Je hebt een klacht over de onderstaande posting:
Wat je vrij eenvoudig kunt doen is: per systeem een CIA-classificatie bepalen. Ofwel: hoe scoort de data en/of het proces qua vertrouwelijkheid (confidentiality), integriteit (integrity) en availability (beschikbaarheid)? Zo'n CIA-classificatie kun je doen via een korte risico-analyse, er zijn daartoe vele vragenlijsten beschikbaar of je maakt er zelf een. Op grond van de uitkomsten van de CIA-classificatie neem je dan je maatregelen, zoals encryptie, hash-checking, uitwijk etcetera. Als de CIA- classificatie op onderdelen erg hoog uitvalt is het kennelijk een kritische component en doe je een meer uitgebreide risico-analyse. Tenslotte: maak een dataclassificatie policy waarin staat welke niveau's je onderkent en welke maatregelen daarbij horen. Zorg dat die policy wordt nageleefd. Je kunt bijvoorbeeld van de IT-afdeling eisen dat ze geen nieuwe systemen ondersteunen als er eerst geen CIA-classificatie is vastgesteld: de IT-ers weten dan immers niet welke ...
Beschrijf je klacht (Optioneel):