Dataclassificatie

Om te weten hoe zwaar u uw gegevens en informatiesystemen moet beveiligen, moet u weten wat u aan gegevens en informatiesystemen in huis hebt en hoe gevoelig die zijn. Bij gegevens spreken we dan over dataclassificatie, een verplicht onderdeel van standaarden zoals de Baseline Informatiebeveiliging Rijk en ISO 27001. Dit kunnen we bijvoorbeeld doen aan de hand van de BIR, zie https://www.cip-overheid.nl/wp-content/uploads/2015/03/BID-Operationale-producten-BIR-010-Dataclassificatie-1.0.pdf.

 

In het kader van informatiebeveiliging is het van belang te weten wat u aan gegevens en informatiesystemen in huis hebt, hoe gevoelig die zijn en hoe zwaar u deze gegevens en informatiesystemen moet beveiligen.
De vier stappen om dit in kaart te brengen, zijn:

1

Identificeren van gegevens(verzamelingen) en informatiesystemen in uw organisatie.

2

Bepalen op welk niveau gegevens geclassificeerd dienen te worden o.b.v. een Business Impact Analyse. Met deze analyse wordt gekeken wat de gevolgen zijn voor uw organisatie en uw eventuele klanten als de beschikbaarheid, integriteit of vertrouwelijkheid wordt aangetast.

3

Zorgen voor juiste labelling van de persoonsgegevens. Dit is met name relevant om rapporten en andere gegevensdragers te markeren die gevoelige gegevens bevatten.

4

Bepalen hoe de gegevens en informatiesystemen met een bepaalde classificatie behandeld en beschermd dienen te worden in uw organisatie (voor de gehele organisatie en per specifiek gegeven of systeem).

Bij het uitvoeren van een toets op dataclassificatie bepaalt DIGITALconfidence samen met u de scope van de toets.