استاندارد راهنمای طبقه بندی داده

/0 دیدگاه /توسط

چارچوب طبقه بندی داده در حکمرانی داده بر اساس الگو‌ها یا استانداردهای مختلفی صورت می‌گیرد در این مطلب به این چارچوب بر اساس راهنمای طبقه بندی داده بر اساس ایزو 38505-3 تشریح شده است.

استاندارد راهنمای طبقه بندی داده

  • در دنیای امروز، داده‌ها به یکی از باارزش‌ترین دارایی‌های سازمان‌ها تبدیل شده‌ است سازمان‌ها برای تصمیم‌گیری‌های راهبردی، ارائه خدمات، رعایت الزامات قانونی، مدیریت ریسک و حفاظت از حریم خصوصی، به داده‌ها وابستگی فزاینده‌ای دارند. با این حال، همه داده‌ها از یک سطح اهمیت، حساسیت و ارزش برخوردار نیستند و برخورد یکسان با انواع داده‌ها می‌تواند منجر به افزایش ریسک، کاهش کارایی و بروز چالش‌های امنیتی و حقوقی شود.
  • طبقه‌بندی داده‌ها فرآیندی نظام‌مند برای شناسایی، گروه‌بندی و تعیین سطح اهمیت و حساسیت داده‌هاست که به سازمان‌ها امکان می‌دهد متناسب با ارزش، ریسک و الزامات قانونی هر داده، شیوه‌های مناسب مدیریت، حفاظت، اشتراک‌گذاری و استفاده را اعمال کنند.
  • این فرآیند یکی از ارکان اصلی حکمرانی داده به شمار می‌رود و نقش کلیدی در ایجاد تعادل میان بهره‌برداری مؤثر از داده‌ها و کنترل مخاطرات مرتبط با آن‌ها ایفا می‌کند.
    استاندارد راهنمای ISO/IEC TS 38505-3 چارچوبی معتبر و کاربردی برای طراحی و استقرار نظام طبقه‌بندی داده برای حکمرانی داده در سازمان‌ها ارائه می‌دهد.

چارچوب طبقه‌بندی داده‌ها

  • برای کمک به سازمان‌ها در انجام طبقه‌بندی داده‌ها، به‌ویژه زمانی که لازم باشد داده‌ها با طرف‌های ثالث به اشتراک گذاشته شوند، یک چارچوب طبقه‌بندی داده‌ها پیشنهاد می‌شود.
    شکل زیر بر اساس استاندارد ایزو 38505-3 نشان می‌دهد که سه مرحله “بافت”، “شناسایی” و “اجرا” به تعدادی فعالیت تقسیم می‌شوند که از طریق بهبود و پایش مستمر با هم در ارتباط می‌باشند.

طبقه بندی داده ها

1)بافت Context

مرحله اول، شامل فراهم کردن بافت لازم برای انجام فرایند طبقه‌بندی داده‌ها است.

تأیید خط‌مشی داده

  • استفاده سازمان از داده برای دستیابی به اهداف آن بسیار مهم است؛ بنابراین، نخستین مرحله این است که درک شود سازمان به چه نحوی قصد استفاده از داده‌ها را دارد. به‌ویژه توصیه می‌شود سازمان، ارزش بالقوه، مخاطرات و محدودیت‌های استفاده از داده‌ها را درک کند.

شناسایی مزایای طبقه‌بندی

  • طبقه‌بندی داده‌ها امکان اعمال خط‌مشی‌ها و رویه‌های مختلف بر روی رده‌های متفاوت داده را فراهم می‌کند. این امر می‌تواند کارایی مدیریت داده را بهبود بخشد و اطمینان حاصل کند که منابع مناسب، متناسب با اهمیت داده‌ها، تخصیص داده می‌شوند.
  • این منابع می‌توانند به سمت کاهش مخاطره، تضمین دسترسی بهتر به داده‌ها و همچنین امکان بازگشت بهتر سرمایه‌گذاری در داده‌ها هدایت شوند. شناسایی مزایا و هزینه‌های بالقوه طبقه‌بندی داده‌ها، گام مهمی در ایجاد بافت چارچوب طبقه‌بندی داده‌ها است.

