Tietojen luokittelua koskevat ohjeet
Käyttötarkoitus
Näiden ohjeiden laatimisen tarkoituksena on luoda puitteet tietojen luokittelulle herkkyystason, arvon ja kriittisyyden perusteella Appy Pie:lle Appy Pie:n tietoturvapolitiikan mukaisesti. Tämä tietojen luokitteluprosessi auttaa tietoturvan tai tietosuojan perustason turvavalvonnan määrittelyssä.
Sovelletaan
Käytäntöä sovelletaan Appy Pie:n henkilökuntaan ja laajennetaan Appy Pie:n ulkopuolisiin edustajiin sekä kaikkiin muihin Appy Pie:n tytäryhtiöihin, joilla on pääsy Appy Pie:n tietoihin. Käytäntöä sovelletaan erityisesti Appy Pie:n tietojen luokittelusta ja suojaamisesta vastaaviin resursseihin, kuten tietoturvan rooleissa ja vastuualueissa on määritelty.
Määritelmät
Luottamukselliset tiedot on yleinen ilmaisu, joka tarkoittaa kaikkia tietoja, jotka on luokiteltu rajoitetuiksi tässä politiikassa esitetyn tietojen luokittelujärjestelmän mukaisesti. Niitä kutsutaan usein myös arkaluonteisiksi tiedoiksi.
Data Steward on Appy Pie:n nimetty ylemmän tason työntekijä, joka valvoo yhden tai useamman Appy Pie -tietokokonaisuuden elinkaarta.
Appy Pie Data sisältää kaikki Appy Pie:n omistamat tai lisensoidut tiedot.
Ei-julkisia tietoja ovat kaikki tiedot, jotka on luokiteltu yksityisiksi tai salassa pidettäviksi tiedoiksi toimintaperiaatteissa esitetyn tietojen luokittelujärjestelmän mukaisesti.
Arkaluonteiset tiedot on yleisnimitys, joka tarkoittaa kaikkia tietoja, jotka on luokiteltu rajoitetuiksi tässä politiikassa esitetyn tietojen luokittelujärjestelmän mukaisesti. Niitä kutsutaan usein myös luottamuksellisiksi tiedoiksi.
Tietojen luokittelu
Tietojen luokittelulla tarkoitetaan tieto- tai tietoturvan yhteydessä tietojen luokittelua niiden arkaluonteisuuden tason ja niiden vaikutusten perusteella, joita niillä voi olla Appy Pie -yritykselle, jos niitä luovutetaan, muutetaan tai tuhotaan ilman seuraamuksia tai lupaa. Tämä tietojen luokitteluprosessi auttaa määrittämään asianmukaiset perustason tietoturvavalvontatoimet tietosuojaa varten. Kaikki Appy Pie -tiedot on luokiteltava johonkin kolmesta herkkyystasosta eli luokituksesta:
| A. | Rajoitetut tiedot |
| Ainoastaan sellaiset tiedot tulisi luokitella rajoitetuksi, joiden luovuttaminen, muuttaminen tai tuhoaminen ilman lupaa voi aiheuttaa huomattavan riskin Appy Pie:lle, sen asiakkaille tai sen tytäryhtiöille. Esimerkiksi – tiedot, jotka on suojattu osavaltion tai liittovaltion tietosuojasäännöksillä, tai tiedot, jotka on suojattu salassapitosopimuksilla. Rajoitetut tiedot on suojattava korkeimmalla mahdollisella tietoturvatasolla. | |
| B. | Yksityiset tiedot |
| Vain sellaiset tiedot on luokiteltava yksityisiksi, joiden luovuttaminen, muuttaminen tai tuhoaminen ilman lupaa voi aiheuttaa kohtalaisen suuren riskin Appy Pie:lle, sen asiakkaille tai sen tytäryhtiöille. Kaikki Appy Pie -tiedot, joita ei ole nimenomaisesti luokiteltu rajoitetuiksi tai julkisiksi tiedoiksi, olisi oletusarvoisesti katsottava yksityisiksi tiedoiksi. Yksityiset tiedot on suojattava kohtuullisella tietoturvatasolla. | |
| C. | Julkiset tiedot |
| Ainoastaan sellaiset tiedot on luokiteltava julkisiksi, joiden luovuttaminen, muuttaminen tai tuhoaminen ilman lupaa voi aiheuttaa vain vähän tai ei lainkaan riskejä Appy Pie:lle, sen asiakkaille ja tytäryhtiöille. Esimerkiksi lehdistötiedotteet, koulutusresurssit ja tapaustutkimukset. Vaikka julkisten tietojen luottamuksellisuuden suojaamiseksi on sovellettava vain vähän tai ei lainkaan valvontatoimia, on kuitenkin sovellettava tietyn tasoista valvontaa, jotta voidaan estää julkisten tietojen luvaton muuttaminen tai tuhoaminen. |
Tietojen luokittelusta on huolehdittava asianmukaisen tietohallinnoijan toimesta. Data Stewards ovat Appy Pie:n ylemmän tason työntekijöitä, jotka ovat vastuussa yhden tai useamman Appy Pie -tietokokonaisuuden koko elinkaaren valvonnasta.
