بیایید نگاهی بیندازیم به دلایل اهمیت طبقه بندی اطلاعات و سپس یک مثال عملی از طبقه بندی دادهها را بررسی خواهیم کرد.
طبقه بندی دادهها همانند دانستن اینکه چه داده ای دارید و چه کسی میتواند به آن دسترسی پیدا کند، بخشی اساسی در تأمین اطلاعات سازمان شما است.
این فرآیند شناسایی و اختصاص سطح حساسیت از پیش تعیین شده به انواع مختلف اطلاعات است. اگر سازمان شما اطلاعات شما را بدرستی طبقه بندی نمیکند، بنابراین نمیتوانید از دادههای خود به درستی محافظت کنید.
طبقه بندی دادهها چیست؟
طبقه بندی دادهها تنها به معنای درک انواع دادههای شما نیست، بلکه کارهایی که با آنها انجام میدهید را شامل میشود.
بعنوان مثال، یک موسسه مالی درخواست رهن شخص را دربر میگیرد، که شامل اطلاعات شخصی غیرعمومی (NPPI) مانند سطح درآمد، آدرس خانه فعلی، آدرس خانه قبلی آنها، سایر اطلاعات وام و غیره است.
این اطلاعات باید محافظت شود. با اینحال، سطح حفاظتی که اعمال میشود به طبقه بندی اختصاص داده شده بستگی دارد.
هر سازمانی باید تعاریفی داشته باشد که چه نوع اطلاعات در کدام گروهها قرار میگیرد.
دستهها اغلب شامل یک سلسله مراتب حساسیت مشترک هستند: اطلاعات حساس، محافظت شده، محرمانه و عمومی.
نحوه نامگذاری و تعریف دسته بندیها ممکن است تا حدی برای یک سازمان منحصربفرد باشد، اما دستههای متداولی مانند موارد فوق وجود دارد که غالباً استفاده میشوند.
صرفنظر از این، داشتن دسته بندیها و درک نوع اطلاعاتی که هر دسته شامل آن است، برای تعیین نحوه مدیریت آن اطلاعات بسیار مهم است. هر دسته باید شامل دستورالعملهای روشنی برای کنترل و سطح کنترلهای مجاز باشد.
الزامات طبقه بندی اطلاعات
بسته به نوع سازمان، الزامات نظارتی پیرامون نحوه مدیریت داده وجود دارد. الزامات ممکن است بسته به دسته دادهها متفاوت باشد.
آیا باید در حالت استراحت رمزگذاری شود یا درحال حمل و نقل باشد؟ آیا وقتی برای کارمندان که برای انجام وظایف شغلی خود نیازی به دیدن ندارند، باید ماسک زده شود؟
هر دو قانون دولتی و محلی وجود دارد که بر سازمان شما و دادههایی که در اختیار دارید تأثیر میگذارد.
مهم است که بدانید چه مواردی در مورد شما اعمال میشود و چگونه همه آنها با هم کار میکنند.
اگر طبقه بندی و مدیریت صحیح دادههای خود را انجام ندهید، ممکن است با مجازات روبرو شوید، بخصوص اگر در مواردیکه دادههای محافظت شده قانونی در معرض تخلف است، نقض شود.
اهمیت طبقه بندی داده ها برای اهداف حفظ حریم خصوصی نیز آشکار است. شرایط حریم خصوصی معمولاً به نحوه استفاده از دادهها و نه لزوماً به نحوه مدیریت دادهها متمرکز است.
بعنوان مثال، شما لیستی از مشتریان دارید و از طریق تجزیه و تحلیل، کسانی را که ممکن است برای خرید خانه جدید آماده باشند، تعیین کردهاید.
نحوه استفاده از آن دادهها و نحوه به اشتراک گذاری آن دادهها ممکن است برای حفاظت از حریم خصوصی تنظیم شود.
هنگام توسعه طبقه بندی داده ها، مهم است که هم الزامات نظارتی و هم هرگونه حریم خصوصی (که بیشتر و بیشتر شاهد آن هستیم) که ممکن است در مورد دادههای شما اعمال شود، درنظر گرفته شوند.
چرا طبقه بندی داده ها مهم است؟
اهمیت طبقه بندی داده ها به سازمان شما این امکان را میدهد تا کنترلهای مناسب را بر اساس دستههای از پیش تعیین شده دادهها اعمال کند.
به یاد داشته باشید، کنترلهای شما اغلب با هزینه همراه است. برای انواع دادهها لزوماً به همان نوع کنترلها احتیاج ندارید.
بروشور بازاریابی آنلاین را درنظر بگیرید. شما میخواهید برای همه قابل مشاهده باشد، فقط نمیخواهید کسی بتواند آنرا تغییر دهد.
این امر میتواند سطح کنترل متفاوتی از چیزی مانند پرونده اعتباری را داشته باشد که فقط افراد خاص باید آنرا مشاهده کنند. شما از سطح کنترل امنیتی لازم برای داده هایی که هنگام طبقه بندی آنها بکار میبرید، استفاده میکنید.
طبقه بندی داده های شما میتواند باعث صرفهجویی در وقت و هزینه شود زیرا شما میتوانید روی موارد مهم تمرکز کنید و وقت خود را با قرار دادن کنترلهای غیر ضروری تلف نکنید.
برای مثال، یک مدیر منابع انسانی، که بسیار سختکوش و وظیفه شناس در مورد نیازهای کاری خود است، باید دادههای خام را برای تجزیه و تحلیل به خانه ببرد. او فایلهای مراقبتهای بهداشتی و فایلهای پرسنل را از شبکه خود روی لپتاپ محل کار خود کپی میکند.
در راه بازگشت به خانه، در فروشگاه موادغذایی توقف میکند و لپتاپ خود را در صندوق عقب ماشین خود قفل میکند. متأسفانه، یک مجرم اتومبیل را میدزدد. ماشین و لپتاپ همراه با اطلاعات مراقبتهای بهداشتی محافظت شده و سوابق شخصی برای همه کارمندان گم شده اند!
عواقب آن چیست؟ آیا این یک رویداد قابل گزارش است؟
پاسخ به این امر به نحوه طبقه بندی این اطلاعات توسط کارفرمای وی و کنترلهایی که برای مدیریت آن لپتاپ وجود دارد، بستگی خواهد داشت.
