1. วัตถุประสงค์
นโยบายเรื่องการจัดการและการจำแนกข้อมูลนี้จะกำหนดให้เจ้าของข้อมูลทำงานร่วมกับแผนกต่างๆ ในการจำแนกข้อมูลของตนเองโดยเป็นไปตามความละเอียดอ่อนและระดับความวิกฤตของข้อมูล
เจ้าของข้อมูลในระดับอาวุโสที่ได้รับการแต่งตั้งจะเป็นบุคคลที่รับผิดชอบเกี่ยวกับข้อมูลทั่วทั้งองค์กร โดยทั่วไปแล้ว บุคคลผู้นี้จะเป็นสมาชิกของผู้บริหารในระดับสูงซึ่งมีผลประโยชน์ในการทำให้แน่ใจว่ามีการติดป้ายกำกับข้อมูลได้อย่างถูกต้องและข้อมูลได้รับการรักษาความปลอดภัยในตอนท้ายอย่างเหมาะสม บุคคลผู้นี้จะต้องเข้าใจในความสำคัญที่มีต่อมหาวิทยาลัยและการใช้งานข้อมูลเพื่อที่จะจำแนกข้อมูลได้อย่างถูกต้อง บุคคลผู้นี้ยังจะต้องทราบข้อมูลเกี่ยวกับกฎหมาย ข้อบังคับ หรือข้อกำหนดเกี่ยวกับข้อมูลในสัญญาที่นำมาบังคับใช้เป็นอย่างดี เมื่อเจ้าของข้อมูลได้จำแนกข้อมูลของตนเอง เจ้าของข้อมูลควรที่จะตรวจสอบการจำแนกข้อมูลตามระยะเวลาที่กำหนดไว้ (ทุกปี) เพื่อตรวจสอบให้แน่ใจว่ายังคงมีการจำแนกข้อมูลอยู่
นโยบายนี้จะเป็นตัวกำหนดวิธีการในการจำแนกข้อมูลตามที่กล่าวถึงนี้
2. บทบาทหน้าที่และความรับผิดชอบ
เจ้าของข้อมูลจะช่วยเหลือแผนกต่างๆ ในการจำแนกข้อมูลของตนเองและทำให้แน่ใจว่าข้อมูลของแผนกต่างๆ ที่จัดเก็บไว้ในคลังข้อมูลเป็นข้อมูลที่ถูกต้องและเป็นปัจจุบัน
3. ขอบเขต
นโยบายนี้จะนำไปใช้กับข้อมูลอิเล็กทรอนิกส์และข้อมูลที่จับต้องได้
4. ระเบียบปฏิบัติในการจำแนกข้อมูล
ตามมาตรฐาน ISO 27002 แล้ว วัตถุประสงค์ในการจำแนกข้อมูลก็คือการทำให้แน่ใจว่าสารสนเทศ/ข้อมูลได้รับการคุ้มครองในระดับที่เหมาะสม
เมื่อพิจารณาข้อมูลต่อจากนี้ จะเห็นว่า มหาวิทยาลัยนานาชาติแสตมฟอร์ด (“มหาวิทยาลัย”) ได้ทำการจำแนกข้อมูลของตนเองโดยพิจารณาจากระดับของผลกระทบที่จะเกิดขึ้นอันเนื่องมาจากการเข้าถึงยังไม่เหมาะสมและ/หรือการสูญหายของข้อมูล
- ข้อมูลจะถูกจำแนกออกเป็นประเภทดังต่อไปนี้
- ข้อมูลที่เป็นความลับ / ข้อมูลที่มีความละเอียดอ่อน
- ข้อมูลที่ใช้ในองค์กรเท่านั้น
- ข้อมูลสาธารณะ
การจำแนกข้อมูลจะขึ้นอยู่กับรูปแบบของข้อมูล
ตารางดังต่อไปนี้จะมีรายละเอียดของการระบุวิธีการในการจำแนกข้อมูลด้วยการพิจารณาผลกระทบของความเสี่ยงต่างๆ
