Politique de classification des données

Guide pour la classification des données

Objectif

L’objectif de la création de ces directives est de mettre en place un cadre pour la classification des données sur la base du niveau de sensibilité, de leur valeur et de leur criticité pour Appy Pie, comme l’exige la politique de sécurité de l’information de Appy Pie. Ce processus de classification des données aidera à déterminer les procédures de sécurité de base pour la sécurité ou la protection des données.

S’applique à

La Politique est applicable au personnel et est étendue aux Agents tiers de Appy Pie ainsi qu’à tout autre affilié de Appy Pie qui a accès aux Données de Appy Pie. La politique s’applique particulièrement aux ressources responsables de la classification et de la protection des données de Appy Pie, comme cela est spécifié par les Rôles et Responsabilités de la Sécurité de l’Information.

Définitions

Les données confidentielles sont une expression générique qui désigne toutes les données classées comme restreintes, conformément au schéma de classification des données défini dans cette politique. Elles sont aussi souvent appelées données sensibles.

Un responsable des données est un employé désigné de haut niveau chez Appy Pie qui supervise le cycle de vie d’un ou plusieurs ensembles de données de Appy Pie.

Les Données Appy Pie comprennent toutes les données détenues ou sous licence par Appy Pie.

L’information non publique est toute information qui est classée comme information privée ou restreinte selon le schéma de classification des données présenté dans la politique.

Les données sensibles sont un terme générique qui signifie toutes les données qui sont classées comme restreintes, selon le schéma de classification des données établi dans cette politique. Elles sont aussi souvent appelées données confidentielles.

Classification des données

La classification des données, dans le contexte de la sécurité des informations ou des données, est la classification des données sur la base de leur niveau de sensibilité et de l`impact qu`elles peuvent avoir sur Appy Pie si elles devaient être dévoilées, modifiées ou détruites sans sanction ou autorisation. Ce processus de classification des données permet de déterminer les contrôles de sécurité de base appropriés pour la protection des données. Toutes les données Appy Pie doivent être classées dans l’un des trois niveaux de sensibilité, ou classifications suivants :

A. Données restreintes
Seules les données doivent être classées comme restreintes, qui, si elles sont divulguées, modifiées ou détruites sans autorisation, peuvent entraîner un risque considérable pour Appy Pie, ses clients ou ses affiliés. Par exemple – les données protégées par les règlements de l’état ou fédéraux sur la vie privée ou les données protégées par des accords de confidentialité. Les données restreintes doivent être protégées par le plus haut niveau de sécurité.
B. Données privées
Seules ces données devraient être classées comme Privées, qui, si elles sont divulguées, modifiées ou détruites sans autorisation, peuvent causer un risque modéré pour Appy Pie, ses clients ou ses affiliés. Toute donnée Appy Pie qui n’est pas explicitement classée comme donnée restreinte ou publique doit, par défaut, être considérée comme donnée privée. Les données privées doivent être protégées par un niveau raisonnable de contrôles de sécurité.
C. Données publiques
Seules les données doivent être classées comme publiques, qui, si elles sont divulguées, modifiées ou détruites sans autorisation, peuvent causer peu ou pas de risque pour Appy Pie, ses clients et ses affiliés. Par exemple – les communiqués de presse, les ressources éducatives, et les études de cas. Bien que peu ou pas de contrôles doivent être appliqués pour protéger la confidentialité des données publiques, un certain niveau de contrôle doit être appliqué pour empêcher la modification ou la destruction non autorisée des données publiques.

La classification des données doit être effectuée par un responsable des données approprié. Les responsables des données sont des employés de haut niveau chez Appy Pie qui sont chargés de superviser les cycles de vie complets d’un ou plusieurs ensembles de données Appy Pie.

Calcul de la classification

Le but de la sécurité de l’information, comme mentionné dans notre politique de sécurité de l’information, est de protéger la confidentialité, l’intégrité et la disponibilité des données Appy Pie. La classification des données indique le niveau d’impact sur Appy Pie s’il y a une menace de confidentialité, d’intégrité ou de disponibilité.

Malheureusement, il n’existe pas de système quantitatif parfait pour calculer la classification d’un élément de données particulier. Dans certaines situations, la classification appropriée peut être plus évidente, comme lorsque les lois fédérales exigent que Appy Pie protège des types de données particuliers (par exemple, des informations personnellement identifiables). Dans les cas où la classification adéquate n’est pas évidente, considérez chaque objectif de sécurité comme décrit dans le tableau suivant. Le tableau ci-dessous est tiré de la publication 199 des normes Federal Information Processing Standards (FIPS) publiées par le National Institute of Standards and Technology, qui examine la classification des informations et des systèmes d’information.

CONSÉQUENCES POTENTIELLES
Objectif de sécurité BASSE MODÉRÉ ÉLEVÉ
Confidentialité
Préservation des restrictions autorisées concernant l’accès aux informations et leur divulgation, y compris les moyens de protéger la vie privée et les informations exclusives.
On peut s’attendre à ce que la divulgation non autorisée d’informations ait un effet négatif limité sur les opérations de l’organisation, ses actifs ou les individus. La divulgation non autorisée d’informations pourrait avoir un effet négatif grave sur les opérations de l’organisation, ses actifs ou les individus. La divulgation non autorisée d’informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l’organisation, ses actifs ou les personnes.
Intégrité
Protection contre la modification ou la destruction inappropriée d’informations, y compris la garantie de la non-répudiation et de l’authenticité des informations.
La modification ou la destruction non autorisée d’informations pourrait avoir un effet négatif limité sur les opérations de l’organisation, ses actifs ou les individus. La modification ou la destruction non autorisée d’informations pourrait avoir un effet négatif grave sur les opérations de l’organisation, ses actifs ou les personnes. La modification ou la destruction non autorisée d’informations pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l’organisation, ses actifs ou les individus.
DisponibilitéGarantir un accès rapide et fiable aux informations et leur utilisation. La perturbation de l’accès ou de l’utilisation de l’information ou d’un système d’information pourrait avoir un effet limité ou diversifié sur les opérations de l’organisation, ses actifs ou les individus. L’interruption de l’accès à l’information ou à un système d’information ou de leur utilisation pourrait avoir un effet négatif grave sur les opérations de l’organisation, ses actifs ou les personnes. La perturbation de l’accès ou de l’utilisation des informations ou d’un système d’information pourrait avoir un effet négatif grave ou catastrophique sur les opérations de l’organisation, ses actifs ou les individus.

Lorsque l’impact potentiel sur Appy Pie passe de faible à élevé, la classification des données doit devenir progressivement restrictive, passant de Public à Restreint. Si, après avoir pris en compte les points mentionnés ci-dessus, vous n’arrivez toujours pas à trouver une classification appropriée, contactez le responsable de la sécurité de l’information pour une assistance.

Type d’information Classification des données Impact sur la confidentialité Impact sur l’intégrité Impact sur la disponibilité
Données personnelles (client) Confidentiel Haut Haut Haut
Données personnelles (employé) Confidentiel Bas Moyen Moyen
Données financières (clients) Confidentiel Haut Haut Haut
Données financières (employé) Confidentiel Haut Haut Haut
Données du fournisseur Public Bas Bas Bas