數據分類指南
目的
創建這些指南的目的是根據 Appy Pie 的資訊安全策略要求,根據敏感度級別、其價值和對 Appy Pie 的重要性,提出一個數據分類框架。 此數據分類過程將有助於進一步確定數據安全或保護的基線安全控制。
適用於
本政策適用於員工,並擴展了 Appy Pie 的第三方代理以及有權訪問 Appy Pie 數據的任何其他 Appy Pie 附屬公司。 該政策特別適用於負責分類和保護Appy Pie數據的資源,如資訊安全角色和職責所規定的那樣
定義
機密數據是一個通用短語,表示根據本政策中規定的數據分類方案分類為“受限”的任何和所有數據。 它通常也被稱為敏感數據。
數據管家是Appy Pie的指定高級員工,負責監督一組或多組Appy Pie資料的生命週期。
Appy 餅圖數據包括 Appy 餅圖擁有或許可的所有數據。
非公開資訊是指根據政策中提出的數據分類方案歸類為私人或受限資訊的任何資訊。
敏感數據是一個通用術語,表示根據本政策中規定的數據分類方案分類為受限的任何和所有數據。 它通常也被稱為機密數據。
數據分類
數據分類,在資訊或數據安全的背景下,是根據數據的敏感程度和對Appy Pie的影響對數據進行分類的,如果它在沒有制裁或授權的情況下被洩露,修改或銷毀。 此數據分類過程有助於確定數據保護的適當基線安全控制。 所有 Appy Pie 資料必須分類為以下三個敏感度級別或分類之一:
| 一個。 | 受限數據 |
| 只有該數據才應被歸類為受限數據,如果未經授權披露,更改或銷毀,可能會對Appy Pie,其客戶或其關聯公司造成相當大的風險。 例如,受州或聯邦隱私法規保護的數據或受保密協定保護的數據。 受限制的數據必須受到最高級別的安全控制的保護。 | |
| B. | 私人數據 |
| 只有該數據應被歸類為私人,如果未經授權披露,更改或銷毀,可能會對Appy Pie,其客戶或其關聯公司造成中等風險。 默認情況下,任何未明確歸類為受限或公共數據的 Appy Pie 數據均應被視為私人數據。 私人數據必須受到合理級別的安全控制的保護。 | |
| C. | 公共數據 |
| 只有該數據才應被歸類為「公開」,如果未經授權披露、更改或銷毀,可能會對 Appy Pie、其客戶及其附屬公司造成很少或沒有風險。 例如 ,新聞稿、教育資源和案例研究。 雖然很少或不需要採取任何控制措施來保護公共數據的機密性,但仍然必須採取一定程度的控制措施來防止未經授權的修改或破壞公共數據。 |
數據分類必須由合適的數據專員執行。 數據管家是 Appy Pie 的高級員工,負責監督一組或多組 Appy Pie 數據的完整生命週期。
計算分類
正如我們的資訊安全政策所述,資訊安全的目的是保護Appy Pie數據的機密性,完整性和可用性。 數據分類表示如果機密性,完整性或可用性受到任何損害,對Appy Pie的影響程度。
遺憾的是,沒有完美的定量系統來計算特定數據元素的分類。 在某些情況下,正確的分類可能更明顯,例如當聯邦法律要求Appy Pie保護特定的數據類型(例如個人身份資訊)時。 如果合適的分類不是天生明顯的,請考慮下表中描述的每個安全目標。 下表摘自美國國家標準與技術研究院出版的聯邦資訊處理標準 (FIPS) 出版物 199,該出版物檢查了資訊和資訊系統的分類。
| 潛在影響 | |||
| 安全目標 | 低 | 溫和 | 高 |
| 保密性 保留對資訊訪問和披露的授權限制,包括保護個人隱私和專有資訊的方法。 | 未經授權的資訊披露可能會對組織運營、組織資產或個人產生 有限的 不利影響。 | 未經授權的資訊披露可能會對組織運營、組織資產或個人產生嚴重的不利影響。 | 未經授權的資訊披露可能會對組織運營、組織資產或個人產生嚴重或災難性的不利影響。 |
| 正直 防止不當的資訊修改或破壞,包括確保資訊的不可否認性和真實性。 | 未經授權修改或銷毀資訊可能會對組織運營、組織資產或個人產生有限的不利影響。 | 未經授權修改或破壞資訊可能會對組織運營、組織資產或個人產生嚴重的不利影響。 | 未經授權修改或破壞資訊可能會對組織運營、組織資產或個人產生嚴重或災難性的不利影響。 |
| 可用性 確保及時可靠地訪問和使用資訊。 | 對資訊或資訊系統的訪問或使用的中斷可能會對組織運營,組織資產或個人產生有限的不同影響。 | 對資訊或資訊系統的訪問或使用的中斷可能會對組織運營、組織資產或個人產生嚴重的不利影響。 | 對資訊或資訊系統的訪問或使用中斷可能會對組織運營、組織資產或個人產生嚴重或災難性的不利影響。 |
當對 Appy Pie 的潛在影響從低到高時,數據分類需要逐漸限制,從“公共”到“受限”。 如果在適當考慮了上述要點后,適當的分類仍然模糊不清,請聯繫資訊安全官尋求説明。
| 信息類型 | 數據分類 | 保密性影響 | 完整性影響 | 可用性影響 |
|---|---|---|---|---|
| 個人資料(用戶端) | 機要 | 高 | 高 | 高 |
| 個人資料(員工) | 機要 | 低 | 中 | 中 |
| 財務資料(用戶端) | 機要 | 高 | 高 | 高 |
| 財務資料(員工) | 機要 | 高 | 高 | 高 |
| 供應商數據 | 公共 | 低 | 低 | 低 |