ความเสี่ยง | จะมีการพิจารณาผลกระทบจากหลักการสำคัญ 4 ประการ – ด้านกฎหมาย ด้านชื่อเสียง ด้านการเงิน และความปลอดภัยของการดำเนินงานและบุคคล (ดูรายละเอียดเกี่ยวกับแนวทางเพิ่มเติมได้ที่ภาคผนวกหมายเลข 2) | ||||||
| การเข้าถึงอย่างไม่เหมาะสมที่ก่อให้เกิดการกระทำผิดต่อระเบียบเรื่องการรักษาความลับ/การคุ้มครองข้อมูล | เล็กน้อย | ปานกลาง | รุนแรง | ||||
| การเข้าถึงอย่างไม่เหมาะสมจนส่งผลทำให้มีการแก้ไขข้อมูลโดยไม่ได้รับอนุญาต | เล็กน้อย | ปานกลาง | รุนแรง | ||||
| การสูญหายของข้อมูล | เล็กน้อย | ปานกลาง | รุนแรง | ||||
| การเปิดเผยข้อมูลโดยไม่ได้รับอนุญาต | เล็กน้อย | ปานกลาง | รุนแรง | ||||
 |  |  | |||||
| ผลลัพธ์ที่เป็นการจำแนกข้อมูล | ข้อมูลสาธารณะ | ข้อมูลที่ใช้ภายในองค์กรเท่านั้น | ข้อมูลที่เป็นความลับ | ||||
| | | |||||
| ตัวอย่างของการจำแนกข้อมูล | 1 – เว็บไซต์สาธารณะ 2 – ข้อมูลสื่อสังคม | 1 – ประกาศภายในองค์กร/ข้อมูลการฝึกอบรม 2 – รายการเบอร์โทรศัพท์ติดต่อภายในองค์กร 3 – แผนกการเงินและงบประมาณของมหาวิทยาลัย | 1 – ข้อมูลด้านการเงิน 2 – ข้อมูลด้านทรัพยากรบุคคล 3 – ข้อมูลส่วนบุคคลของลูกค้า 4 – แผนผังกลยุทธ์ 5 – ทรัพย์สินทางปัญญา | ||||
ข้อมูลสาธารณะ
ข้อมูลสาธารณะคือข้อมูลที่เปิดเผยต่อสาธารณชนทั่วไป ซึ่งจะหมายถึงข้อมูลที่ไม่มีข้อจำกัดตามกฎหมายท้องถิ่น ระดับประเทศ และกฎหมายในต่างประเทศ ในเรื่องของการเข้าถึงหรือการใช้งาน ข้อมูลที่เป็นสาธารณะสามารถแจ้งให้พนักงานทุกคนของมหาวิทยาลัยทราบได้ รวมทั้งผู้ที่เกี่ยวข้องและบุคคลภายนอกอื่นๆ ทั้งหมด
และเพื่อแสดงให้เห็นภาพ ตัวอย่างของข้อมูลสาธารณะประกอบด้วย
- เนื้อหาที่มีการโพสต์แบบสาธารณะบนเว็บไซต์ที่มีการแสดงข้อมูลภายนอกทั้งหมด
- ข่าวประชาสัมพันธ์ที่มีการโพสต์แบบสาธารณะ
- ข้อมูลด้านการตลาดและข่าวประชาสัมพันธ์ของมหาวิทยาลัยที่มีการโพสต์แบบสาธารณะ
ข้อมูลที่ใช้ในองค์กรเท่านั้น
ข้อมูลที่ใช้ในองค์กรเท่านั้นคือข้อมูลที่เป็นความลับซึ่งจะต้องได้รับการคุ้มครองอันเนื่องมาจากข้อพิจารณาในเรื่องของกรรมสิทธิ์ ศีลธรรม หรือความเป็นส่วนตัว และจะต้องได้รับการป้องกันมิให้มีการเข้าถึง การปรับเปลี่ยนแก้ไข การส่งต่อ การจัดเก็บ หรือการใช้งานอื่นๆ โดยไม่ได้รับอนุญาต ทั้งนี้ ข้อมูลที่ใช้ในองค์กรเท่านั้นคือข้อมูลที่มหาวิทยาลัยจำกัดไว้ให้แก่พนักงานที่มีวัตถุประสงค์ในการเข้าถึงข้อมูลเหล่านั้นอย่างถูกต้องตามกฎหมาย
