Video: Cấp quyền trên tập tin/thư mục cho người dùng 2025
Các thông tin nhạy cảm như hồ sơ tài chính, dữ liệu nhân viên và thông tin về khách hàng phải được đánh dấu, xử lý và lưu trữ đúng cách, và hủy phù hợp với chính sách, tiêu chuẩn và thủ tục của tổ chức:
- Đánh dấu: Cách tổ chức xác định thông tin nhạy cảm, dù là bản điện tử hay bản cứng. Ví dụ, một dấu có thể đọc PRIVILEGED và CONFIDENTIAL. Phương pháp đánh dấu sẽ khác nhau, tùy thuộc vào loại dữ liệu mà chúng ta đang nói tới. Ví dụ, các tài liệu điện tử có thể có một dấu trong lề ở cuối trang. Trường hợp dữ liệu nhạy cảm được hiển thị bởi một ứng dụng, có thể chính ứng dụng đó sẽ thông báo cho người dùng về việc phân loại dữ liệu được hiển thị.
- Xử lý: Tổ chức nên đã thiết lập các thủ tục xử lý thông tin nhạy cảm. Các thủ tục này nêu chi tiết cách nhân viên có thể vận chuyển, truyền tải và sử dụng thông tin đó, cũng như bất kỳ hạn chế áp dụng nào.
- Lưu trữ và sao lưu: Tương tự như xử lý, tổ chức phải có các thủ tục và yêu cầu xác định thông tin nhạy cảm phải được lưu trữ và sao lưu như thế nào.
- Tiêu huỷ: Sớm hay muộn, tổ chức phải tiêu huỷ tài liệu có chứa thông tin nhạy cảm. Tổ chức phải có thủ tục chi tiết làm thế nào để tiêu hủy các thông tin nhạy cảm đã được giữ lại trước đây, bất kể dữ liệu có trong bản thảo hoặc lưu dưới dạng tệp điện tử.
Bạn có thể tự hỏi, làm thế nào để bạn xác định những gì tạo nên các yêu cầu xử lý thích hợp cho từng cấp độ phân loại? Có hai cách chính để tính toán điều này:
- Các luật, quy định và tiêu chuẩn áp dụng . Thông thường, các quy định như HIPAA và PCI có những yêu cầu cụ thể để xử lý thông tin nhạy cảm.
- Đánh giá rủi ro . Một đánh giá rủi ro được sử dụng để xác định các mối đe dọa và tổn thương có liên quan, cũng như việc thành lập các biện pháp kiểm soát nhằm giảm thiểu rủi ro. Một số kiểm soát này có thể có dạng yêu cầu xử lý dữ liệu có thể trở thành một phần của chương trình phân loại tài sản của tổ chức.
