数据分类指南
目的
创建这些指南的目的是根据 Appy Pie 的信息安全政策的要求,根据敏感度级别、数据的价值和对 Appy Pie 的重要性,提出一个数据分类框架。 这种数据分类过程将有助于进一步确定数据安全或保护的基线安全控制。
适用于
本政策适用于员工,并延伸至 Appy Pie 的第三方代理以及任何其他有权访问 Appy Pie 数据的 Appy Pie 关联公司。 该政策特别适用于负责分类和保护 Appy Pie 数据的资源,如信息安全角色和责任所规定的那样
定义
机密数据是一个通用短语,表示根据本政策中规定的数据分类方案归类为受限的任何和所有数据。 它通常也被称为敏感数据。
数据管理员是 Appy Pie 指定的高级员工,负责监督一组或多组 Appy Pie 数据的生命周期。
Appy Pie 数据包括 Appy Pie 拥有或许可的所有数据。
非公开信息是根据政策中提出的数据分类方案归类为私人或受限信息的任何信息。
敏感数据是一个通用术语,表示根据本政策中规定的数据分类方案归类为受限的任何和所有数据。 它通常也被称为机密数据。
数据分类
在信息或数据安全的背景下,数据分类是根据数据的敏感程度以及如果未经批准或授权而泄露、修改或销毁数据可能对 Appy Pie 产生的影响对数据进行分类。 这种数据分类过程有助于确定数据保护的适当基线安全控制。 所有 Appy Pie 数据必须分类为三个敏感度级别或分类之一:
| 一个。 | 受限数据 |
| 只有该数据应归类为受限数据,如果未经授权披露、更改或销毁这些数据,可能会给 Appy Pie、其客户或其关联公司带来相当大的风险。 例如,受州或联邦隐私法规保护的数据或受保密协议保护的数据。 受限制的数据必须受到最高级别的安全控制的保护。 | |
| B. | 私人数据 |
| 只有该数据应归类为私人数据,如果未经授权披露、更改或销毁这些数据,可能会对 Appy Pie、其客户或其关联公司造成中等风险。 默认情况下,任何未明确归类为受限或公共数据的 Appy Pie 数据都应被视为私有数据。 私人数据必须受到合理级别的安全控制的保护。 | |
| C。 | 公共数据 |
| 只有该数据应归类为公开数据,如果未经授权披露、更改或销毁这些数据,可能会对 Appy Pie、其客户及其附属公司造成很小或没有风险。 例如——新闻稿、教育资源和案例研究。 尽管需要应用很少或不需要控制来保护公共数据的机密性,但仍必须应用一定程度的控制来防止未经授权的修改或破坏公共数据。 |
数据分类必须由合适的数据管理员执行。 数据管理员是 Appy Pie 的高级员工,负责监督一组或多组 Appy Pie 数据的完整生命周期。
计算分类
如我们的信息安全政策所述,信息安全的目的是保护 Appy Pie 数据的机密性、完整性和可用性。 如果机密性、完整性或可用性受到任何损害,数据分类表明对 Appy Pie 的影响程度。
遗憾的是,没有完美的量化系统来计算特定数据元素的分类。 在某些情况下,正确的分类可能更明显,例如当联邦法律要求 Appy Pie 保护特定数据类型(例如个人身份信息)时。 如果合适的分类本身并不明显,请考虑下表中描述的每个安全目标。 下表摘自美国国家标准与技术研究院发布的联邦信息处理标准 (FIPS) 出版物 199,该出版物检查了信息和信息系统的分类。
| 潜在影响 | |||
| 安全目标 | 低的 | 缓和 | 高的 |
| 保密 保留对信息访问和披露的授权限制,包括保护个人隐私和专有信息的手段。 | 未经授权的信息披露可能会对组织运营、组织资产或个人产生有限的不利影响。 | 未经授权的信息披露可能会对组织运营、组织资产或个人产生严重的不利影响。 | 未经授权的信息披露可能会对组织运营、组织资产或个人产生严重或灾难性的不利影响。 |
| 正直 防止不当的信息修改或破坏,包括确保信息的不可否认性和真实性。 | 未经授权的信息修改或破坏预计会对组织运营、组织资产或个人产生有限的不利影响。 | 未经授权的信息修改或破坏可能会对组织运营、组织资产或个人产生严重的不利影响。 | 未经授权的信息修改或破坏可能会对组织运营、组织资产或个人产生严重或灾难性的不利影响。 |
| 可用性 确保及时、可靠地访问和使用信息。 | 对信息或信息系统的访问或使用的中断可能会对组织运营、组织资产或个人产生有限的不同影响。 | 对信息或信息系统的访问或使用的中断可能会对组织运营、组织资产或个人产生严重的不利影响。 | 访问或使用信息或信息系统的中断可能会对组织运营、组织资产或个人产生严重或灾难性的不利影响。 |
当对 Appy Pie 的潜在影响从低到高时,数据分类需要逐渐从公开变为受限。 如果在适当考虑上述各点后仍不能确定合适的分类,请联系信息安全官寻求帮助。
| 信息类型 | 数据分类 | 保密影响 | 诚信影响 | 可用性影响 |
|---|---|---|---|---|
| 个人资料(客户) | 机密的 | 高的 | 高的 | 高的 |
| 个人资料(员工) | 机密的 | 低的 | 中 | 中 |
| 财务数据(客户) | 机密的 | 高的 | 高的 | 高的 |
| 财务数据(员工) | 机密的 | 高的 | 高的 | 高的 |
| 供应商数据 | 上市 | 低的 | 低的 | 低的 |
