Richtsnoeren voor gegevensindeling
Doel
Het doel van deze richtlijnen is om een kader te creëren voor de classificatie van gegevens op basis van het gevoeligheidsniveau, de waarde en het kritieke karakter ervan voor Appy Pie, zoals vereist door het informatiebeveiligingsbeleid van Appy Pie. Dit proces van gegevensclassificatie zal helpen bij de verdere vaststelling van basisveiligheidscontroles voor gegevensbeveiliging of -bescherming.
Geldt voor
Het beleid is van toepassing op het personeel en is uitgebreid tot de derde-partij Agenten van Appy Pie evenals elke andere Appy Pie affiliate die toegang heeft tot Appy Pie Gegevens. Het beleid is met name van toepassing op de middelen die verantwoordelijk zijn voor de classificatie en bescherming van de gegevens van Appy Pie, zoals gespecificeerd in de taken en verantwoordelijkheden inzake informatiebeveiliging.
Definities
Vertrouwelijke gegevens is een algemene term die staat voor alle gegevens die volgens het in dit beleid uiteengezette gegevensrubriceringsschema als beperkt worden geclassificeerd. Het worden ook vaak gevoelige gegevens genoemd.
Een Data Steward is een aangewezen senior-level werknemer bij Appy Pie die toezicht houdt op de levenscyclus van een of meerdere sets van Appy Pie Data.
Appy Pie Data omvat alle gegevens die eigendom zijn van of gelicentieerd zijn door Appy Pie.
Niet-openbare informatie is alle informatie die volgens het in het beleid uiteengezette gegevensclassificatieschema als vertrouwelijke of beperkte informatie wordt aangemerkt.
Gevoelige gegevens is een algemene term die staat voor alle gegevens die volgens het in dit beleid uiteengezette gegevensclassificatieschema als beperkt worden geclassificeerd. Het worden ook vaak vertrouwelijke gegevens genoemd.
Gegevensindeling
Gegevensclassificatie, in de context van informatie- of gegevensbeveiliging, is de classificatie van gegevens op basis van hun gevoeligheidsniveau en de gevolgen die zij kunnen hebben voor Appy Pie indien zij zonder sanctie of machtiging zouden worden verspreid, gewijzigd of vernietigd. Dit proces van gegevensclassificatie helpt bij het vaststellen van de passende basisbeveiliging voor gegevensbescherming. Alle Appy Pie-gegevens moeten worden ingedeeld in een van de drie gevoeligheidsniveaus, of classificaties:
| A. | Beperkte gegevens |
| Alleen die gegevens mogen worden geclassificeerd als Beperkt, die, indien ze zonder toestemming openbaar worden gemaakt, gewijzigd of vernietigd, een aanzienlijk risico kunnen vormen voor Appy Pie, haar klanten of haar filialen. Bijvoorbeeld – gegevens beschermd door staats- of federale privacyregels of gegevens beschermd door vertrouwelijkheidsovereenkomsten. Beperkte gegevens moeten worden beschermd door het hoogste niveau van beveiligingscontroles. | |
| B. | Privégegevens |
| Alleen die gegevens moeten worden geclassificeerd als Privé, die indien onthuld, gewijzigd of vernietigd zonder toestemming een matig risico kunnen veroorzaken voor Appy Pie, haar klanten of haar filialen. Alle Appy Pie Data die niet expliciet als Restricted of Public data zijn aangemerkt, moeten standaard als Private data worden beschouwd. Privé-gegevens moeten worden beschermd door een redelijk niveau van veiligheidscontroles. | |
| C. | Openbare gegevens |
| Alleen die gegevens moeten worden geclassificeerd als Openbaar, die als ze zonder toestemming openbaar worden gemaakt, gewijzigd of vernietigd, weinig of geen risico kunnen opleveren voor Appy Pie, haar klanten en haar filialen. Bijvoorbeeld: persberichten, onderwijsmateriaal en casestudies. Hoewel er weinig of geen controles hoeven te worden toegepast om de vertrouwelijkheid van openbare gegevens te beschermen, moet er toch een bepaald controleniveau worden toegepast om ongeoorloofde wijziging of vernietiging van openbare gegevens te voorkomen. |
Dataclassificatie moet worden uitgevoerd door een geschikte Data Steward. Data Stewards zijn senior-level werknemers bij Appy Pie die verantwoordelijk zijn voor het toezicht op de volledige levenscyclus van een of meerdere sets van Appy Pie Data.
