Pedoman untuk Klasifikasi Data
Tujuan
Tujuan dari pembuatan pedoman ini adalah untuk menghasilkan kerangka kerja untuk klasifikasi data berdasarkan tingkat sensitivitas, nilai dan kekritisannya bagi Appy Pie seperti yang dipersyaratkan oleh Kebijakan Keamanan Informasi Appy Pie. Proses klasifikasi data ini akan membantu dalam penentuan lebih lanjut kontrol keamanan dasar untuk keamanan atau perlindungan data.
Berlaku untuk
Kebijakan ini berlaku untuk staf dan diperluas Agen pihak ketiga Appy Pie serta afiliasi Appy Pie lainnya yang memiliki akses ke Data Appy Pie. Kebijakan ini terutama berlaku untuk sumber daya yang bertanggung jawab atas klasifikasi dan perlindungan Data Appy Pie, sebagaimana ditentukan oleh Peran dan Tanggung Jawab Keamanan Informasi.
Definisi
Data Rahasia adalah frasa umum yang menandakan setiap dan semua data yang diklasifikasikan sebagai Dibatasi, sesuai dengan skema klasifikasi data yang ditetapkan dalam kebijakan ini. Ini cukup sering juga disebut sebagai data sensitif.
Data Steward adalah karyawan tingkat senior yang ditunjuk di Appy Pie yang mengawasi siklus hidup satu atau beberapa set Data Appy Pie.
Data Appy Pie mencakup semua data yang dimiliki atau dilisensikan oleh Appy Pie.
Informasi Non-Publik adalah informasi apa pun yang diklasifikasikan sebagai Informasi Pribadi atau Informasi Terbatas sesuai dengan skema klasifikasi data yang tercantum dalam kebijakan.
Data Sensitif adalah istilah umum yang menandakan setiap dan semua data yang diklasifikasikan sebagai Dibatasi, sesuai skema klasifikasi data yang ditetapkan dalam kebijakan ini. Ini cukup sering juga disebut sebagai data rahasia.
Klasifikasi Data
Klasifikasi data, dalam konteks keamanan informasi atau data, adalah klasifikasi data berdasarkan tingkat sensitivitasnya dan dampaknya terhadap Appy Pie jika data tersebut dibocorkan, dimodifikasi, atau dihancurkan tanpa sanksi atau otorisasi. Proses klasifikasi data ini membantu memastikan kontrol keamanan dasar yang sesuai untuk perlindungan data. Semua data Appy Pie harus diklasifikasikan ke dalam salah satu dari tiga tingkat sensitivitas, atau klasifikasi:
| A. | Data yang Dibatasi |
| Hanya data yang harus diklasifikasikan sebagai Dibatasi, yang jika diungkapkan, diubah, atau dihancurkan tanpa otorisasi dapat menyebabkan risiko yang cukup besar bagi Appy Pie, pelanggannya, atau afiliasinya. Misalnya – data yang dilindungi oleh peraturan privasi negara bagian atau federal atau data yang dilindungi oleh perjanjian kerahasiaan. Data yang dibatasi harus dilindungi oleh kontrol keamanan tingkat tertinggi. | |
| B. | Data Pribadi |
| Hanya data yang harus diklasifikasikan sebagai Pribadi, yang jika diungkapkan, diubah, atau dihancurkan tanpa otorisasi dapat menyebabkan risiko moderat bagi Appy Pie, pelanggannya, atau afiliasinya. Setiap Data Appy Pie yang tidak secara eksplisit diklasifikasikan sebagai data Terbatas atau Publik harus, secara default, dianggap sebagai data Pribadi. Data pribadi harus dilindungi oleh tingkat kontrol keamanan yang wajar. | |
| C. | Data Publik |
| Hanya data yang harus diklasifikasikan sebagai Publik, yang jika diungkapkan, diubah, atau dihancurkan tanpa otorisasi dapat menyebabkan sedikit atau tidak ada risiko bagi Appy Pie, pelanggan, dan afiliasinya. Misalnya – siaran pers, sumber daya pendidikan, dan studi kasus. Meskipun sedikit atau tidak ada kontrol yang perlu diterapkan untuk melindungi kerahasiaan data Publik, tetap saja tingkat kontrol tertentu harus diterapkan untuk mencegah modifikasi atau penghancuran data Publik yang tidak sah. |
Klasifikasi data harus dilakukan oleh Data Steward yang sesuai. Penatalayan Data adalah karyawan tingkat senior di Appy Pie yang bertanggung jawab untuk mengawasi siklus hidup lengkap dari satu atau beberapa set Data Appy Pie.
