Andmete klassifitseerimise ja märgistamise poliitika – VKE

Andmete klassifitseerimise ja märgistamise poliitika (P13S) määratleb, kuidas kogu organisatsiooni poolt käideldav teave tuleb klassifitseerida ja märgistada, tagades selle konfidentsiaalsuse, tervikluse ja käideldavuse kogu elutsükli jooksul. See poliitika võimaldab järjepidevat ja nõuetele vastavat andmekäitlust, määrates teabele kaitsetasemed tundlikkuse, ärimõju või õiguslike kohustuste alusel, näiteks GDPR-i, NIS2 ja DORA poolt määratletud kohustuste alusel. Selle kasutuselevõtt on kriitiline organisatsioonidele, kes taotlevad ISO/IEC 27001 sertifitseerimist, võimaldades süstemaatiliselt vähendada juhusliku avalikustamise, volitamata juurdepääsu või tundlike andmete väärkäitlemise riski. Tegemist on VKE poliitikaga, mida näitab P13S dokumendinumber ning poliitika omaniku rollina määratud „tegevjuht“, mis peegeldab kohandust organisatsioonidele, kus puuduvad eraldi IT- või infoturbejuhi rollid. Poliitika tõlgib keerukad regulatiivsed ja turbenõuded VKEdele sobivaks selgelt struktureeritud vastutusteks. Tegevjuht omab ja jälgib poliitika jõustamist ning erandeid; teabe omanikud või andmehaldurid teostavad esmast klassifitseerimist, märgistamist ja perioodilist läbivaatamist; IT-juht või IT-administraatorid (sisemised või sisseostetud) rakendavad tehnilisi kontrollimeetmeid; ning kogu personal/töövõtjad peavad klassifikatsioone rakendama, kontrollima ja austama ning osalema koolitustel. Poliitika kohaldamisala on terviklik, hõlmates kõiki organisatsiooni andmeid sõltumata vormingust, asukohast või elutsükli etapist. See hõlmab elektroonilisi faile, pilves ja kohapealseid andmeid, füüsilisi dokumente, e-kirju ning ka ajutisi või üleminekuandmeid, nagu logid ja vahemälufailid. Selliseid andmeid käitlevad töötajad ja kolmandad isikud peavad klassifitseerimist ja märgistamist järjepidevalt rakendama kogu loomise, kasutamise, säilitamise, edastamise, arhiveerimise või kustutamise jooksul. Nõutav on lihtne kolmetasemeline klassifitseerimisskeem: avalik (vabalt jagatav), sisekasutus (piiratud töötajatele) ja konfidentsiaalne (tundlik, nõuab kõige rangemaid kaitsemeetmeid, nagu krüpteerimine ja juurdepääsukontroll). Poliitika nõuab nähtavat ja püsivat märgistamist nii digitaalsetel kui füüsilistel varadel, rutiinseid ülevaatusi, kui ärimudelid, tarkvara või seadusandlus muutuvad, ning ametlikke käitlemisreegleid iga klassifitseerimistaseme jaoks. Need sätted tagavad, et VKEd saavad ka lihtsustatud operatiivstruktuuride korral tõendada õigusnormidele vastavust ja riskipõhist andmekaitset, edendades samal ajal volitusi ja aruandekohustust ning selget andmehoidmist. Perioodilised auditid, pistelised kontrollid ja dokumenteeritud erandite haldus tugevdavad täiendavalt vastavust. Rikkumised, näiteks konfidentsiaalsete andmete säilitamine ebaturvalistes asukohtades või varade nõuetekohase märgistamise tegemata jätmine, on distsiplinaarmeetmete objektiks alates hoiatustest kuni õiguslike meetmeteni. Iga-aastane kohustuslik läbivaatamine tagab, et poliitika kohandub muutuvate riskide, regulatiivsete nõudmiste ja organisatsiooniliste muudatustega, muutes selle kaitstava VKE küberturbe ja andmekaitse programmi lahutamatuks osaks.