Video: Upprätta en tradingplan 2024
Känslig information, såsom finansiella poster, anställdas data och information om kunder måste tydligt markeras, hanteras korrekt och lagras och destrueras på lämpligt sätt i enlighet med fastställda organisatoriska policyer, standarder och förfaranden:
- Märkning: Hur en organisation identifierar känslig information, antingen elektronisk eller hård kopia. Till exempel kan en märkning läsa PRIVILEGED AND CONFIDENTIAL. Metoden för markering varierar beroende på vilken typ av data vi pratar om. Till exempel kan elektroniska dokument markera i marginalen vid sidfoten på varje sida. Om känslig data visas av en applikation kan det vara själva applikationen som informerar användaren om klassificeringen av data som visas.
- Hantering: Organisationen borde ha etablerat rutiner för hantering av känslig information. Dessa procedurer beskriver hur anställda kan transportera, överföra och använda sådan information, samt eventuella tillämpliga begränsningar.
- Förvaring och säkerhetskopiering: Liksom hantering måste organisationen ha rutiner och krav som anger hur känslig information måste lagras och säkerhetskopieras.
- Förstöring: Förr eller senare måste en organisation förstöra ett dokument som innehåller känslig information. Organisationen måste ha rutiner som beskriver hur man förstör känslig information som tidigare har behållits, oavsett om data är i papperskopia eller sparas som en elektronisk fil.
Du kanske undrar, hur bestämmer du vad som utgör lämpliga hanteringskrav för varje klassificeringsnivå? Det finns två huvudsakliga sätt att räkna ut:
- Gällande lagar, regler och standarder . Ofta innehåller regler som HIPAA och PCI specifika krav för hantering av känslig information.
- Riskbedömning . En riskbedömning används för att identifiera relevanta hot och sårbarheter samt upprätta kontroller för att mildra risker. Några av dessa kontroller kan ha formen av datahanteringskrav som skulle bli en del av en organisations tillgångsklassificering.
