Policy för dataklassificering

Riktlinjer för klassificering av uppgifter

Syfte

Syftet med att skapa dessa riktlinjer är att ta fram ett ramverk för klassificering av data på grundval av känslighetsnivå, värde och kritisk betydelse för Appy Pie i enlighet med Appy Pie’s informationssäkerhetspolicy. Denna process för klassificering av uppgifter kommer att bidra till att ytterligare fastställa grundläggande säkerhetskontroller för datasäkerhet eller dataskydd.

Gäller för

Policyn gäller för personalen och utvidgas till att omfatta Appy Pie:s tredjepartsagenter samt alla andra Appy Pie-anslutna företag som har tillgång till Appy Pie-data. Policyn gäller särskilt de resurser som ansvarar för klassificering och skydd av Appy Pie-data, vilket specificeras i rollerna och ansvarsområdena för informationssäkerhet.

Definitioner

Konfidentiella uppgifter är en allmän fras som betecknar alla uppgifter som klassificeras som begränsade enligt det klassificeringssystem för uppgifter som anges i denna policy. Ofta kallas det också känsliga uppgifter.

En dataförvaltare är en utsedd anställd på högre nivå på Appy Pie som övervakar livscykeln för en eller flera uppsättningar Appy Pie-data.

Appy Pie Data omfattar all data som ägs eller licensieras av Appy Pie.

Icke-offentlig information är all information som klassificeras som privat eller begränsad information i enlighet med den dataklassificering som anges i policyn.

Känsliga uppgifter är en generisk term som betecknar alla uppgifter som klassificeras som begränsade enligt det klassificeringssystem för uppgifter som anges i denna policy. Ofta kallas det också för konfidentiella uppgifter.

Klassificering av uppgifter

Dataklassificering, i samband med informations- eller datasäkerhet, är klassificering av data på grundval av dess känslighetsnivå och den påverkan den kan ha på Appy Pie om den skulle avslöjas, ändras eller förstöras utan sanktion eller tillstånd. Denna process för dataklassificering hjälper till att fastställa lämpliga grundläggande säkerhetskontroller för dataskydd. Alla Appy Pie-data måste klassificeras i en av tre känslighetsnivåer eller klassificeringar:

A.Begränsade uppgifter
Endast sådana uppgifter bör klassificeras som Restricted, som om de avslöjas, ändras eller förstörs utan tillstånd kan orsaka betydande risker för Appy Pie, dess kunder eller dess dotterbolag. Till exempel uppgifter som skyddas av statliga eller federala sekretessbestämmelser eller uppgifter som skyddas av sekretessavtal. Begränsade uppgifter måste skyddas med högsta möjliga nivå av säkerhetskontroller.
B.Privata uppgifter
Endast sådana uppgifter bör klassificeras som privata, som om de avslöjas, ändras eller förstörs utan tillstånd kan orsaka måttlig risk för Appy Pie, dess kunder eller dotterbolag. Alla Appy Pie-data som inte uttryckligen klassificeras som begränsade eller offentliga data bör som standard betraktas som privata data. Privata uppgifter måste skyddas genom en rimlig nivå av säkerhetskontroller.
C.Offentliga uppgifter
Endast sådana uppgifter bör klassificeras som offentliga, som om de avslöjas, ändras eller förstörs utan tillstånd kan orsaka liten eller ingen risk för Appy Pie, dess kunder och dotterbolag. Till exempel pressmeddelanden, utbildningsresurser och fallstudier. Även om inga eller få kontroller behöver tillämpas för att skydda sekretessen för offentliga uppgifter, måste ändå en viss kontrollnivå tillämpas för att förhindra obehörig ändring eller förstörelse av offentliga uppgifter.

Dataklassificering måste utföras av en lämplig dataförvaltare. Data Stewards är anställda på högre nivå på Appy Pie som ansvarar för att övervaka hela livscykeln för en eller flera uppsättningar av Appy Pie-data.

Beräkning av klassificering

Syftet med informationssäkerhet, som nämns i vår informationssäkerhetspolicy, är att skydda sekretessen, integriteten och tillgängligheten av Appy Pie Data. Klassificering av data anger hur stor påverkan det har på Appy Pie om sekretessen, integriteten eller tillgängligheten äventyras.

Tyvärr finns det inget perfekt kvantitativt system för att beräkna klassificeringen av ett visst dataelement. I vissa situationer kan den korrekta klassificeringen vara mer uppenbar, t.ex. när federala lagar kräver att Appy Pie skyddar vissa datatyper (t.ex. personligt identifierbar information). I de fall då den lämpliga klassificeringen inte är uppenbart uppenbar, ska varje säkerhetsmål beaktas enligt följande tabell. Tabellen nedan är hämtad från Federal Information Processing Standards (FIPS) publikation 199 som publiceras av National Institute of Standards and Technology och som behandlar klassificering av information och informationssystem.

POTENTIELL INVERKAN.
SäkerhetsmålLOWMODERATEHÖG
Konfidentialitet
Bevara godkända restriktioner för tillgång till och utlämnande av information, inklusive metoder för att skydda personlig integritet och konfidentiell information.
Ett obehörigt utlämnande av information kan förväntas ha en begränsad negativ effekt på organisationens verksamhet, tillgångar eller individer.Ett obehörigt avslöjande av information kan förväntas ha en allvarlig negativ inverkan på organisationens verksamhet, dess tillgångar eller enskilda personer.Ett obehörigt utlämnande av information kan förväntas få allvarliga eller katastrofala negativa effekter på organisationens verksamhet, tillgångar eller individer.
Integritet
Skydd mot olämplig ändring eller förstörelse av information, vilket innebär att säkerställa att information inte kan vederläggas och att den är äkta.
Otillåten ändring eller förstörelse av information kan förväntas ha en begränsad negativ effekt på organisationens verksamhet, tillgångar eller individer.Otillåten ändring eller förstörelse av information kan förväntas ha en allvarlig negativ inverkan på organisationens verksamhet, dess tillgångar eller enskilda personer.Otillåten ändring eller förstörelse av information kan förväntas ha en allvarlig eller katastrofal negativ effekt på organisationens verksamhet, tillgångar eller individer.
Tillgänglighet
Säkerställande av snabb och tillförlitlig tillgång till och användning av information.
Avbrottet i tillgången till eller användningen av information eller ett informationssystem kan förväntas ha en begränsad eller varierande effekt på organisationens verksamhet, dess tillgångar eller individer.Avbrott i tillgången till eller användningen av information eller ett informationssystem kan förväntas ha en allvarlig negativ inverkan på organisationens verksamhet, dess tillgångar eller enskilda personer.Avbrott i tillgången till eller användningen av information eller ett informationssystem kan förväntas få allvarliga eller katastrofala negativa effekter på organisationens verksamhet, dess tillgångar eller enskilda personer.

När den potentiella påverkan på Appy Pie går från låg till hög måste dataklassificeringen bli alltmer restriktiv, från offentlig till begränsad. Om en lämplig klassificering fortfarande är oklar efter vederbörligt övervägande av de punkter som nämns ovan, kontakta informationssäkerhetsansvarig för att få hjälp.

Typ av information Klassificering av uppgifter Konsekvenser för konfidentialiteten Påverkan på integriteten Tillgänglighetseffekt
Personuppgifter (kund)KonfidentiellHögHögHög
Personuppgifter (arbetstagare)KonfidentiellLågMitt iMitt i
Finansiella uppgifter (kunder)KonfidentiellHögHögHög
Finansiella uppgifter (anställda)KonfidentiellHögHögHög
Uppgifter om leverantören OffentligLågLågLåg