Risico gebaseerd

• Een data classificatie dient het risico te reflecteren die ermee gepaard gaat.
• Wie is er aansprakelijk voor de data classificatie en eventuele meldingen van non-compliances.
• Principe need-to-know: enkel toegang tot informatie als het noodzakelijk is om een bepaalde rol die toegewezen werd uit te voeren.

Classificatie schema

Welke labels worden er toegekend aan bepaalde informatie en wat is de scope van de need-to-know.

Standaard zijn er vier labels:

• Geheim
• Vertrouwelijk
• Intern (standaard)
• Publiek

Schaling classificatie

Wat is de reikwijdte van de verschillende data classificatie labels?

Wanneer dienen ze gebruikt te worden?

Maatregelen

De specifieke maatregelen bepaald in dit beleid waaraan de organisatie moet voldoen.

Wat zijn de standaard technische en organisatorische maatregelen die genomen dienen te worden per label?

Indien er afwijkingen zijn op deze standaard, dan dient dit te worden onderworpen aan een risico-analyse. Dit wil zeggen dat het resulterend risico door de betrokken risico-eigenaar dient aanvaard te worden.

Standaarden

Use-case gedreven maatregelen die gelinkt worden aan de technologie of gebruik van de geclassificeerde informatie.

• E-mail gebruik
• Web-toepassing
• TelefoonSMS
• Papier
• Verbaal