และเพื่อแสดงให้เห็นภาพ ตัวอย่างของข้อมูลที่ใช้อย่างเป็นทางการจะประกอบด้วย
- ประกาศภายในองค์กร / ข้อมูลเรื่องการฝึกอบรม
- รายการเบอร์โทรศัพท์ติดต่อภายในองค์กร
- งบประมาณด้านการเงิน
ข้อมูลที่เป็นความลับ
ข้อมูลที่เป็นความลับคือสารสนเทศหรือข้อมูลที่ได้รับความคุ้มครองตามบทบัญญัติ ข้อบังคับ และ/หรือภาระผูกพันตามสัญญา ทั้งนี้ หากมีการเปิดเผยข้อมูลที่เป็นความลับให้แก่บุคคลที่ได้รับอนุญาตซึ่งจำเป็นที่จะต้องทราบข้อมูลเท่านั้น
ตารางต่อจากนี้จะอธิบายถึงประเภทของข้อมูลที่เป็นความลับและยกตัวอย่างของข้อมูลที่เป็นความลับในแต่ละประเภท ตัวอย่างต่างๆ ที่ปรากฏอยู่ในตารางนี้จะมีไว้เพื่อแสดงให้เห็นภาพเท่านั้นและไม่ถือว่าเป็นรายการโดยละเอียด
| ประเภทของข้อมูลที่เป็นความลับ | รายละเอียด | ตัวอย่าง |
| ข้อมูลที่เป็นความลับของมหาวิทยาลัย | ข้อมูลที่มีความละเอียดอ่อนทางด้านการค้าซึ่งเรามีภาระผูกพันในฐานะขององค์กรที่จะต้องคุ้มครอง | ข้อมูลที่มีมูลค่าสูงซึ่งประกอบไปด้วยทรัพย์สินทางปัญญาที่นำมาใช้ในธุรกิจ การค้า หรือโครงการวิจัย ได้แก่ ความลับทางการค้า สูตร สัญญาทางการค้า |
| ข้อมูลส่วนบุคคล | ข้อมูลที่เกี่ยวข้องกับบุคคลที่มีชีวิตอยู่ซึ่งถูกหรือสามารถที่จะถูกระบุตัวตนจากข้อมูลนั้น | ชื่อ ที่อยู่ หมายเลขบัตรเครดิต ภาพจากกล้องวงจรปิด บันทึกลูกค้า บันทึกของบุคลากรและการจ่ายเงิน รายละเอียดบัญชีธนาคาร |
| หมวดหมู่พิเศษของข้อมูลส่วนบุคคล | จะมีหมวดหมู่พิเศษของข้อมูลตามคำจำกัดความที่ปรากฏอยู่ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลซึ่งถือว่าเป็นข้อมูลส่วนบุคคลที่มีความละเอียดอ่อน | ข้อมูลสุขภาพร่างกายและสุขภาพจิต ความทุพพลภาพ เชื้อชาติ ชาติพันธุ์ ถิ่นกำเนิด ความเห็นทางการเมือง ลัทธิ ศาสนา หรือความเชื่อทางปรัชญา พฤติกรรมทางเพศ บันทึกประวัติอาชญากรรม ข้อมูลไบโอเมตทริกซ์ ข้อมูลพันธุกรรม ข้อมูลเกี่ยวกับสหภาพการค้า |
สำหรับข้อมูลที่เป็นความลับที่ถูกจัดเก็บในรูปแบบอิเล็กทรอนิกส์ ก็จะต้องได้รับการคุ้มครองโดยใช้รหัสผ่านที่ยากต่อการคาดเดาแล้วจะเก็บไว้ในเครื่องแม่ข่ายที่มีมาตรการในการควบคุมการเข้าถึงที่เหมาะสมเพื่อที่จะคุ้มครองข้อมูลดังกล่าวจากการสูญหาย การถูกขโมย การเข้าถึงโดยไม่ได้รับอนุญาต และการเปิดเผยโดยไม่ได้รับอนุญาต
