller tilgængelighed.
Desværre findes der ikke noget perfekt kvantitativt system til beregning af klassifikationen af et bestemt dataelement. I nogle situationer kan den korrekte klassificering være mere indlysende, f.eks. når føderale love kræver, at Appy Pie beskytter bestemte datatyper (f.eks. personligt identificerbare oplysninger). I tilfælde, hvor den passende klassifikation ikke er indlysende, skal du overveje hvert enkelt sikkerhedsmål som beskrevet i nedenstående tabel. Nedenstående tabel er taget fra Federal Information Processing Standards (FIPS) publikation 199, der er udgivet af National Institute of Standards and Technology, og som omhandler klassificering af information og informationssystemer.
| POTENTIEL INDVIRKNING | |||
| Sikkerhedsmål | LOW | MODERATE | HØJ |
| Fortrolighed Bevarelse af godkendte begrænsninger for adgang til og videregivelse af oplysninger, herunder midler til beskyttelse af personlige oplysninger og fortrolige oplysninger. | Uautoriseret videregivelse af oplysninger kan forventes at have en begrænset negativ indvirkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner. | Uautoriseret videregivelse af oplysninger kan forventes at have en alvorlig negativ indvirkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner. | Uautoriseret videregivelse af oplysninger kan forventes at have en alvorlig eller katastrofal negativ indvirkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner. |
| Integritet Beskyttelse mod ukorrekt ændring eller ødelæggelse af oplysninger og omfatter sikring af, at oplysninger ikke kan afvises og er autentiske. | Uautoriseret ændring eller ødelæggelse af oplysninger kan forventes at have en begrænset negativ indvirkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner. | Uautoriseret ændring eller ødelæggelse af oplysninger kan forventes at have en alvorlig negativ indvirkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner. | Uautoriseret ændring eller ødelæggelse af oplysninger kan forventes at have en alvorlig eller katastrofal negativ indvirkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner. |
| Tilgængelighed Sikring af rettidig og pålidelig adgang til og anvendelse af oplysninger. | Afbrydelse af adgangen til eller brugen af oplysninger eller et informationssystem kan forventes at have en begrænset eller forskelligartet virkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner. | Afbrydelse af adgangen til eller brugen af oplysninger eller et informationssystem kan forventes at have en alvorlig negativ indvirkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner. | Afbrydelse af adgangen til eller brugen af oplysninger eller et informationssystem kan forventes at have en alvorlig eller katastrofal negativ indvirkning på organisationens drift, organisatoriske aktiver eller enkeltpersoner. |
Når den potentielle indvirkning på Appy Pie går fra lav til høj, skal dataklassificeringen gradvist blive mere restriktiv fra offentlig til begrænset. Hvis en passende klassifikation stadig er uklar efter behørig overvejelse af de ovennævnte punkter, skal du kontakte den informationssikkerhedsansvarlige for at få hjælp.
| Informationstype | Klassificering af data | Konsekvenser for fortroligheden | Virkninger for integriteten | Virkning på tilgængeligheden |
|---|---|---|---|---|
| Personlige data (klient) | Fortroligt | Høj | Høj | Høj |
| Personlige data (medarbejder) | Fortroligt | Lav | Midt på | Midt på |
| Finansielle data (kunder) | Fortroligt | Høj | Høj | Høj |
| Finansielle data (ansatte) | Fortroligt | Høj | Høj | Høj |
| Data fra sælgeren | Offentlig | Lav | Lav | Lav |
