Βίντεο: Cloud Computing - Computer Science for Business Leaders 2016 2024
Οι ευαίσθητες πληροφορίες, όπως τα οικονομικά αρχεία, τα στοιχεία των εργαζομένων και οι πληροφορίες για τους πελάτες, πρέπει να επισημαίνονται με σαφήνεια, να χειρίζονται και να αποθηκεύονται καταλλήλως και να καταστρέφονται καταλλήλως σύμφωνα με τις καθιερωμένες οργανωτικές πολιτικές,:
- Σήμανση: Πώς ένας οργανισμός αναγνωρίζει ευαίσθητες πληροφορίες, είτε ηλεκτρονικές είτε σε έντυπη μορφή. Για παράδειγμα, μια σήμανση μπορεί να διαβάσει PRIVILEGED και CONFIDENTIAL. Η μέθοδος σήμανσης ποικίλλει ανάλογα με τον τύπο των δεδομένων που μιλάμε. Για παράδειγμα, τα ηλεκτρονικά έγγραφα μπορούν να φέρουν μια σήμανση στο περιθώριο στο κάτω μέρος κάθε σελίδας. Όταν εμφανίζονται ευαίσθητα δεδομένα από μια εφαρμογή, μπορεί να είναι η ίδια η εφαρμογή που ενημερώνει τον χρήστη για την ταξινόμηση των δεδομένων που εμφανίζονται.
- Χειρισμός: Ο οργανισμός θα πρέπει να έχει θεσπίσει διαδικασίες για τη διαχείριση ευαίσθητων πληροφοριών. Αυτές οι διαδικασίες περιγράφουν λεπτομερώς τον τρόπο με τον οποίο οι εργαζόμενοι μπορούν να μεταφέρουν, να μεταδώσουν και να χρησιμοποιήσουν αυτές τις πληροφορίες,
- Αποθήκευση και δημιουργία αντιγράφων ασφαλείας: Παρόμοια με το χειρισμό, ο οργανισμός πρέπει να διαθέτει διαδικασίες και απαιτήσεις που καθορίζουν τον τρόπο αποθήκευσης και δημιουργίας αντιγράφων ασφαλείας των ευαίσθητων πληροφοριών.
- Καταστροφή: Αργά ή γρήγορα, ένας οργανισμός πρέπει να καταστρέψει ένα έγγραφο που περιέχει ευαίσθητες πληροφορίες. Ο οργανισμός πρέπει να έχει διαδικασίες που να περιγράφουν λεπτομερώς τον τρόπο καταστροφής ευαίσθητων πληροφοριών που έχουν προηγουμένως διατηρηθεί, ανεξάρτητα από το εάν τα δεδομένα είναι σε έντυπη μορφή ή αποθηκεύονται ως ηλεκτρονικό αρχείο.
Μπορεί να αναρωτιέστε πώς μπορείτε να καθορίσετε τι συνιστά τις κατάλληλες απαιτήσεις χειρισμού για κάθε επίπεδο ταξινόμησης; Υπάρχουν δύο βασικοί τρόποι με τους οποίους μπορούμε να το καταλάβουμε:
- Εφαρμοστέοι νόμοι, κανονισμοί και πρότυπα . Πολλές φορές, οι κανονισμοί όπως HIPAA και PCI περιέχουν συγκεκριμένες απαιτήσεις για τη διαχείριση ευαίσθητων πληροφοριών.
- Αξιολόγηση κινδύνου . Χρησιμοποιείται μια αξιολόγηση κινδύνου για τον εντοπισμό σχετικών απειλών και τρωτών σημείων, καθώς και για τη θέσπιση ελέγχων για τον μετριασμό των κινδύνων. Ορισμένοι από αυτούς τους ελέγχους μπορεί να λάβουν τη μορφή απαιτήσεων χειρισμού δεδομένων οι οποίες θα γίνουν μέρος του προγράμματος ταξινόμησης περιουσιακών στοιχείων ενός οργανισμού.