Vidéo: MOOC SNT / Objets connectés, des robots dans nos maisons ? 2024
Les informations sensibles telles que les registres financiers, les données des employés et les informations sur les clients doivent être clairement identifiées, manipulées et stockées correctement et détruites conformément aux politiques, normes et procédures organisationnelles établies:
- Marquage: Comment une organisation identifie des informations sensibles, qu'elles soient électroniques ou papier. Par exemple, un marquage peut lire PRIVILEGED AND CONFIDENTIAL. La méthode de marquage variera en fonction du type de données dont nous parlons. Par exemple, les documents électroniques peuvent avoir une marque dans la marge en bas de chaque page. Lorsque des données sensibles sont affichées par une application, ce peut être l'application elle-même qui informe l'utilisateur de la classification des données affichées.
- Traitement: L'organisation doit avoir établi des procédures pour traiter les informations sensibles. Ces procédures détaillent comment les employés peuvent transporter, transmettre et utiliser ces informations, ainsi que les restrictions applicables.
- Stockage et sauvegarde: Semblable à la gestion, l'organisation doit avoir des procédures et des exigences spécifiant comment les informations sensibles doivent être stockées et sauvegardées.
- Destruction: Tôt ou tard, une organisation doit détruire un document contenant des informations sensibles. L'organisation doit disposer de procédures détaillant comment détruire les informations sensibles qui ont été conservées précédemment, que les données soient en copie papier ou sauvegardées sous forme de fichier électronique.
Vous vous demandez peut-être comment déterminer ce qui constitue des exigences de manutention appropriées pour chaque niveau de classification? Il y a deux façons principales de le comprendre:
- Lois, règlements et normes applicables . Souvent, les réglementations telles que HIPAA et PCI contiennent des exigences spécifiques pour le traitement des informations sensibles.
- Évaluation des risques . Une évaluation des risques est utilisée pour identifier les menaces et vulnérabilités pertinentes, ainsi que l'établissement de contrôles pour atténuer les risques. Certains de ces contrôles peuvent prendre la forme d'exigences de traitement des données qui feraient partie du programme de classification des actifs d'une organisation.
