แนวทางการจัดประเภทข้อมูล
วัตถุประสงค์
วัตถุประสงค์ของการสร้างแนวทางเหล่านี้คือเพื่อสร้างกรอบงานสำหรับการจัดประเภทข้อมูลโดยพิจารณาจากระดับความอ่อนไหว คุณค่าของข้อมูล และความสำคัญของข้อมูลต่อ Appy Pie ตามที่นโยบายการรักษาความปลอดภัยของข้อมูลของ Appy Pie กำหนด กระบวนการจัดประเภทข้อมูลนี้จะช่วยในการกำหนดการควบคุมความปลอดภัยพื้นฐานสำหรับการรักษาความปลอดภัยหรือการป้องกันข้อมูล
นำไปใช้กับ
นโยบายนี้มีผลบังคับใช้กับพนักงานและขยายเวลาให้กับตัวแทนบุคคลที่สามของ Appy Pie รวมถึงบริษัทในเครือ Appy Pie อื่นๆ ที่มีสิทธิ์เข้าถึงข้อมูล Appy Pie นโยบายนี้มีผลกับทรัพยากรที่รับผิดชอบในการจัดประเภทและการปกป้องข้อมูลของ Appy Pie โดยเฉพาะ ตามที่ระบุไว้ในบทบาทและความรับผิดชอบในการรักษาความปลอดภัยของข้อมูล
คำจำกัดความ
ข้อมูลที่เป็นความลับคือวลีทั่วไปที่แสดงถึงข้อมูลใดๆ และทั้งหมด ซึ่งจัดอยู่ในประเภทที่จำกัด ตามรูปแบบการจัดประเภทข้อมูลที่วางไว้ในนโยบายนี้ มักเรียกอีกอย่างว่าข้อมูลที่ละเอียดอ่อน
Data Steward คือพนักงานระดับอาวุโสที่ได้รับมอบหมายจาก Appy Pie ซึ่งดูแลวงจรชีวิตของ Appy Pie Data หนึ่งชุดหรือหลายชุด
Appy Pie Data รวมถึงข้อมูลทั้งหมดที่ Appy Pie เป็นเจ้าของหรือได้รับอนุญาต
ข้อมูลที่ไม่เปิดเผยต่อสาธารณะคือข้อมูลใดๆ ที่จัดเป็นข้อมูลส่วนตัวหรือข้อมูลที่ถูกจำกัดตามรูปแบบการจัดประเภทข้อมูลที่ระบุไว้ในนโยบาย
ข้อมูลที่ละเอียดอ่อนเป็นคำทั่วไปซึ่งหมายถึงข้อมูลใดๆ และทั้งหมดซึ่งจัดอยู่ในประเภทที่จำกัด ตามรูปแบบการจัดประเภทข้อมูลที่วางไว้ในนโยบายนี้ มักเรียกอีกอย่างว่าข้อมูลที่เป็นความลับ
การจำแนกข้อมูล
การจัดประเภทข้อมูลในบริบทของข้อมูลหรือความปลอดภัยของข้อมูล เป็นการจำแนกประเภทของข้อมูลตามระดับความอ่อนไหวและผลกระทบที่อาจมีต่อ Appy Pie หากมีการเปิดเผย แก้ไข หรือทำลายโดยไม่ได้รับอนุมัติหรืออนุมัติ กระบวนการจัดประเภทข้อมูลนี้ช่วยยืนยันการควบคุมความปลอดภัยพื้นฐานที่เหมาะสมสำหรับการปกป้องข้อมูล ข้อมูล Appy Pie ทั้งหมดต้องถูกจัดประเภทเป็นระดับความอ่อนไหวหนึ่งในสามระดับ หรือการจำแนกประเภท:
ก. | ข้อมูลที่ถูกจำกัด |
เฉพาะข้อมูลดังกล่าวเท่านั้นที่ควรจัดเป็นประเภทจำกัด ซึ่งหากเปิดเผย เปลี่ยนแปลง หรือทำลายโดยไม่ได้รับอนุญาต อาจก่อให้เกิดความเสี่ยงอย่างมากต่อ Appy Pie ลูกค้า หรือบริษัทในเครือ ตัวอย่างเช่น – ข้อมูลที่ได้รับการคุ้มครองโดยข้อบังคับความเป็นส่วนตัวของรัฐหรือรัฐบาลกลาง หรือข้อมูลที่ได้รับการคุ้มครองโดยข้อตกลงการรักษาความลับ ข้อมูลที่ถูกจำกัดจะต้องได้รับการปกป้องโดยการควบคุมความปลอดภัยระดับสูงสุด | |
