Indholdsfortegnelse:
Video: Spotlight – CGI på 600Minutes Information & Cyber Security 2017 2025
Information og data er i alle deres forskellige former værdifulde forretningsmæssige aktiver, som kræver sikkerhed. Som med andre mere håndgribelige aktiver bestemmer informationens værdi det niveau, der kræves af organisationen.
Et dataklassifikationssystem hjælper en organisation med at tildele en værdi til sine informationsaktiver baseret på dens følsomhed for tab eller offentliggørelse og dens criticality til organisationens mission eller formål og hjælper organisation bestemme passende niveau af beskyttelse. Derudover kan data klassifikationsordninger være påkrævet for lovgivningsmæssig eller anden juridisk overholdelse.
Anvendelse af en enkelt beskyttelsesstandard ensartet på tværs af alle organisationens aktiver er hverken praktisk eller ønskelig. I et sådant tilfælde er enten ikke-kritiske data overbeskyttet, eller kritiske data er underbeskyttet.
En virksomheds medarbejdere skal også forstå klassifikationsskemaet, hvordan man klassificerer informationsaktiver, håndtering og sikring af krav samt korrekt destruktion eller bortskaffelse.
Kommerciel dataklassificering
Kommercielle data klassifikationsordninger implementeres typisk for at beskytte oplysninger, der har en monetær værdi, at overholde gældende love og beskytte privatlivets fred og begrænse ansvar. Kriterier ved hvilke kommercielle data er klassificeret inkluderer
- Værdi: Det mest almindelige klassificeringskriterium i kommercielle organisationer. Det er baseret på pengeværdien eller en anden værdi.
- Alder / brugstid: Oplysninger, der taber værdi over tid, bliver forældede eller irrelevante, eller bliver almindelige / offentlighedens viden klassificeres på denne måde.
- Lovkrav: Private oplysninger, som lægejournaler omfattet af HIPAA (Health Insurance Portability and Accountability Act of 1996) og HITECH (Health Information Technology for Economic and Clinical Health Act) Lov, kan have juridiske krav til beskyttelse. Klassificering af sådanne oplysninger kan ikke kun være baseret på overholdelse, men også af ansvarsgrænser.
Beskrivende etiketter anvendes ofte på virksomhedsoplysninger, som f.eks. Fortroligt og proprietært og Kun intern brug. De organisatoriske krav til beskyttelse af information, der er mærket som sådan, er imidlertid ofte ikke formelt defineret. Organisationer bør formelt identificere standardklassifikationsniveauer samt specifikke krav til mærkning, håndtering, opbevaring og destruktion / bortskaffelse.
Regeringsdata klassificering
Regeringsdata klassifikation ordninger er generelt implementeret til
- Beskyt nationale interesser eller sikkerhed.
- Overholder gældende love.
- Beskyt privatlivets fred.
Et af de mere almindelige systemer, der anvendes inden for US Department of Defense (DoD), består af fem brede kategorier til informationsklassificering: Uklassificeret, følsom men uklassificeret (SBU), fortrolig, hemmelig og tophemmelighed.
Inden for hvert klassifikationsniveau kræves der visse garantier ved brug, håndtering, reproduktion, transport og destruktion af forsvarsministeriets oplysninger. Ud over at have et passende clearance niveau på eller over niveauet af oplysninger, der behandles, skal enkeltpersoner have behov for at vide, før de kan få adgang til oplysningerne. Dem, der har brug for at vide, er dem, der kræver oplysningerne for at udføre en tildelt jobfunktion.
Uklassificeret
Det laveste offentlige data klassifikationsniveau er Uklassificeret. Uklassificeret information er ikke følsom, og uautoriseret offentliggørelse vil ikke medføre skade på den nationale sikkerhed. Uklassificeret information kan indeholde oplysninger, der en gang var klassificeret på et højere niveau, men er siden blevet afklassificeret af en passende myndighed. Uklassificerede oplysninger kan ikke automatisk løses til offentligheden og kan omfatte yderligere modifikatorer som Kun til officiel brug eller Kun til intern brug.
Sensitive but Unclassified (SBU)
Sensitive but Unclassified information er en fælles modifikator af uklassificerede oplysninger. Det omfatter generelt oplysninger af privat eller personlig karakter. Eksempler er testspørgsmål, disciplinærsager og lægejournaler.
Fortroligt
Fortroligt Oplysninger er oplysninger, der i tilfælde af kompromis kan medføre skade på den nationale sikkerhed. Fortrolige oplysninger er det laveste niveau af klassificerede offentlige oplysninger.
Hemmelig
Hemmelig Oplysninger er oplysninger, der i tilfælde af kompromis kan medføre alvorlige skade på den nationale sikkerhed. Hemmelige oplysninger skal normalt regnes for gennem hele dets livscyklus, helt til ødelæggelsen.
Top Secret
Top Secret Oplysninger er oplysninger, der i tilfælde af kompromis kan medføre alvorlig skade på den nationale sikkerhed. Øverste hemmelige oplysninger kan kræve yderligere sikkerhedsforanstaltninger, såsom særlige betegnelser og håndteringsrestriktioner.
En person skal have det relevante clearance niveau og need-to-know for adgang til klassificerede oplysninger.
