Nej, du behöver inte skydda * all * oklassificerad information med samma rigoritetsnivå. Även om all information bör hanteras på ett ansvarsfullt sätt beror det skyddsnivå som krävs på informationens känslighet, även om den är oklassificerad.
Till exempel:
* allmänt tillgänglig information: Ett företags börsnoterade aktiekurs kräver inget särskilt skydd.
* interna memos: Ett internt memo om kommande laglunchar behöver sannolikt minimalt skydd.
* Anställdas personuppgifter: Anställdas personnummer eller hälsoinformation, även om den är oklassificerad, kräver betydande skydd enligt förordningar som HIPAA eller GDPR.
* Intellektuell egendom: Även om det inte klassificeras, behöver ett företags affärshemligheter eller äganderätt till ett starkt skydd för att förhindra stöld eller orättvis konkurrens.
Därför beror den lämpliga skyddsnivån för oklassificerad information lagrad på IT -system på dess känslighet och den potentiella effekten av ett överträdelse. Organisationer bör ha policyer och rutiner för att klassificera information baserat på dess känslighet och tillämpa lämpliga säkerhetskontroller. Detta kan involvera åtkomstkontroller, kryptering, åtgärder för förebyggande av data, etc.
