Was ist der Datenklassifizierungsprozess?

Es gibt keinen einheitlichen Ansatz für die Datenklassifizierung. Es müssen auch nicht alle Daten klassifiziert werden, einige können sogar besser zerstört werden. Wir können jedoch einen allgemeinen Prozess aufschlüsseln, den Sie an Ihre individuellen Bedürfnisse, Wünsche und behördlichen Anforderungen anpassen können.

Der erste Schritt besteht darin, eine Datenklassifizierungsrichtlinie zu definieren. Die Richtlinie sollte allen Mitarbeitern mitgeteilt werden, die Zugriff auf vertrauliche Daten haben und die folgenden Elemente enthalten:


Ziele:
Die Gründe für die Einrichtung der Datenklassifizierung und die Ziele, die Sie damit erreichen möchten.

Prozesse:
Beschreibt, wie der Datenklassifizierungsprozess organisiert wird und wie er sich auf Mitarbeiter auswirkt, die verschiedene Arten sensibler Daten verwenden.

Datenklassifizierungsschema:
Die Kategorien, in die die Daten eingefügt werden.

Dateneigentümer:
Beschreibt, wer direkt für welche Arten von Daten verantwortlich ist, einschliesslich der Art und Weise, wie sie klassifiziert werden, und wer Zugriff darauf erhält.

Anweisungen zur Handhabung:
Sicherheitsstandards, die festlegen, wie vertrauliche Daten für jede Datenkategorie geschützt werden, wer Zugriff darauf hat, wie sie freigegeben werden und wie lange sie aufbewahrt werden.


Nach Abschluss der Richtlinie müssen Sie einen Datenerkennungsprozess ausführen, um den Speicherort, das Volumen und den Kontext von Daten zu ermitteln, die lokal, in der Cloud, in Legacy-Datenbanken und bei Drittanbietern gehostet werden. 

Sie können diesen Schritt überspringen und nur neue Daten klassifizieren. Dies würde jedoch aktuelle geschäftskritische oder vertrauliche Daten unzureichend schützen. 

Der Datenerkennungsprozess kann ein manueller Prozess sein, der nach Datenbanken, Dateifreigaben und anderen Systemen sucht, die vertrauliche Informationen enthalten können, oder über eine Datenerkennungsanwendung, die vertrauliche Informationen über Metadaten und andere Tags sucht, die Informationen schnell in verschiedene Gruppen gruppieren. 

Unabhängig davon, ob Sie Daten von Hand oder mit Software ermitteln, besteht der nächste Schritt darin, sie zu kategorisieren. Die Kategorisierungsmethode kann im Allgemeinen in drei Gruppen unterteilt werden:


Inhaltsbasierte Klassifizierung:
Überprüft und interpretiert Dateien, um festzustellen, ob sie vertrauliche Informationen enthalten.

Kontextbasierte Klassifizierung:
Betrachtet Anwendung, Speicherort oder Ersteller unter anderem als indirekte Indikatoren für vertrauliche Informationen.

Benutzerbasierte Klassifizierung:
Dies hängt von einem manuellen Auswahlverfahren für Endbenutzer für jedes Dokument ab. Dies beruht auf dem Wissen und der Diskretion der Benutzer bei der Erstellung, Bearbeitung, Überprüfung und Verbreitung.


Nach dem Datenerkennungsprozess sollten vertrauliche Daten gemäss Ihrem Datenklassifizierungsschema gekennzeichnet werden.

Sobald alle Daten gekennzeichnet sind, ist es an der Zeit, geeignete Sicherheitskontrollen zu implementieren, um die vertraulichen Daten basierend auf den Richtlinien Ihrer Datenklassifizierung zu schützen. Dies kann Verschlüsselung, Zugriffskontrolle, das Prinzip der geringsten Berechtigungen, Tools zur Erkennung von Datenlecks, Benutzerüberwachung, Aufgabentrennung und viele andere Sicherheitskontrollen umfassen. 

Denken Sie daran, dass dies ein kontinuierlicher Prozess ist. Dateien werden ständig erstellt, verschoben und gelöscht. 

Warum ist die Klassifizierung von Daten wichtig? 
Die Klassifizierung von Daten ist wichtig, da Sie nur über begrenzte Ressourcen verfügen, die Sie in den Schutz Ihrer sensiblen Daten investieren können. Wenn Sie wissen, welche Arten von Daten geschützt werden müssen, können Sie Prioritäten setzen und Ihr Budget und andere Ressourcen den am stärksten betroffenen Bereichen zuweisen, um die Kosten für Datensicherheit und Compliance zu minimieren. 

Darüber hinaus kann die Datenklassifizierung Ihnen helfen, verschiedene Vorschriften innerhalb und ausserhalb der USA einzuhalten, darunter das Family Educational Rights and Privacy Act (FERPA), PCI-DSS, HIPAA, CPS 234, ITAR und viele andere.

Odoo • A picture with a caption
Daten gemäss Ihrem Datenklassifizierungsschema