Video: Significato: Cos’è il Regolamento GDPR e cosa cambia? 2025
Le informazioni sensibili come i registri finanziari, i dati dei dipendenti e le informazioni sui clienti devono essere chiaramente contrassegnate, gestite e archiviate in modo appropriato e distrutte in modo appropriato in conformità con le politiche, gli standard e le procedure stabilite:
- Contrassegno: In che modo un'organizzazione identifica informazioni sensibili, sia elettroniche che cartacee. Ad esempio, un segno potrebbe leggere PRIVILEGIATO E RISERVATO. Il metodo di marcatura varierà a seconda del tipo di dati di cui stiamo parlando. Ad esempio, i documenti elettronici possono avere una marcatura sul margine al piè di pagina di ogni pagina. Quando i dati sensibili vengono visualizzati da un'applicazione, può essere l'applicazione stessa che informa l'utente della classificazione dei dati visualizzati.
- Gestione: L'organizzazione deve avere stabilito procedure per la gestione delle informazioni sensibili. Queste procedure descrivono in dettaglio in che modo i dipendenti possono trasportare, trasmettere e utilizzare tali informazioni, nonché eventuali restrizioni applicabili.
- Archiviazione e backup: Simile alla gestione, l'organizzazione deve disporre di procedure e requisiti che specificano in che modo è necessario archiviare e eseguire il backup delle informazioni sensibili.
- Distruzione: Prima o poi, un'organizzazione deve distruggere un documento che contiene informazioni sensibili. L'organizzazione deve disporre di procedure dettagliate su come distruggere le informazioni sensibili che sono state precedentemente conservate, indipendentemente dal fatto che i dati siano in formato cartaceo o salvati come file elettronico.
Forse ti starai chiedendo, come stabilisci quali sono i requisiti di gestione appropriati per ogni livello di classificazione? Esistono due modi principali per capirlo:
- Leggi, regolamenti e standard applicabili . Spesso, regolamenti come HIPAA e PCI contengono requisiti specifici per la gestione delle informazioni sensibili.
- Valutazione del rischio . Una valutazione del rischio viene utilizzata per identificare le minacce e le vulnerabilità rilevanti, nonché l'istituzione di controlli per mitigare i rischi. Alcuni di questi controlli possono assumere la forma di requisiti di gestione dei dati che diventerebbero parte del programma di classificazione degli asset di un'organizzazione.
