Garis Panduan Pengelasan Data
Tujuan
Tujuan mewujudkan garis panduan ini adalah untuk menghasilkan rangka kerja untuk pengelasan data berdasarkan tahap sensitiviti, nilai dan kritikalnya kepada Appy Pie seperti yang dikehendaki oleh Dasar Keselamatan Maklumat Appy Pie. Proses pengelasan data ini akan membantu dalam penentuan lanjut kawalan keselamatan garis dasar untuk keselamatan atau perlindungan data.
Berlaku Untuk
Polisi ini terpakai kepada kakitangan dan dilanjutkan kepada Ejen Appy Pie pihak ketiga serta mana-mana ahli gabungan Appy Pie lain yang mempunyai akses kepada Data Appy Pie. Dasar ini terpakai terutamanya kepada sumber yang bertanggungjawab untuk pengelasan dan perlindungan Data Appy Pie, seperti yang dinyatakan oleh Peranan dan Tanggungjawab Keselamatan Maklumat
Definisi
Data Sulit ialah frasa generik yang menandakan mana-mana dan semua data yang diklasifikasikan sebagai Terhad, mengikut skema klasifikasi data yang dibentangkan dalam dasar ini. Ia juga sering dirujuk sebagai data sensitif.
Pengawas Data ialah pekerja peringkat kanan yang ditetapkan di Appy Pie yang menyelia kitaran hayat satu atau berbilang set Data Appy Pie.
Data Appy Pie merangkumi semua data yang dimiliki atau dilesenkan oleh Appy Pie.
Maklumat Bukan Awam ialah sebarang maklumat yang diklasifikasikan sebagai Maklumat Peribadi atau Terhad mengikut skema klasifikasi data yang dikemukakan dalam polisi.
Data Sensitif ialah istilah generik yang menandakan mana-mana dan semua data yang diklasifikasikan sebagai Terhad, mengikut skema klasifikasi data yang dibentangkan dalam dasar ini. Ia juga sering dirujuk sebagai data sulit.
Klasifikasi Data
Pengelasan data, dalam konteks maklumat atau keselamatan data, ialah pengelasan data berdasarkan tahap kepekaannya dan kesannya terhadap Appy Pie jika ia didedahkan, diubah suai atau dimusnahkan tanpa kebenaran atau kebenaran. Proses pengelasan data ini membantu memastikan kawalan keselamatan garis dasar yang sesuai untuk perlindungan data. Semua data Appy Pie mesti diklasifikasikan kepada salah satu daripada tiga tahap sensitiviti atau klasifikasi:
| A. | Data Terhad |
| Hanya data tersebut harus diklasifikasikan sebagai Terhad, yang jika didedahkan, diubah atau dimusnahkan tanpa kebenaran boleh menyebabkan risiko yang besar kepada Appy Pie, pelanggannya atau ahli gabungannya. Contohnya – data yang dilindungi oleh peraturan privasi negeri atau persekutuan atau data yang dilindungi oleh perjanjian kerahsiaan. Data terhad mesti dilindungi oleh tahap kawalan keselamatan tertinggi. | |
| B. | Data Peribadi |
| Hanya data tersebut harus diklasifikasikan sebagai Persendirian, yang jika didedahkan, diubah atau dimusnahkan tanpa kebenaran boleh menyebabkan risiko sederhana kepada Appy Pie, pelanggannya atau ahli gabungannya. Sebarang Data Appy Pie yang tidak diklasifikasikan secara eksplisit sebagai Data Terhad atau Awam, secara lalai, dianggap sebagai Data Peribadi. Data peribadi mesti dilindungi oleh tahap kawalan keselamatan yang munasabah. | |
| C. | Data Awam |
| Hanya data tersebut harus diklasifikasikan sebagai Awam, yang jika didedahkan, diubah atau dimusnahkan tanpa kebenaran boleh menyebabkan sedikit atau tiada risiko kepada Appy Pie, pelanggannya dan ahli gabungannya. Contohnya – siaran akhbar, sumber pendidikan dan kajian kes. Walaupun sedikit atau tiada kawalan perlu digunakan untuk melindungi kerahsiaan data Awam, tahap kawalan tertentu mesti digunakan untuk mengelakkan pengubahsuaian atau pemusnahan data Awam tanpa kebenaran. |
Pengelasan data mesti dijalankan oleh Pengawas Data yang sesuai. Pengawas Data ialah pekerja peringkat kanan di Appy Pie yang bertanggungjawab untuk mengawasi kitaran hayat lengkap satu atau berbilang set Data Appy Pie.