ทั้งนี้ ให้นำเอาข้อพิจารณาด้านเทคนิคสำหรับการจัดเก็บข้อมูลในหมวดหมู่พิเศษโดยใช้วิธีการทางอิเล็กทรอนิกส์มาใช้เป็นกรณีๆ ไป เจ้าของข้อมูลควรจะปรึกษากับผู้จัดการแผนกไอทีเพื่อทำให้แน่ใจว่ามีการคุ้มครองทางด้านเทคนิคและมาตรการในการควบคุมซึ่งใช้ในการปกป้องข้อมูลประเภทนี้โดยเป็นไปตามภาระผูกพันของมหาวิทยาลัยที่ระบุไว้ในนโยบายและระเบียบปฏิบัติที่เกี่ยวข้อง
สำหรับข้อมูลที่เป็นความลับซึ่งปรากฏอยู่บนเอกสารที่เป็นกระดาษก็จะต้องได้รับการคุ้มครองโดยจัดเก็บไว้ในตู้ที่สามารถล็อคได้และจำกัดการเข้าถึงไว้แค่เพียงพนักงานที่จำเป็นจะต้องเข้าถึงเพื่อปฏิบัติหน้าที่ ตู้จัดเก็บเอกสารและห้องจัดเก็บข้อมูลจะต้องมีระบบการจัดการบันทึกข้อมูล และเอกสารที่เป็นกระดาษก็มีความสำคัญเทียบเท่ากันตามที่ระบุไว้ในพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล
ข้อมูลที่เป็นความลับจะต้องไม่ถูกเปิดเผยต่อบุคคลฝ่ายใดโดยไม่ได้รับการอนุญาตให้ดำเนินการจัดการอย่างชัดแจ้งจากเจ้าของข้อมูล ข้อมูลที่เป็นความลับจะต้องถูกนำไปใช้เพื่อวัตถุประสงค์ของการรวบรวมข้อมูลในคราวแรก
คลังจัดเก็บบันทึกการจำแนกข้อมูลตามแม่แบบที่ปรากฏอยู่ในภาคผนวกหมายเลข 1 จะต้องระบุเรื่องการจำแนกข้อมูลเข้าไปยังชุดข้อมูลของบุคคลอย่างชัดเจนเพื่อที่ทางมหาวิทยาลัยจะได้ดำเนินการประมวลผล ทั้งนี้ เจ้าของข้อมูลที่เป็นบุคคลทั่วไปจะมีหน้าที่รับผิดชอบในการป้อนข้อมูลเข้าไปไว้ในคลังจัดเก็บ
ภาคผนวกหมายเลข 1
| ชื่อกระบวนการ | ชุดข้อมูล | เจ้าของข้อมูล | ตำแหน่งจัดเก็บข้อมูล | ชื่อผู้ประมวลผลข้อมูล | การจำแนกข้อมูล – สาธารณะ, ภายใน, เป็นความลับ/ละเอียดอ่อน | ระยะเวลาในการจัดเก็บข้อมูล | เทคนิคในการจำหน่ายจ่ายโอนข้อมูล |
ภาคผนวกหมายเลข 2
การประเมินผลกระทบ – แนวทางในการจำแนกข้อมูล
ข้อมูลภายในองค์กร ข้อมูลที่เป็นความลับ และข้อมูลที่มีความละเอียดอ่อนจะต้องได้รับการจำแนกอย่างเหมาะสมเพื่อป้องกันข้อมูลดังกล่าวจากการเข้าถึงโดยไม่ได้รับอนุญาต การฉกฉวย การทำสำเนา การปรับเปลี่ยน การส่งต่อ หรือการทำลาย