Berekening van de classificatie
Het doel van informatiebeveiliging, zoals vermeld in ons Informatiebeveiligingsbeleid, is het beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van Appy Pie Gegevens. Classificatie van gegevens geeft het niveau van impact op Appy Pie aan als er een compromis is met betrekking tot vertrouwelijkheid, integriteit of beschikbaarheid.
Helaas bestaat er geen perfect kwantitatief systeem om de classificatie van een bepaald gegevenselement te berekenen. In sommige situaties kan de juiste classificatie duidelijker zijn, zoals wanneer federale wetten Appy Pie verplichten bepaalde soorten gegevens te beschermen (bijv. persoonlijk identificeerbare informatie). In gevallen waarin de geschikte classificatie niet vanzelfsprekend is, moet elke beveiligingsdoelstelling worden beschouwd als beschreven in de volgende tabel. De onderstaande tabel is overgenomen uit Federal Information Processing Standards (FIPS) publicatie 199, gepubliceerd door het National Institute of Standards and Technology, waarin de classificatie van informatie en de informatiesystemen wordt onderzocht.
| POTENTIËLE IMPACT | |||
| Veiligheidsdoelstelling | LAAG | MODERATE | HOOG |
| Vertrouwelijkheid Handhaving van geautoriseerde beperkingen op de toegang tot en de bekendmaking van informatie, met inbegrip van middelen ter bescherming van de persoonlijke levenssfeer en vertrouwelijke informatie. | De ongeoorloofde openbaarmaking van informatie zal naar verwachting een beperkt negatief effect hebben op de activiteiten van de organisatie, de activa van de organisatie of personen. | De ongeoorloofde bekendmaking van informatie zou naar verwachting ernstige nadelige gevolgen kunnen hebben voor de activiteiten van de organisatie, de activa van de organisatie of personen. | Van de ongeoorloofde bekendmaking van informatie kan een ernstig of catastrofaal negatief effect op de activiteiten van de organisatie, de activa van de organisatie of personen worden verwacht. |
| Integriteit Bescherming tegen ongeoorloofde wijziging of vernietiging van informatie, met inbegrip van het waarborgen van onweerlegbaarheid en authenticiteit van informatie. | De ongeoorloofde wijziging of vernietiging van informatie zal naar verwachting een beperkt negatief effect hebben op de activiteiten van de organisatie, de activa van de organisatie of personen. | De ongeoorloofde wijziging of vernietiging van informatie kan naar verwachting ernstige nadelige gevolgen hebben voor de activiteiten van de organisatie, de activa van de organisatie of personen. | De ongeoorloofde wijziging of vernietiging van informatie kan naar verwachting ernstige of catastrofale negatieve gevolgen hebben voor de activiteiten van de organisatie, de activa van de organisatie of personen. |
| Beschikbaarheid Zorgen voor tijdige en betrouwbare toegang tot en gebruik van informatie. | De verstoring van de toegang tot of het gebruik van informatie of een informatiesysteem zal naar verwachting een beperkt of uiteenlopend effect hebben op de activiteiten van de organisatie, de activa van de organisatie of personen. | De verstoring van de toegang tot of het gebruik van informatie of een informatiesysteem kan naar verwachting ernstige nadelige gevolgen hebben voor de activiteiten van de organisatie, de activa van de organisatie of personen. | De verstoring van de toegang tot of het gebruik van informatie of een informatiesysteem zou een ernstig of catastrofaal negatief effect kunnen hebben op de activiteiten van de organisatie, de activa van de organisatie of personen. |
Wanneer de potentiële impact op Appy Pie van laag naar hoog gaat, moet de gegevensclassificatie geleidelijk beperkter worden, van openbaar naar beperkt. Indien een passende rubricering na bestudering van de bovengenoemde punten nog steeds onduidelijk is, neem dan voor hulp contact op met de informatiebeveiligingsfunctionaris.
| Type informatie | Gegevensindeling | Gevolgen voor de vertrouwelijkheid | Integriteitseffect | Beschikbaarheid Impact |
|---|---|---|---|---|
| Persoonlijke gegevens (cliënt) | Vertrouwelijk | Hoog | Hoog | Hoog |
| Persoonlijke gegevens (werknemer) | Vertrouwelijk | Laag | Midden | Midden |
| Financiële gegevens (klanten) | Vertrouwelijk | Hoog | Hoog | Hoog |
| Financiële gegevens (werknemers) | Vertrouwelijk | Hoog | Hoog | Hoog |
| Gegevens verkoper | Publiek | Laag | Laag | Laag |
