Video: From rainforest to charcoal | DW Documentary 2024
Informasi sensitif seperti catatan keuangan, data karyawan, dan informasi tentang pelanggan harus ditandai dengan jelas, ditangani dan disimpan dengan benar, dan dihancurkan dengan tepat sesuai dengan kebijakan, standar, dan prosedur organisasi yang telah ditetapkan.:
- Menandai: Bagaimana sebuah organisasi mengidentifikasi informasi sensitif, apakah itu elektronik atau hard copy. Misalnya, tanda bisa membaca PRIVILEGED AND RAHASIA. Metode untuk menandai akan bervariasi, tergantung pada jenis data yang sedang kita bicarakan. Misalnya, dokumen elektronik bisa memberi tanda pada margin di footer setiap halaman. Bila data sensitif ditampilkan oleh aplikasi, mungkin aplikasi itu sendiri yang menginformasikan pengguna klasifikasi data yang ditampilkan.
- Penanganan: Organisasi harus menetapkan prosedur untuk menangani informasi sensitif. Prosedur ini merinci bagaimana karyawan dapat mengangkut, mentransmisikan, dan menggunakan informasi tersebut, serta batasan yang berlaku.
- Penyimpanan dan Cadangan: Serupa dengan penanganan, organisasi harus memiliki prosedur dan persyaratan yang menentukan bagaimana informasi sensitif harus disimpan dan dicadangkan.
- Pemusnahan: Cepat atau lambat, sebuah organisasi harus menghancurkan sebuah dokumen yang berisi informasi sensitif. Organisasi harus memiliki prosedur yang merinci bagaimana cara menghancurkan informasi sensitif yang telah dipertahankan sebelumnya, terlepas dari apakah data tersebut ada dalam bentuk hard copy atau disimpan sebagai file elektronik.
Anda mungkin bertanya-tanya, bagaimana Anda menentukan persyaratan penanganan yang tepat untuk setiap tingkat klasifikasi? Ada dua cara utama untuk memikirkan hal ini:
- Hukum, peraturan, dan standar yang berlaku . Seringkali, peraturan seperti HIPAA dan PCI berisi persyaratan khusus untuk menangani informasi sensitif.
- Penilaian risiko . Penilaian risiko digunakan untuk mengidentifikasi ancaman dan kerentanan yang relevan, serta pembentukan kontrol untuk mengurangi risiko. Beberapa kontrol ini dapat berupa persyaratan penanganan data yang akan menjadi bagian dari program klasifikasi aset organisasi.
