risorse sensibili identificate e adeguatamente protette

1

Sto esaminando il questionario cyber essentials dello IASME e una delle domande è

are all sensitive assets identified (eg protective marking) and properly protected?

Ho googlato un contrassegno protettivo che si riferisce al livello di classificazione dei governi (Top secret, segreto ecc.)

La mia domanda è se le piccole imprese usassero le stesse classificazioni o semplicemente dichiarerebbero che qualcosa è confidenziale? Inoltre, ci sono altri modi per identificare le risorse sensibili?

Scusa se questa domanda è molto semplice, sono solo un po 'confuso su questa domanda. Grazie per l'aiuto in anticipo.

    
posta Anonymous5642 13.02.2017 - 11:01
fonte

1 risposta

1

Il governo usa C, S e TS come restrizione generale del livello materiale, ma pensare che tutto ciò che usano sarebbe una grossolana semplificazione. Altre cose in gioco sono le politiche "Bisogno di sapere" - fondamentalmente, solo perché hai TS autorizzazione non significa che puoi accedere a tutto ciò che è contrassegnato come TS. Ci sono troppe cose da elencare qui, ma fondamentalmente significa che si finisce con un livello di complessità maggiore rispetto a un semplice sistema di tre marcature.

Come per le piccole imprese, classificare le informazioni in base a potenziali danni se rilasciati al pubblico. La ditta sarebbe imbarazzata? I loro concorrenti avrebbero capito come gestiscono la loro azienda? È una formula segreta che è dietro l'intera azienda? È inoltre necessario considerare le ripercussioni legali dal rilascio di informazioni protette (cartelle cliniche, ecc.).

Quindi, la risposta alla tua domanda: le aziende di solito devono avere almeno un livello confidenziale per proteggere le informazioni dei dipendenti. Non c'è nulla per fermare un'azienda che ritiene di aver bisogno di categorie aggiuntive per crearli. Nella vita di tutti i giorni, tuttavia, la maggior parte delle aziende rinuncia all'idea "C / S / TS" e usa solo compartimenti di informazioni.

Ad esempio, Apple potrebbe non classificare i propri dipendenti in livelli di fiducia (potrebbero, non ne ho idea), ma certamente compartimentalizzano le informazioni sul progetto solo ai dipartimenti necessari.

Pensa al metodo del governo da un lato dello spettro e alla "rete di fiducia" della mafia dall'altro. C'è più di un modo per dare la pelle a un gatto. Una società sceglierà quella con il "miglior rapporto rischio-premio", auspicabilmente.

    
risposta data 13.02.2017 - 19:39
fonte

Leggi altre domande sui tag