ข. | ข้อมูลส่วนตัว |
เฉพาะข้อมูลนั้นเท่านั้นที่ควรจัดเป็นส่วนตัว ซึ่งหากเปิดเผย เปลี่ยนแปลง หรือทำลายโดยไม่ได้รับอนุญาต อาจก่อให้เกิดความเสี่ยงปานกลางต่อ Appy Pie ลูกค้า หรือบริษัทในเครือ ข้อมูล Appy Pie ใดๆ ที่ไม่ได้จัดประเภทอย่างชัดเจนว่าเป็นข้อมูลที่จำกัดหรือข้อมูลสาธารณะ ควรถือเป็นข้อมูลส่วนตัวตามค่าเริ่มต้น ข้อมูลส่วนตัวต้องได้รับการปกป้องโดยการควบคุมความปลอดภัยในระดับที่เหมาะสม | |
ค. | ข้อมูลสาธารณะ |
เฉพาะข้อมูลดังกล่าวเท่านั้นที่ควรจัดเป็นสาธารณะ ซึ่งหากเปิดเผย เปลี่ยนแปลง หรือทำลายโดยไม่ได้รับอนุญาต อาจก่อให้เกิดความเสี่ยงเพียงเล็กน้อยหรือไม่มีเลยต่อ Appy Pie ลูกค้า และบริษัทในเครือ ตัวอย่างเช่น – ข่าวประชาสัมพันธ์ แหล่งข้อมูลด้านการศึกษา และกรณีศึกษา แม้ว่าจะต้องใช้การควบคุมเพียงเล็กน้อยหรือไม่มีเลยในการปกป้องความลับของข้อมูลสาธารณะ แต่ยังคงต้องใช้การควบคุมในระดับหนึ่งเพื่อป้องกันการแก้ไขหรือทำลายข้อมูลสาธารณะโดยไม่ได้รับอนุญาต |
การจัดประเภทข้อมูลต้องดำเนินการโดย Data Steward ที่เหมาะสม Data Stewards คือพนักงานระดับอาวุโสของ Appy Pie ซึ่งมีหน้าที่ดูแลวงจรชีวิตที่สมบูรณ์ของชุดข้อมูล Appy Pie หนึ่งชุดหรือหลายชุด
การคำนวณการจำแนกประเภท
วัตถุประสงค์ของการรักษาความปลอดภัยข้อมูลดังที่กล่าวไว้ในนโยบายการรักษาความปลอดภัยของข้อมูลของเราคือการปกป้องความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล Appy Pie การจัดประเภทข้อมูลบ่งบอกถึงระดับของผลกระทบต่อ Appy Pie หากมีการประนีประนอมกับการรักษาความลับ ความสมบูรณ์ หรือความพร้อมใช้งาน
น่าเสียดายที่ไม่มีระบบเชิงปริมาณที่สมบูรณ์แบบสำหรับการคำนวณการจำแนกประเภทขององค์ประกอบข้อมูลเฉพาะ ในบางสถานการณ์ การจัดประเภทที่ถูกต้องอาจมีความชัดเจนมากขึ้น เช่น เมื่อกฎหมายของรัฐบาลกลางกำหนดให้ Appy Pie ปกป้องข้อมูลบางประเภท (เช่น ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้) ในกรณีที่การจำแนกประเภทที่เหมาะสมไม่ชัดเจนโดยกำเนิด ให้พิจารณาวัตถุประสงค์ด้านความปลอดภัยทุกประการตามที่อธิบายไว้ในตารางต่อไปนี้ ตารางด้านล่างนำมาจากสิ่งพิมพ์ของ Federal Information Processing Standards (FIPS) 199 ที่เผยแพร่โดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ ซึ่งจะตรวจสอบการจำแนกประเภทของข้อมูลและระบบสารสนเทศ
ผลกระทบที่อาจเกิดขึ้น | |||
วัตถุประสงค์ด้านความปลอดภัย | ต่ำ | ปานกลาง | สูง |
