Datahåndtering (CIS Control 3)

CIS Control 3 dækker processer og tekniske foranstaltninger til at identificere, klassificere, beskytte og sikkert bortskaffe organisationens data. Kontrollen er tæt koblet til GDPR-kravene om databeskyttelse og princippet om dataminimering.

Tilbage til ordbog

Hvad dækker CIS Control 3?

CIS Control 3 — Data Protection — adresserer, hvordan organisationer bør håndtere deres data gennem hele livscyklussen: fra oprettelse og opbevaring til sikker bortskaffelse. Målet er at sikre, at følsomme data identificeres, klassificeres og beskyttes mod uautoriseret adgang, exfiltrering og tab.

Hvor CIS Control 1 fokuserer på at kende dine hardware-aktiver, og CIS Control 2 på hvilken software der er installeret, retter Control 3 fokus mod selve data — uden tvivl det mest værdifulde aktiv af alle.

Dataklassificering

Fundamentet for databeskyttelse er klassificering. Du kan ikke beskytte data passende uden at vide, hvad du har, og hvor følsomt det er. Et praktisk klassificeringsskema inkluderer typisk:

Offentligt: Information der frit kan deles uden risiko (f.eks. marketingmateriale).
Internt: Information der er beregnet til intern brug, men ikke er særligt følsom (f.eks. interne procedurer).
Fortroligt: Følsom information der kræver beskyttelse (f.eks. personoplysninger, økonomiske oplysninger).
Begrænset: Yderst følsom information, hvor et brud ville have alvorlige konsekvenser (f.eks. helbredsdata, forretningshemmeligheder).

Klassificeringen bør drive de kontroller, der anvendes på hver datakategori. Højere følsomhed kræver strengere adgangskontroller, stærkere kryptering og mere rigorøse håndteringsprocedurer.

Tekniske databeskyttelseskontroller

CIS Control 3 anbefaler flere tekniske sikkerhedsforanstaltninger:

Kryptering: Kryptér følsomme data både i hvile og under transmission. Det beskytter data, selv hvis lagringsmedier mistes eller netværkstrafik opfanges.
Data loss prevention (DLP): Værktøjer og politikker der opdager og forhindrer uautoriseret overførsel af følsomme data ud af organisationen.
Adgangskontroller: Begræns adgang til data baseret på klassificeringsniveau og need-to-know-princippet.
Backup og gendannelse: Vedligehold regelmæssige, testede backups for at sikre, at data kan gendannes efter en hændelse.
Logning og overvågning: Spor hvem der tilgår følsomme data og opdag unødvendige adgangsmønstre.

Sammenhæng med GDPR: CIS Control 3 stemmer nøje overens med GDPR’s krav om passende tekniske og organisatoriske foranstaltninger (artikel 32). Implementering af Control 3-safeguards hjælper med at dokumentere GDPR-compliance.

Sikker bortskaffelse

Databeskyttelse slutter ikke, når data ikke længere er nødvendige. CIS Control 3 kræver sikre bortskaffelsesprocesser for at sikre, at følsomme data ikke kan gendannes fra udfaset hardware, slettede filer eller pensionerede cloud-instanser. Det inkluderer fysisk destruktion af lagringsmedier, kryptografisk sletning og verificeret sletning. For organisationer der bruger data discovery-værktøjer, lukker sikker bortskaffelse cirklen på dataens livscyklus.

Ofte stillede spørgsmål om CIS Control 3

Ofte stillede spørgsmål om datahåndtering (cis control 3)

Hvad er CIS Control 3?

CIS Control 3 — Data Protection — dækker processer og tekniske kontroller til at identificere, klassificere, sikkert håndtere, opbevare og slette organisationens data for at forhindre uautoriseret adgang og datatab.

Hvorfor er dataklassificering vigtigt?

Dataklassificering er fundamentet for effektiv databeskyttelse. Uden at vide, hvilke data du har, og hvor følsomme de er, kan du ikke anvende passende sikkerhedskontroller. Klassificering sikrer, at de mest følsomme data får den stærkeste beskyttelse.

Hvad er IG1-safeguards for CIS Control 3?

IG1-safeguards for Control 3 inkluderer at etablere og vedligeholde en datastyringsproces, en dataoversigt, krav til dataopbevaring og sikker bortskaffelse af data. Disse repræsenterer minimumshandlingerne, enhver organisation bør foretage.

Hvordan forholder CIS Control 3 sig til GDPR?

CIS Control 3 stemmer nøje overens med GDPR artikel 32, der kræver passende tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger. Implementering af Control 3-safeguards som kryptering, adgangskontrol og sikker bortskaffelse understøtter direkte GDPR-compliance.

Hvad er sikker databortskaffelse?

Sikker databortskaffelse sikrer, at følsomme data ikke kan gendannes fra udfaset hardware eller slettede filer. Metoder inkluderer fysisk destruktion af lagringsmedier, kryptografisk sletning og verificeret sletning med certificerede værktøjer.