데이터 분류 지침
목적
이 지침을 만드는 목적은 Appy Pie의 정보 보안 정책에서 요구하는 Appy Pie에 대한 민감도, 가치 및 중요도를 기반으로 데이터를 분류하기 위한 프레임워크를 마련하는 것입니다. 이 데이터 분류 프로세스는 데이터 보안 또는 보호를 위한 기본 보안 제어를 추가로 결정하는 데 도움이 됩니다.
적용 대상
이 정책은 직원에게 적용되며 Appy Pie 데이터에 액세스할 수 있는 다른 Appy Pie 계열사뿐만 아니라 Appy Pie의 제3자 에이전트까지 확장됩니다. 이 정책은 정보 보안 역할 및 책임에 지정된 대로 Appy Pie 데이터의 분류 및 보호를 담당하는 리소스에 특히 적용됩니다.
정의
기밀 데이터는 이 정책에 명시된 데이터 분류 체계에 따라 제한된 것으로 분류되는 모든 데이터를 나타내는 일반적인 문구입니다. 민감한 데이터라고도 하는 경우가 많습니다.
데이터 관리자는 Appy Pie 데이터의 하나 또는 여러 세트의 수명 주기를 감독하는 Appy Pie의 지정된 고위급 직원입니다.
Appy Pie 데이터에는 Appy Pie가 소유하거나 라이선스를 부여한 모든 데이터가 포함됩니다.
비공개 정보는 정책에 명시된 데이터 분류 체계에 따라 비공개 또는 제한된 정보로 분류되는 모든 정보입니다.
민감한 데이터는 이 정책에 명시된 데이터 분류 체계에 따라 제한된 것으로 분류되는 모든 데이터를 의미하는 일반적인 용어입니다. 기밀 데이터라고도 하는 경우가 많습니다.
데이터 분류
정보 또는 데이터 보안의 맥락에서 데이터 분류는 데이터의 민감도 수준과 제재 또는 승인 없이 유출, 수정 또는 파기될 경우 Appy Pie에 미칠 수 있는 영향을 기준으로 데이터를 분류하는 것입니다. 이 데이터 분류 프로세스는 데이터 보호를 위한 적절한 기준 보안 제어를 확인하는 데 도움이 됩니다. 모든 Appy Pie 데이터는 세 가지 민감도 수준 또는 분류 중 하나로 분류되어야 합니다.
| ㅏ. | 제한된 데이터 |
| 해당 데이터만 제한됨으로 분류되어야 하며, 승인 없이 공개, 변경 또는 폐기될 경우 Appy Pie, 고객 또는 계열사에 상당한 위험을 초래할 수 있습니다. 예를 들어 – 주 또는 연방 개인정보 보호 규정에 의해 보호되는 데이터 또는 기밀 유지 계약에 의해 보호되는 데이터. 제한된 데이터는 최고 수준의 보안 제어로 보호되어야 합니다. | |
| 비. | 개인 데이터 |
| 해당 데이터만 비공개로 분류되어야 하며, 승인 없이 공개, 변경 또는 폐기될 경우 Appy Pie, 그 고객 또는 계열사에 중간 수준의 위험을 초래할 수 있습니다. 제한 또는 공개 데이터로 명시적으로 분류되지 않은 모든 Appy Pie 데이터는 기본적으로 비공개 데이터로 간주되어야 합니다. 개인 데이터는 합리적인 수준의 보안 통제로 보호되어야 합니다. | |
| 씨. | 공개 데이터 |
| 해당 데이터만 공개로 분류되어야 하며, 승인 없이 공개, 변경 또는 파기될 경우 Appy Pie, 고객 및 계열사에 거의 또는 전혀 위험을 초래하지 않을 수 있습니다. 예를 들어 – 보도 자료, 교육 자료 및 사례 연구. 공개 데이터의 기밀성을 보호하기 위해 제어가 거의 필요하지 않거나 전혀 적용되지 않아도 공개 데이터의 무단 수정 또는 파괴를 방지하기 위해 일정 수준의 제어가 적용되어야 합니다. |
데이터 분류는 적합한 데이터 관리자가 수행해야 합니다. 데이터 스튜어드(Data Stewards)는 하나 또는 여러 개의 Appy Pie 데이터 세트의 전체 수명 주기를 감독하는 책임을 맡은 Appy Pie의 고위 직원입니다.
