Standard klasifikacije podataka

2. septembar 2014.

Svrha

Ovaj standard utvrđuje zahtjeve za klasifikaciju podataka za državne agencije s ciljem zaštite povjerljivosti, integriteta i dostupnosti državnih podataka.

Pregled

Država Iowa prikuplja i upravlja ogromnim količinama informacija, kako u papirnom tako i u elektronskom formatu. Neke od informacija koje prikupljaju i kojima upravljaju agencije imaju posebnu zaštitu utvrđenu državnim i saveznim zakonom. Agencije su odgovorne za zaštitu informacija koje su pod njihovom zaštitom.

Klasifikacija podataka pruža okvir za upravljanje informacijama. Klasifikacijom informacija agencije mogu donositi odluke o tome kako informacije treba zaštititi tokom kreiranja, skladištenja, prenosa i odlaganja.

Opseg

Ovaj standard se primjenjuje na sve agencije kako je definirano u Poglavlju 8A, Odjeljku 101 Zakona o Iowi. Agencije koje ne sudjeluju se potiču da slijede smjernice u ovoj i drugim politikama, standardima, smjernicama, procesima i procedurama na nivou preduzeća.

Definicije

Odabrani termini korišteni u Standardu klasifikacije poslovnih podataka definirani su u nastavku:

Sistem klasifikacije podataka: Sistem/proces za klasifikaciju informacija u kategorije na osnovu stepena u kojem moraju biti zaštićene.

Elementi

Slijede elementi Standarda sigurnosti klasifikacije podataka preduzeća.

1. Klasifikacija podataka: Svi podaci moraju biti klasifikovani prema potrebnom nivou zaštite. Podaci moraju biti klasifikovani najmanje kao:
   a. Povjerljivo - Informacije zaštićene državnim ili saveznim zakonom, ili
   b. Javne - Informacije koje nisu uključene u zaštićenu klasifikaciju.
   
   Dodatne klasifikacije mogu se koristiti kako bi se ispunili zahtjevi agencije. Na primjer, neke organizacije mogu koristiti kategoriju:
   c. Osjetljivo: Nije eksplicitno zaštićeno zakonom, ali izloženost bi mogla rezultirati negativnim utjecajem na vladine službe, partnere državne vlade ili građane.
2. Zaštita podataka: Agencije će postaviti zahtjeve zaštite za svaki nivo klasifikacije podataka. Zaštita treba da uzme u obzir različita stanja podataka (tj. u mirovanju, u tranzitu, u upotrebi i na raspolaganju) i oblike podataka (elektronske i papirne).
3. Pregledi: Agencije će godišnje pregledati svoj sistem klasifikacije podataka i informacije koje prikupljaju kako bi osigurale da nivoi klasifikacije podataka ostanu važeći.
4. Procjena: ISO može procijeniti usklađenost agencije s ovim standardom. Agencije će omogućiti pristup svom klasifikacijskom standardu i dokumentaciji o tome kako se specifični podaci klasificiraju. Ako se utvrde kršenja ovog standarda, agencija će dobiti pismenu obavijest u skladu s IAC 11--25.11(8A).
5. Obavještenje: Na dan stupanja na snagu ovog standarda ili prije njega, agencije će dostaviti glavnom službeniku za sigurnost informacija opis načina na koji klasifikuju podatke i opis standarda agencije za zaštitu podataka u svakoj vrsti klasifikacije.
6. Inventar: Agencije će sačiniti inventar podataka. Inventar će identificirati lokaciju povjerljivih informacija (papirnih i elektronskih) koje su prikupile agencija i vlasnik podataka.
7. Označavanje: Sistemi koji sadrže povjerljive informacije moraju biti označeni kao povjerljivi (putem početnog ekrana ili slične metode). Papirni dokumenti moraju biti označeni kao povjerljivi gdje god je to izvodljivo.

Ažuriranja

Ovaj dokument će se preispitivati ​​najmanje svake dvije godine i ažurirati po potrebi.

Datum stupanja na snagu

Ovaj standard stupa na snagu 2. septembra 2014. godine.

Provođenje

Ovaj standard će se provoditi u skladu s Administrativnim zakonikom Iowe 11--25.11(8A).

Varijanca

Član 11 - 25.11(2) Administrativnog zakona Iowe predviđa odstupanja od sigurnosnih standarda. Zahtjevi za odstupanje od bilo kojeg zahtjeva ove politike bit će podneseni u pisanoj formi glavnom službeniku za sigurnost informacija prije implementacije.