| Nee, u hoeft niet *alle* niet-geclassificeerde informatie met hetzelfde nauwkeurigheidsniveau te beschermen. Hoewel alle informatie op verantwoorde wijze moet worden behandeld, hangt het vereiste beschermingsniveau af van de gevoeligheid van de informatie, zelfs als deze niet-geclassificeerd is.
Bijvoorbeeld:
* Openbaar beschikbare informatie: De beursgenoteerde aandelenkoers van een bedrijf vereist geen speciale bescherming.
* Interne memo's: Een interne memo over komende teamlunches heeft waarschijnlijk minimale bescherming nodig.
* Persoonlijke gegevens van medewerkers: Burgerservicenummers of gezondheidsinformatie van werknemers, ook al zijn ze niet geclassificeerd, vereisen aanzienlijke bescherming op grond van regelgeving zoals HIPAA of GDPR.
* Intellectueel eigendom: Zelfs als ze niet geclassificeerd zijn, hebben de bedrijfsgeheimen of bedrijfseigen ontwerpen van een bedrijf een sterke bescherming nodig om diefstal of oneerlijke concurrentie te voorkomen.
Daarom hangt het passende beschermingsniveau voor niet-geclassificeerde informatie die is opgeslagen op IT-systemen af van de gevoeligheid ervan en de potentiële impact van een inbreuk. Organisaties moeten over beleid en procedures beschikken om informatie te classificeren op basis van de gevoeligheid ervan en passende beveiligingscontroles toe te passen. Hierbij kan het gaan om toegangscontroles, encryptie, maatregelen ter voorkoming van gegevensverlies, enz. |