การรักษาความลับ รักษาข้อจำกัดที่ได้รับอนุญาตในการเข้าถึงและเปิดเผยข้อมูล รวมถึงวิธีการในการปกป้องความเป็นส่วนตัวและข้อมูลที่เป็นกรรมสิทธิ์ | การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตอาจคาดว่าจะมีผลกระทบ อย่างจำกัด ต่อการดำเนินงานขององค์กร ทรัพย์สินขององค์กร หรือบุคคล | การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตอาจคาดว่าจะส่งผลเสียร้ายแรงต่อการดำเนินงานขององค์กร ทรัพย์สินขององค์กร หรือบุคคล | การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาตอาจคาดว่าจะมีผลกระทบร้ายแรงหรือร้ายแรงต่อการดำเนินงานขององค์กร ทรัพย์สินขององค์กร หรือบุคคล |
ความซื่อสัตย์ การป้องกันการแก้ไขหรือทำลายข้อมูลที่ไม่เหมาะสม และรวมถึงการไม่ปฏิเสธข้อมูลและความถูกต้อง | การปรับเปลี่ยนหรือทำลายข้อมูลโดยไม่ได้รับอนุญาตอาจคาดว่าจะมีผลกระทบอย่างจำกัดต่อการดำเนินงานขององค์กร ทรัพย์สินขององค์กร หรือบุคคล | การปรับเปลี่ยนหรือทำลายข้อมูลโดยไม่ได้รับอนุญาตอาจคาดว่าจะส่งผลเสียร้ายแรงต่อการดำเนินงานขององค์กร ทรัพย์สินขององค์กร หรือบุคคล | การปรับเปลี่ยนหรือทำลายข้อมูลโดยไม่ได้รับอนุญาตอาจคาดว่าจะส่งผลเสียร้ายแรงหรือร้ายแรงต่อการดำเนินงานขององค์กร ทรัพย์สินขององค์กร หรือบุคคล |
ความพร้อมใช้งาน สร้างความมั่นใจในการเข้าถึงและการใช้ข้อมูลอย่างทันท่วงทีและเชื่อถือได้ | คาดว่าการหยุดชะงักของการเข้าถึงหรือการใช้ข้อมูลหรือระบบข้อมูลอาจส่งผลกระทบอย่างจำกัดต่อการปฏิบัติการขององค์กร ทรัพย์สินขององค์กร หรือบุคคล | คาดว่าการหยุดชะงักของการเข้าถึงหรือการใช้ข้อมูลหรือระบบข้อมูลอาจส่งผลกระทบร้ายแรงต่อการดำเนินงานขององค์กร ทรัพย์สินขององค์กร หรือบุคคล | คาดว่าการหยุดชะงักของการเข้าถึงหรือการใช้ข้อมูลหรือระบบข้อมูลอาจส่งผลกระทบร้ายแรงหรือร้ายแรงต่อการดำเนินงานขององค์กร ทรัพย์สินขององค์กร หรือบุคคล |
เมื่อผลกระทบที่อาจเกิดขึ้นกับ Appy Pie เปลี่ยนจากต่ำไปสูง การจัดประเภทข้อมูลจะต้องเข้มงวดมากขึ้นเรื่อยๆ จากแบบสาธารณะเป็นแบบจำกัด ในกรณีที่การจัดประเภทที่เหมาะสมยังคงคลุมเครือหลังจากพิจารณาประเด็นดังกล่าวข้างต้นแล้ว โปรดติดต่อเจ้าหน้าที่รักษาความปลอดภัยข้อมูลเพื่อขอความช่วยเหลือ
ประเภทข้อมูล | การจำแนกข้อมูล | ผลกระทบต่อการรักษาความลับ | ผลกระทบด้านความซื่อสัตย์ | ผลกระทบต่อความพร้อมใช้งาน |
---|---|---|---|---|
ข้อมูลส่วนบุคคล (ลูกค้า) | เป็นความลับ | สูง | สูง | สูง |
ข้อมูลส่วนบุคคล (พนักงาน) | เป็นความลับ | ต่ำ | กลาง | กลาง |
ข้อมูลทางการเงิน (ลูกค้า) | เป็นความลับ | สูง | สูง | สูง |
ข้อมูลทางการเงิน (พนักงาน) | เป็นความลับ | สูง | สูง | สูง |
ข้อมูลผู้ขาย | สาธารณะ | ต่ำ | ต่ำ | ต่ำ |