BỘ SƯU TẬP TÀI NGUYÊN

Tiêu chuẩn phân loại dữ liệu

Committee on Information Technology (COIT)

Được phê duyệt ngày 27 tháng 10 năm 2017

Tiêu chuẩn phân loại dữ liệu yêu cầu các phòng ban phải phân loại và dán nhãn hoặc đánh dấu dữ liệu theo từng cấp độ phân loại và xem xét lại việc phân loại dữ liệu một cách thường xuyên.

MỤC ĐÍCH VÀ PHẠM VI

Tiêu chuẩn phân loại dữ liệu này (Tiêu chuẩn) là tiêu chuẩn thực thi của Chính sách dữ liệu và Chính sách an ninh mạng toàn thành phố sắp được ban hành.

Các quy định của Tiêu chuẩn này áp dụng cho Thành phố và Quận San Francisco (Thành phố) và các sở, ban, văn phòng, ủy ban và các đơn vị chính phủ khác (các sở). Tất cả nhân viên và người dùng dữ liệu khác (được định nghĩa bên dưới) có trách nhiệm tuân thủ Tiêu chuẩn này.

Tiêu chuẩn này không thay đổi các yêu cầu về quyền truy cập thông tin công khai. Đạo luật Hồ sơ Công khai California hoặc Sắc lệnh Ánh sáng San Francisco yêu cầu và các nghĩa vụ pháp lý khác có thể yêu cầu tiết lộ hoặc phát hành dữ liệu từ bất kỳ phân loại nào.

YÊU CẦU

Các phòng ban phải:

  1. Phân loại và dán nhãn hoặc đánh dấu dữ liệu theo các cấp độ phân loại trong Bảng 2 bên dưới như một phần của quy trình kiểm kê dữ liệu hàng năm được quy định trong Chính sách Dữ liệu. Trường hợp nhiều loại dữ liệu được lưu trữ trong cùng một hệ thống, các Phòng ban nên ưu tiên phân loại hệ thống (chứ không phải từng tập dữ liệu riêng lẻ) theo cấp độ phân loại cao nhất của dữ liệu được lưu trữ trong đó. Tuy nhiên, điều này không được làm ảnh hưởng đến mục tiêu bảo mật về “khả năng truy cập” như đã nêu trong Bảng 1 bên dưới.
  2. Rà soát việc phân loại dữ liệu một cách thường xuyên, nhưng không ít hơn mỗi năm một lần, như một phần của quy trình kiểm kê dữ liệu hàng năm được quy định trong Chính sách Dữ liệu.
  3. Xem xét và điều chỉnh phân loại dữ liệu cho phù hợp khi dữ liệu được ẩn danh, kết hợp hoặc tổng hợp.

Các phòng ban cần tuân thủ các hướng dẫn dưới đây khi sử dụng Tiêu chuẩn này:

  1. Phụ lục A cung cấp quy trình từng bước để phân loại dữ liệu theo sơ đồ phân loại dữ liệu này.
  2. Phụ lục B cung cấp các ví dụ về dữ liệu ở mỗi cấp độ phân loại.

Sau khi dữ liệu được phân loại, các phòng ban nên tham khảo:

  1. Chính sách an ninh mạng toàn thành phố và các tiêu chuẩn liên quan đến khung đánh giá rủi ro cũng như phương pháp luận để lựa chọn các biện pháp kiểm soát an ninh phù hợp cho các loại dữ liệu mà họ thu thập và lưu trữ.
  2. Chính sách dữ liệu và các tiêu chuẩn liên quan về quản lý dữ liệu và nguyên tắc bảo mật áp dụng cho các loại dữ liệu mà họ thu thập và lưu trữ.

Tài liệu

COIT Data Classification Standard

COIT Data Classification Standard - download full policy document

Published