분류 계산
정보 보안 정책에 언급된 정보 보안의 목적은 Appy Pie 데이터의 기밀성, 무결성 및 가용성을 보호하는 것입니다. 데이터 분류는 기밀성, 무결성 또는 가용성이 손상될 경우 Appy Pie에 미치는 영향 수준을 나타냅니다.
유감스럽게도 특정 데이터 요소의 분류를 계산하기 위한 완벽한 정량 시스템은 없습니다. 연방법에서 Appy Pie가 특정 데이터 유형(예: 개인 식별 정보)을 보호하도록 요구하는 경우와 같은 일부 상황에서는 올바른 분류가 더 명확할 수 있습니다. 적절한 분류가 본질적으로 분명하지 않은 경우 다음 표에 설명된 모든 보안목적을 고려한다. 아래 표는 정보 및 정보 시스템의 분류를 조사하는 National Institute of Standards and Technology에서 발행한 FIPS(Federal Information Processing Standards) 간행물 199에서 가져온 것입니다.
| 잠재적 인 영향 | |||
| 보안 목표 | 낮은 | 보통의 | 높은 |
| 기밀성 개인 프라이버시 및 독점 정보 보호 수단을 포함하여 정보 액세스 및 공개에 대한 승인된 제한을 유지합니다. | 정보의 무단 공개는 조직 운영, 조직 자산 또는 개인에 제한된 악영향을 미칠 것으로 예상될 수 있습니다. | 정보의 무단 공개는 조직 운영, 조직 자산 또는 개인에 심각한 악영향을 미칠 것으로 예상될 수 있습니다. | 정보의 무단 공개는 조직 운영, 조직 자산 또는 개인에 심각하거나 치명적인 악영향을 미칠 것으로 예상될 수 있습니다. |
| 진실성 부적절한 정보 수정 또는 파괴를 방지하고 정보 부인 방지 및 신뢰성 보장을 포함합니다. | 정보의 무단 수정 또는 파괴는 조직 운영, 조직 자산 또는 개인에 제한된 악영향을 미칠 것으로 예상될 수 있습니다. | 정보의 무단 수정 또는 파괴는 조직 운영, 조직 자산 또는 개인에 심각한 악영향을 미칠 것으로 예상될 수 있습니다. | 정보의 무단 수정 또는 파괴는 조직 운영, 조직 자산 또는 개인에 심각하거나 치명적인 악영향을 미칠 것으로 예상될 수 있습니다. |
| 유효성 정보에 대한 시기적절하고 안정적인 액세스 및 사용을 보장합니다. | 정보 또는 정보 시스템에 대한 액세스 또는 사용의 중단은 조직 운영, 조직 자산 또는 개인에 제한된 다양한 영향을 미칠 것으로 예상될 수 있습니다. | 정보 또는 정보 시스템에 대한 액세스 또는 사용 중단은 조직 운영, 조직 자산 또는 개인에 심각한 악영향을 미칠 것으로 예상될 수 있습니다. | 정보 또는 정보 시스템에 대한 액세스 또는 사용 중단은 조직 운영, 조직 자산 또는 개인에 심각하거나 치명적인 악영향을 미칠 것으로 예상될 수 있습니다. |
Appy Pie에 대한 잠재적 영향이 낮음에서 높음으로 바뀌면 데이터 분류는 공개에서 제한으로 점진적으로 제한되어야 합니다. 위에서 언급한 사항을 충분히 고려한 후에도 적절한 분류가 여전히 모호한 경우 정보 보안 담당자에게 도움을 요청하십시오.
| 정보 유형 | 데이터 분류 | 기밀성 영향 | 무결성 영향 | 가용성 영향 |
|---|---|---|---|---|
| 개인 데이터(클라이언트) | 비밀의 | 높은 | 높은 | 높은 |
| 개인정보(직원) | 비밀의 | 낮은 | 중반 | 중반 |
| 재무 데이터(고객) | 비밀의 | 높은 | 높은 | 높은 |
| 재무 데이터(직원) | 비밀의 | 높은 | 높은 | 높은 |
| 공급업체 데이터 | 공공의 | 낮은 | 낮은 | 낮은 |
