Norme de classification des données

2 septembre 2014

But

Cette norme établit des exigences de classification des données pour les agences étatiques dans le but de protéger la confidentialité, l'intégrité et la disponibilité des données de l'État.

Aperçu

L’État de l’Iowa collecte et gère d’importantes quantités d’informations, tant sur support papier qu’électronique. Certaines de ces informations, collectées et gérées par les agences, bénéficient de protections spécifiques prévues par la législation étatique et fédérale. Les agences sont responsables de la protection des informations dont elles ont la charge.

La classification des données fournit un cadre pour la gestion de l'information. En classant l'information, les organismes peuvent décider de la manière dont elle doit être protégée lors de sa création, de son stockage, de son transfert et de sa destruction.

Portée

Cette norme s'applique à tous les organismes tels que définis par le chapitre 8A, section 101 du Code de l'Iowa. Les organismes non participants sont encouragés à suivre les lignes directrices de ce document et d'autres politiques, normes, lignes directrices, processus et procédures au niveau de l'entreprise.

Définitions

Voici la définition de certains termes utilisés dans la norme de classification des données d'entreprise :

Système de classification des données : Système/processus permettant de classer les informations en catégories en fonction du degré de protection requis.

Éléments

Voici les éléments de la norme de sécurité de classification des données d'entreprise.

1. Classification des données : Toutes les données doivent être classées selon le niveau de protection requis. Au minimum, les données doivent être classées comme suit :
   a. Confidentiel - Informations protégées par la loi étatique ou fédérale, ou
   b. Public - Information non incluse dans une classification protégée.
   
   Des classifications supplémentaires peuvent être utilisées pour répondre aux exigences de l'organisme. Par exemple, certaines organisations peuvent utiliser la catégorie :
   c. Sensible : Non explicitement protégé par la loi, mais son exposition pourrait avoir un impact négatif sur les services gouvernementaux, les partenaires du gouvernement de l'État ou les citoyens.
2. Protection des données : Les organismes doivent définir des exigences de protection pour chaque niveau de classification des données. Ces protections doivent tenir compte des différents états des données (au repos, en transit, en cours d’utilisation et à la destruction) et de leurs formats (électroniques et papier).
3. Examens : Les organismes doivent examiner annuellement leur système de classification des données et les renseignements qu’ils recueillent afin de s’assurer que les niveaux de classification des données demeurent valides.
4. Évaluation : L’ISO peut évaluer la conformité des organismes à la présente norme. Les organismes devront donner accès à leur norme de classification et à la documentation relative à la classification des données. En cas de non-conformité à la présente norme, l’organisme recevra une notification écrite conformément à la norme IAC 11-25.11(8A).
5. Notification : Au plus tard à la date d'entrée en vigueur de la présente norme, les organismes fourniront au responsable de la sécurité des systèmes d'information une description de la manière dont ils classent les données et une description de la norme de l'organisme en matière de protection des données pour chaque type de classification.
6. Inventaire : Les organismes doivent réaliser un inventaire des données. Cet inventaire doit indiquer l’emplacement des renseignements confidentiels (papier et électroniques) recueillis par l’organisme et le nom du propriétaire des données.
7. Étiquetage : Les systèmes contenant des informations confidentielles doivent être signalés comme tels (par un écran d’accueil ou une méthode similaire). Les documents papier doivent être signalés comme confidentiels lorsque cela est possible.

Mises à jour

Ce document devra être revu au moins tous les deux ans et mis à jour au besoin.

Date d'entrée en vigueur

Cette norme entrera en vigueur le 2 septembre 2014.

Application de la loi

Cette norme sera appliquée conformément au Code administratif de l'Iowa 11--25.11(8A).

Variance

Le Code administratif de l'Iowa, article 11-25.11(2), prévoit des dérogations aux normes de sécurité. Toute demande de dérogation aux exigences de la présente politique doit être soumise par écrit au responsable de la sécurité des systèmes d'information avant sa mise en œuvre.