Luokituksen laskeminen
Tietoturvan tarkoituksena on, kuten tietoturvapolitiikassamme mainitaan, suojella Appy Pie -tietojen luottamuksellisuutta, eheyttä ja saatavuutta. Tietojen luokittelu osoittaa, kuinka suuri vaikutus Appy Pie -palveluun kohdistuu, jos luottamuksellisuus, eheys tai saatavuus vaarantuu.
Valitettavasti ei ole olemassa täydellistä kvantitatiivista järjestelmää tietyn tietoelementin luokituksen laskemiseksi. Joissakin tilanteissa oikea luokittelu voi olla ilmeisempi, kuten silloin, kun liittovaltion lait edellyttävät Appy Pie:tä suojaamaan tietyntyyppisiä tietoja (esim. henkilökohtaisesti tunnistettavia tietoja). Tapauksissa, joissa sopiva luokitus ei ole itsestään selvä, tarkastellaan jokaista turvallisuustavoitetta seuraavassa taulukossa kuvatulla tavalla. Jäljempänä oleva taulukko on peräisin kansallisen standardointi- ja teknologiainstituutin (National Institute of Standards and Technology) julkaisusta 199 (Federal Information Processing Standards, FIPS), jossa tarkastellaan tietojen ja tietojärjestelmien luokittelua.
| MAHDOLLINEN VAIKUTUS | |||
| Turvallisuustavoite | LOW | MODERATE | HIGH |
| Luottamuksellisuus Tietojen saatavuutta ja luovuttamista koskevien sallittujen rajoitusten säilyttäminen, mukaan lukien keinot yksityisyyden ja omistusoikeuden alaisten tietojen suojaamiseksi. | Tietojen luvattomalla luovuttamisella voidaan olettaa olevan rajoitettu haitallinen vaikutus organisaation toimintaan, organisaation omaisuuteen tai yksilöihin. | Tietojen luvattomalla luovuttamisella voi oletettavasti olla vakavia haitallisia vaikutuksia organisaation toimintaan, organisaation omaisuuteen tai yksilöihin. | Tietojen luvattomalla luovuttamisella voi oletettavasti olla vakavia tai katastrofaalisia haittavaikutuksia organisaation toimintaan, organisaation omaisuuteen tai yksilöihin. |
| Rehellisyys Tietojen suojaaminen tietojen vääränlaiselta muuttamiselta tai tuhoamiselta, ja siihen sisältyy tietojen kiistämättömyyden ja aitouden varmistaminen. | Tietojen luvattomalla muuttamisella tai tuhoamisella voidaan olettaa olevan rajallinen haitallinen vaikutus organisaation toimintaan, organisaation omaisuuteen tai yksilöihin. | Tietojen luvattomalla muuttamisella tai tuhoamisella voi oletettavasti olla vakavia haitallisia vaikutuksia organisaation toimintaan, organisaation omaisuuteen tai yksilöihin. | Tietojen luvattomalla muuttamisella tai tuhoamisella voi oletettavasti olla vakavia tai katastrofaalisia haittavaikutuksia organisaation toimintaan, organisaation omaisuuteen tai yksilöihin. |
| Saatavuus Varmistetaan oikea-aikainen ja luotettava tiedon saanti ja käyttö. | Tiedon tai tietojärjestelmän saatavuuden tai käytön häiriön voidaan olettaa vaikuttavan rajoitetusti tai monipuolisesti organisaation toimintaan, organisaation omaisuuteen tai yksilöihin. | Tietojen tai tietojärjestelmän saatavuuden tai käytön häiriön voidaan olettaa vaikuttavan vakavasti haitallisesti organisaation toimintaan, organisaation omaisuuteen tai yksilöihin. | Tiedon tai tietojärjestelmän saatavuuden tai käytön häiriöllä voi oletettavasti olla vakava tai katastrofaalinen haitallinen vaikutus organisaation toimintaan, organisaation omaisuuteen tai yksilöihin. |
Kun mahdollinen vaikutus Appy Pie -palveluun muuttuu alhaisesta suureksi, tietoluokituksen on rajoituttava asteittain julkisesta rajoitettuun. Jos sopiva luokitus on edelleen epäselvä edellä mainittujen seikkojen asianmukaisen tarkastelun jälkeen, ota yhteyttä tietoturvavastaavaan.
| Tietotyyppi | Tietojen luokittelu | Vaikutus luottamuksellisuuteen | Vaikutus eheyteen | Saatavuus Vaikutus |
|---|---|---|---|---|
| Henkilötiedot (asiakas) | Luottamuksellinen | Korkea | Korkea | Korkea |
| Henkilötiedot (työntekijä) | Luottamuksellinen | Matala | Mid | Mid |
| Taloudelliset tiedot (asiakkaat) | Luottamuksellinen | Korkea | Korkea | Korkea |
| Taloudelliset tiedot (työntekijät) | Luottamuksellinen | Korkea | Korkea | Korkea |
| Myyjän tiedot | Julkinen | Matala | Matala | Matala |