توسعه خط‌مشی طبقه‌بندی

  • اگر سازمان از قبل خط‌مشی طبقه‌بندی داده اجراشده‌ای نداشته باشد، در این مرحله می‌تواند به‌منظور پیروی از روش‌های صحیح و تصمیم‌گیری، به‌عنوان مثال در مورد نقش‌ها، مسئولیت‌ها، مجوزها و حقوق مرتبط با هر طبقه‌بندی داده، خط‌مشی خود را توسعه دهد.

2) شناسایی

هدف این مرحله، شناسایی اجزای مرتبط برای انجام فرایند طبقه‌بندی است.

شناسایی دارایی‌ها

  • سازمان، به‌منظور انجام فرایند طبقه‌بندی، در مرحله نخست نیاز به شناسایی داده‌هایی دارد که قرار است طبقه‌بندی شوند. توصیه می‌شود در این مرحله، سازمان توجه ویژه‌ای به هرگونه داده‌ای که با طرف‌های ثالث به اشتراک گذاشته می‌شود و همچنین پرونده‌ها و اسنادی که قرار است با هم ایجاد شوند، داشته باشد.

شناسایی واپایشگرهای داده

  • برای پیشبرد فرایند، شناسایی واپایشگرهای داده ضروری است، زیرا تصمیم‌گیری در مورد نحوه استفاده از داده‌ها بر عهده آنها است.
  • منظور از واپایشگر داده، شخص یاسازمانی که شیوه انجام پردازش وذخیره هرداده‌ای را که قراراست به منظورمقاصدی استفاده شود را تعیین می‌کند.

شناسایی محدودیت‌های مرتبط با داده

  • استفاده از داده می‌تواند از طریق خط‌مشی‌ها، قوانین، تعهدات یا انتظارات ذی‌نفعان محدود شود. برخی از مثال‌ها شامل محدودیت‌هایی در مورد مکان فیزیکی داده‌ها و حوزه قضایی آن، محدودیت‌های مربوط به نحوه نشر و استفاده، الزامات محرمانگی، قراردادها و تعهدات خاص است. بنابراین، شناسایی این محدودیت‌ها در استفاده از داده، به‌عنوان بخشی از فرایند طبقه‌بندی، اهمیت دارد.

3) اجرا

این مرحله شامل عملیاتی‌سازی فرایند طبقه‌بندی است.

انجام ارزیابی مخاطره

  • در این مرحله، سازمان بر اساس داده‌ها و طبقه‌بندی خطر شناسایی‌شده در مراحل قبلی، ارزیابی خطر انجام می‌دهد. همچنین در نظر گرفتن داده‌هایی که قرار است به اشتراک گذاشته شوند، در ارتباط با ارزیابی خطر و پیامدهای مربوط اهمیت دارد.

اجرای طبقه‌بندی داده‌ها

  • در این فعالیت، خط‌مشی طبقه‌بندی داده‌ها به اجرا گذاشته می‌شود. روش‌های مدیریت داده و نحوه برخورد با داده‌ها بر اساس الزامات مشخص‌شده در فعالیت‌های قبلی اجرایی می‌شود.

توسعه توافق‌نامه هم‌رسانی داده‌ها

  • سازمان در این مرحله، توافق‌نامه رسمی هم‌رسانی داده‌ها با طرف‌های ثالث را برای داده‌های مشخص و بر اساس الزامات تعیین‌شده در مراحل قبلی ایجاد می‌کند.

4) پایش و بهبود

  • در این مرحله، سازمان می‌تواند تمامی مراحل و فعالیت‌ها را پایش کند و در صورت لزوم، بهبودهایی مانند طبقه‌بندی مجدد داده‌ها انجام دهد.
  • خروجی اصلی مورد انتظار از این چارچوب، توسعه خط‌مشی طبقه‌بندی داده و ایجاد مبنایی برای اطلاع‌رسانی در توافق‌نامه‌های هم‌رسانی داده‌ها است. علاوه بر این، مقرر می‌شود که راهنمایی‌هایی در رابطه با امنیت داده بهبود‌یافته بر اساس طبقه‌بندی داده‌ها ارائه شود.

این مطلب بر اساس استاندارد ایزو 38505-3 ترجمه شده است.

منبع :
www.iso.org

0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگوها شرکت کنید؟
در گفتگو ها شرکت کنید.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *