Video: A Corporação / The Corporation 2024
Informațiile sensibile, cum ar fi înregistrările financiare, datele angajaților și informațiile despre clienți, trebuie marcate clar, manipulate și stocate în mod corespunzător și distruse corespunzător, în conformitate cu politicile, standardele și procedurile organizaționale stabilite:
- Marcarea: Modul în care o organizație identifică informații sensibile, atât pe suport electronic, cât și pe hârtie. De exemplu, un marcaj ar putea fi citit PRIVILEGAT ȘI CONFIDENȚIAL. Metoda de marcare va varia, în funcție de tipul de date despre care vorbim. De exemplu, documentele electronice pot avea un marcaj în marginea de la subsolul fiecărei pagini. În cazul în care datele sensibile sunt afișate de o aplicație, este posibil ca aplicația însăși să informeze utilizatorul despre clasificarea datelor afișate.
- Manipularea: Organizația trebuie să fi stabilit proceduri pentru tratarea informațiilor sensibile. Aceste proceduri detaliază modul în care angajații pot transporta, transmite și utiliza astfel de informații, precum și orice restricții aplicabile.
- Depozitare și copiere de rezervă: Similar cu manipularea, organizația trebuie să aibă proceduri și cerințe care să precizeze modul în care trebuie păstrate și susținute informațiile sensibile.
- Distrugere: Mai devreme sau mai târziu, o organizație trebuie să distrugă un document care conține informații sensibile. Organizația trebuie să aibă proceduri care detaliază cum să distrugă informațiile sensibile păstrate anterior, indiferent dacă datele sunt pe hârtie sau salvate ca fișiere electronice.
S-ar putea să te întrebi cum stabilești ce reprezintă cerințele de manipulare adecvate pentru fiecare nivel de clasificare? Există două modalități principale de a explica acest lucru:
- Legile, reglementările și standardele aplicabile . De multe ori, reglementări precum HIPAA și PCI conțin cerințe specifice pentru manipularea informațiilor sensibile.
- Evaluarea riscului . O evaluare a riscurilor este utilizată pentru a identifica amenințările și vulnerabilitățile relevante, precum și stabilirea de controale pentru a reduce riscurile. Unele dintre aceste controale pot lua forma cerințelor de manipulare a datelor care ar deveni parte a programului de clasificare a activelor unei organizații.