- ข้อมูลเกี่ยวกับกลยุทธ์ ข้อมูลทางด้านเทคนิค ทรัพย์สินทางปัญญา และข้อมูลอื่นๆ – สมาชิกในโครงการและบุคคลที่จำเป็นต้องเข้าถึงข้อมูลเท่านั้นจึงจะสามารถเข้าถึงข้อมูลได้ – ข้อมูลที่เป็นความลับ
- การสื่อสารเกี่ยวกับโครงการทั้งมหาวิทยาลัย – ข้อมูลที่ใช้ภายในองค์กร
- แผนผังการทำงานที่มีความละเอียดอ่อน ข้อมูลด้านการเงิน การคาดการณ์ ลูกค้า หรือข้อมูลอื่นๆ – ข้อมูลที่มีความละเอียดอ่อน จะมีเฉพาะสมาชิกคนสำคัญของโครงการหรือบางแผนกเท่านั้นที่สามารถเข้าถึงข้อมูลนี้ได้
| ระดับการจำแนก | การเงิน | ชื่อเสียง | บุคลากร/ความปลอดภัย | ปฏิบัติการ | กฎหมาย |
| ข้อมูลที่เป็นความลับ + ละเอียดอ่อน | ข้อเสียเปรียบทางด้านการค้าหรือความสูญเสียที่สำคัญ ซึ่งจะรวมถึงข้อมูลด้านการเงินหรือค่าปรับตามกฎหมาย | ความเสียหายอย่างร้ายแรงที่เกิดขึ้นกับชื่อเสียง – จะนำไปสู่การรับรู้ในเชิงลบและคุณค่าของมหาวิทยาลัยก็จะเสื่อมถอยลง | เป็นอันตรายต่อความปลอดภัยหรือสิทธิ/เสรีภาพของบุคคล จะส่งผลต่อสิทธิและเสรีภาพของบุคคลเป็นจำนวนมาก บุคคลประสบกับความกังวลใจ ความไม่สะดวกใจ หรือความอับอายเป็นเวลานาน | เกิดความเสียหายต่อการทำงานและบริการในระยะยาว รวมถึงความเป็นไปได้ที่จะเกิดความสูญเสียต่อสัญญาทางธุรกิจ | มีการกระทำผิดอย่างร้ายแรงต่อภาระผูกพันตามกฎหมาย (เช่น การคุ้มครองข้อมูล) |
| ข้อมูลภายในองค์กร | มีความเสี่ยงด้านการเงินบางประการ | มีความเสี่ยงต่อการเสื่อมเสียชื่อเสียงเพียงเล็กน้อย มีการกระทำผิดต่อหน้าที่ในการรักษาความลับในเชิงเทคนิค | บุคคลมีความไม่สะดวกใจหรือความอับอายเป็นระยะเวลาอันสั้น | มีข้อเสียเปรียบหรือความสูญเสียทางด้านการค้า เกิดความเสียหายต่อการปฏิบัติงานและบริการของเราเป็นระยะเวลาอันสั้น อาจต้องการข้อจำกัดในความเสียหายต่อสาธารณะ | เป็นไปได้ว่าจะมีการกระทำผิดต่อภาระผูกพันตามกฎหมาย (เช่น การคุ้มครองข้อมูล) |
| ข้อมูลสาธารณะ | มีความเสี่ยงทางด้านการเงินในระดับต่ำสุด | มีความเสี่ยงต่อชื่อเสียงในระดับต่ำสุดหรือไม่มีความเสี่ยงเลย | บุคคลปราศจากซึ่งความไม่สะดวกใจหรือความอับอาย | มีความเสี่ยงต่อการปฏิบัติงานหรือการส่งมอบบริการของเราในระดับต่ำสุดหรือไม่มีเลย | ไม่มีการกระทำผิดต่อคณะบุคคลตามกฎหมาย มีความเสี่ยงในระดับต่ำสุดหากมีการเปลี่ยนแปลงข้อมูล |