Kebijakan Klasifikasi dan Penanganan Data

[ORGANIZATION] harus mengklasifikasikan seluruh data ke dalam kategori berikut: Publik (data yang ditujukan untuk rilis publik), Internal (data untuk penggunaan internal umum), Rahasia (data yang memerlukan perlindungan karena sensitivitas bisnis), dan Terbatas (data yang memerlukan tingkat perlindungan tertinggi karena persyaratan regulasi, hukum, atau bisnis kritis).

Data harus diklasifikasikan berdasarkan dampak potensial dari pengungkapan, modifikasi, atau kehilangan yang tidak sah, dengan mempertimbangkan persyaratan hukum, regulasi, kontrak, dan bisnis.

Pemilik data bertanggung jawab untuk mengklasifikasikan data dalam domain mereka dan harus meninjau klasifikasi setidaknya [CUSTOMIZE: tahunan/dua kali setahun].

Ketika data dari beberapa tingkat klasifikasi digabungkan, kumpulan data gabungan harus diklasifikasikan pada tingkat tertinggi yang berlaku.

Data Publik: Tidak ada persyaratan penanganan khusus. Dapat dibagikan secara bebas ke pihak eksternal.

Data Internal: Tidak boleh dibagikan ke pihak eksternal tanpa otorisasi. Disimpan pada sistem yang dikelola [ORGANIZATION]. Kontrol akses dasar diperlukan.

Data Rahasia: Akses dibatasi untuk personel yang diotorisasi dengan kebutuhan bisnis. Dienkripsi saat transit dan saat diam. Akses dicatat dan dipantau. Berbagi memerlukan persetujuan pemilik data.

Data Terbatas: Akses dibatasi untuk individu yang secara khusus diotorisasi. Enkripsi kuat diperlukan saat transit dan saat diam. Seluruh akses dicatat, dipantau, dan diaudit secara berkala. Autentikasi multi-faktor diperlukan. Berbagi memerlukan persetujuan [CUSTOMIZE: CISO/eksekutif] dengan justifikasi terdokumentasi.

Aset data yang diklasifikasikan sebagai Rahasia atau Terbatas harus dilabeli dengan jelas dengan tingkat klasifikasi mereka pada header dokumen, footer, atau metadata.

File elektronik harus menyertakan metadata klasifikasi bila secara teknis memungkinkan.

Email yang berisi data Rahasia atau Terbatas harus menyertakan tingkat klasifikasi pada awalan baris subjek (misalnya, [CONFIDENTIAL]).

[ORGANIZATION] harus memelihara dokumentasi aliran data untuk data Rahasia dan Terbatas, termasuk: sumber data, sistem pemrosesan, lokasi penyimpanan, jalur transmisi, dan penerima yang diotorisasi.

Dokumentasi aliran data harus ditinjau dan diperbarui setidaknya [CUSTOMIZE: tahunan/triwulanan] atau ketika terjadi perubahan signifikan.

Aliran data sensitif harus mencakup identifikasi kontrol perlindungan data pada setiap tahap.