Mengira Klasifikasi
Tujuan keselamatan maklumat, seperti yang dinyatakan dalam Dasar Keselamatan Maklumat kami, adalah untuk melindungi kerahsiaan, integriti dan ketersediaan Data Appy Pie. Pengelasan data menunjukkan tahap kesan pada Appy Pie jika terdapat sebarang kompromi kerahsiaan, integriti atau ketersediaan.
Malangnya, tiada sistem kuantitatif yang sempurna untuk mengira klasifikasi elemen data tertentu. Dalam sesetengah situasi, klasifikasi yang betul mungkin lebih jelas, seperti apabila undang-undang persekutuan menghendaki Appy Pie untuk melindungi jenis data tertentu (cth. maklumat yang boleh dikenal pasti secara peribadi). Dalam kes di mana klasifikasi yang sesuai tidak jelas secara semula jadi, pertimbangkan setiap objektif keselamatan seperti yang diterangkan dalam jadual berikut. Jadual di bawah diambil daripada penerbitan Piawaian Pemprosesan Maklumat Persekutuan (FIPS) 199 yang diterbitkan oleh Institut Piawaian dan Teknologi Kebangsaan, yang mengkaji klasifikasi maklumat dan sistem maklumat.
| POTENSI IMPAK | |||
| Objektif Keselamatan | RENDAH | SEDERHANA | TINGGI |
| Kerahsiaan Memelihara sekatan yang dibenarkan ke atas akses dan pendedahan maklumat, termasuk cara untuk melindungi privasi peribadi dan maklumat proprietari. | Pendedahan maklumat tanpa kebenaran boleh dijangka mempunyai kesan buruk terhad pada operasi organisasi, aset organisasi atau individu. | Pendedahan maklumat tanpa kebenaran boleh dijangka mempunyai kesan buruk yang serius terhadap operasi organisasi, aset organisasi atau individu. | Pendedahan maklumat tanpa kebenaran boleh dijangka mempunyai kesan buruk yang teruk atau malapetaka ke atas operasi organisasi, aset organisasi atau individu. |
| Integriti Menjaga daripada pengubahsuaian atau pemusnahan maklumat yang tidak betul dan termasuk memastikan maklumat bukan penyangkalan dan kesahihan. | Pengubahsuaian atau pemusnahan maklumat tanpa kebenaran boleh dijangka mempunyai kesan buruk terhad pada operasi organisasi, aset organisasi atau individu. | Pengubahsuaian atau pemusnahan maklumat tanpa kebenaran boleh dijangka mempunyai kesan buruk yang serius terhadap operasi organisasi, aset organisasi atau individu. | Pengubahsuaian atau pemusnahan maklumat yang tidak dibenarkan boleh dijangka mempunyai kesan buruk yang teruk atau bencana ke atas operasi organisasi, aset organisasi atau individu. |
| Ketersediaan Memastikan akses tepat pada masanya dan boleh dipercayai dan penggunaan maklumat. | Gangguan akses kepada atau penggunaan maklumat atau sistem maklumat boleh dijangka mempunyai kesan pelbagai terhad pada operasi organisasi, aset organisasi atau individu. | Gangguan akses kepada atau penggunaan maklumat atau sistem maklumat boleh dijangka mempunyai kesan buruk yang serius terhadap operasi organisasi, aset organisasi atau individu. | Gangguan akses kepada atau penggunaan maklumat atau sistem maklumat boleh dijangka mempunyai kesan buruk yang teruk atau bencana ke atas operasi organisasi, aset organisasi atau individu. |
Apabila potensi kesan pada Appy Pie berubah dari Rendah ke Tinggi, klasifikasi data perlu menjadi terhad secara progresif daripada Awam kepada Terhad. Sekiranya klasifikasi yang sesuai masih kabur selepas pertimbangan sewajarnya terhadap perkara yang dinyatakan di atas, hubungi Pegawai Keselamatan Maklumat untuk mendapatkan bantuan.
| Jenis Maklumat | Klasifikasi Data | Kesan Kerahsiaan | Kesan Integriti | Kesan Ketersediaan |
|---|---|---|---|---|
| Data Peribadi (Pelanggan) | Sulit | tinggi | tinggi | tinggi |
| Data Peribadi (Pekerja) | Sulit | rendah | Pertengahan | Pertengahan |
| Data Kewangan (Pelanggan) | Sulit | tinggi | tinggi | tinggi |
| Data Kewangan (Pekerja) | Sulit | tinggi | tinggi | tinggi |
| Data Penjual | Awam | rendah | rendah | rendah |
