Dataclassificatie

Om te weten hoe zwaar u uw gegevens en informatiesystemen moet beveiligen, moet u weten wat u aan gegevens en informatiesystemen in huis hebt en hoe gevoelig die zijn. Bij gegevens spreken we dan over dataclassificatie, een verplicht onderdeel van standaarden zoals de Baseline Informatiebeveiliging Rijk en ISO 27001. Dit kunnen we bijvoorbeeld doen aan de hand van de BIR, zie https://www.cip-overheid.nl/wp-content/uploads/2015/03/BID-Operationale-producten-BIR-010-Dataclassificatie-1.0.pdf.

 

De term dataclassificatie zet u eigenlijk op het verkeerde been. Het eigenlijke classificeren is maar één van de vier relevante stappen:

1

Allereerst identificeert u de gegevens(verzamelingen) en informatiesystemen in uw organisatie.

2

Vervolgens bepaalt u op basis van een Business Impact Analyse op welk niveau de gegevens geclassificeerd dient te worden. Wat zijn de gevolgen voor de organisatie en eventueel uw klanten als de Beschikbaarheid, Integriteit of Vertrouwelijkheid wordt aangetast.

3

U draagt zorg voor de juiste labelling van de persoonsgegevens. Met name is dit relevant om rapporten en andere gegevensdragers te markeren die gevoelige gegevens bevatten.

4

U bepaalt hoe de gegevens en informatiestemen met een bepaalde classificatie behandeld en
beschermd dienen te worden in uw organisatie. Dit dient u te doen voor de gehele organisatie (bij wijze van baseline) en per specifiek gegeven of systeem.

Wij kunnen u van dienst zijn om een dataclassificatie uit te voeren en dit proces in uw organisatie in
te richten.