Menghitung Klasifikasi
Tujuan keamanan informasi, seperti yang disebutkan dalam Kebijakan Keamanan Informasi kami, adalah untuk melindungi kerahasiaan, integritas, dan ketersediaan Data Appy Pie. Klasifikasi data menunjukkan tingkat dampak pada Appy Pie jika ada kompromi kerahasiaan, integritas, atau ketersediaan.
Sayangnya, tidak ada sistem kuantitatif yang sempurna untuk menghitung klasifikasi elemen data tertentu. Dalam beberapa situasi, klasifikasi yang benar mungkin lebih jelas, seperti ketika undang-undang federal mengharuskan Appy Pie untuk melindungi jenis data tertentu (misalnya informasi identitas pribadi). Dalam kasus di mana klasifikasi yang sesuai tidak jelas secara bawaan, pertimbangkan setiap tujuan keamanan seperti yang dijelaskan dalam tabel berikut. Tabel di bawah ini diambil dari publikasi Federal Information Processing Standards (FIPS) 199 yang diterbitkan oleh National Institute of Standards and Technology, yang meneliti klasifikasi informasi dan sistem informasi.
| DAMPAK POTENSIAL | |||
| Tujuan Keamanan | RENDAH | SEDANG | TINGGI |
| Kerahasiaan Mempertahankan pembatasan yang berwenang atas akses dan pengungkapan informasi, termasuk sarana untuk melindungi privasi pribadi dan informasi hak milik. | Pengungkapan informasi yang tidak sah dapat diperkirakan memiliki efek merugikan yang terbatas pada operasi organisasi, aset organisasi, atau individu. | Pengungkapan informasi yang tidak sah dapat diperkirakan memiliki efek merugikan yang serius pada operasi organisasi, aset organisasi, atau individu. | Pengungkapan informasi yang tidak sah dapat diperkirakan memiliki efek merugikan yang parah atau bencana pada operasi organisasi, aset organisasi, atau individu. |
| Integritas Menjaga terhadap modifikasi atau penghancuran informasi yang tidak tepat dan termasuk memastikan informasi yang tidak dapat disangkal dan keasliannya. | Modifikasi atau penghancuran informasi yang tidak sah dapat diperkirakan memiliki efek merugikan yang terbatas pada operasi organisasi, aset organisasi, atau individu. | Modifikasi atau penghancuran informasi yang tidak sah dapat diperkirakan memiliki efek merugikan yang serius pada operasi organisasi, aset organisasi, atau individu. | Modifikasi atau penghancuran informasi yang tidak sah dapat diperkirakan memiliki efek merugikan yang parah atau bencana pada operasi organisasi, aset organisasi, atau individu. |
| Ketersediaan Memastikan akses dan penggunaan informasi yang tepat waktu dan dapat diandalkan. | Gangguan akses ke atau penggunaan informasi atau sistem informasi dapat diharapkan memiliki efek terbatas yang beragam pada operasi organisasi, aset organisasi, atau individu. | Gangguan akses ke atau penggunaan informasi atau sistem informasi dapat diperkirakan memiliki efek merugikan yang serius pada operasi organisasi, aset organisasi, atau individu. | Gangguan akses ke atau penggunaan informasi atau sistem informasi dapat diperkirakan memiliki efek merugikan yang parah atau bencana pada operasi organisasi, aset organisasi, atau individu. |
Ketika potensi dampak pada Appy Pie berubah dari Rendah ke Tinggi, klasifikasi data perlu menjadi semakin terbatas dari Publik ke Terbatas. Jika klasifikasi yang sesuai masih samar-samar setelah mempertimbangkan poin-poin yang disebutkan di atas, hubungi Petugas Keamanan Informasi untuk mendapatkan bantuan.
| Jenis Informasi | Klasifikasi Data | Dampak Kerahasiaan | Dampak Integritas | Dampak Ketersediaan |
|---|---|---|---|---|
| Data Pribadi (Klien) | Rahasia | Tinggi | Tinggi | Tinggi |
| Data Pribadi (Karyawan) | Rahasia | Rendah | Menengah | Menengah |
| Data Keuangan (Klien) | Rahasia | Tinggi | Tinggi | Tinggi |
| Data Keuangan (Karyawan) | Rahasia | Tinggi | Tinggi | Tinggi |
| Data Vendor | Publik | Rendah | Rendah | Rendah |
