SEC07-BP02 Terapkan kontrol perlindungan data berdasarkan sensitivitas data

Terapkan kontrol perlindungan data yang memberikan tingkat kontrol yang sesuai untuk setiap kelas data yang ditentukan dalam kebijakan klasifikasi Anda. Praktik ini dapat memungkinkan Anda melindungi data sensitif dari akses dan penggunaan yang tidak sah, sambil menjaga ketersediaan dan penggunaan data.

Hasil yang diinginkan: Anda memiliki kebijakan klasifikasi yang menentukan berbagai tingkat sensitivitas untuk data dalam organisasi Anda. Untuk setiap tingkat sensitivitas ini, Anda memiliki pedoman yang jelas yang dipublikasikan untuk layanan dan lokasi penyimpanan dan penanganan yang disetujui, serta konfigurasinya yang diperlukan. Anda mengimplementasikan kontrol untuk setiap tingkat sesuai dengan tingkat perlindungan yang diperlukan dan biaya yang terkait. Anda memiliki pemantauan dan peringatan untuk mendeteksi apakah data ada di lokasi yang tidak sah, diproses di lingkungan yang tidak sah, diakses oleh pelaku yang tidak sah, atau konfigurasi layanan terkait tidak lagi mematuhi persyaratan.

Antipola umum:

Menerapkan tingkat kontrol perlindungan yang sama terhadap semua data. Hal ini dapat menyebabkan penyediaan kontrol keamanan yang berlebihan untuk data yang tidak sensitif, atau perlindungan yang tidak memadai untuk data yang sangat sensitif.
Tidak melibatkan para pemangku kepentingan yang relevan dari tim keamanan, kepatuhan, dan bisnis saat menentukan kontrol perlindungan data.
Mengabaikan overhead operasional dan biaya yang terkait dengan implementasi dan pemeliharaan kontrol perlindungan data.
Tidak melakukan peninjauan kontrol perlindungan data berkala untuk menjaga keselarasan dengan kebijakan klasifikasi.

Manfaat menjalankan praktik terbaik ini: Dengan menyelaraskan kontrol dengan tingkat klasifikasi data, organisasi Anda dapat berinvestasi dalam tingkat kontrol yang lebih tinggi jika diperlukan. Hal ini dapat mencakup penambahan sumber daya untuk pengamanan, pemantauan, pengukuran, remediasi, dan pelaporan. Jika kontrol yang diperlukan lebih sedikit, Anda dapat meningkatkan aksesibilitas dan kelengkapan data untuk tenaga kerja, pelanggan, atau konstituen Anda. Pendekatan ini memberi organisasi Anda fleksibilitas yang paling besar dengan penggunaan data, sambil tetap mematuhi persyaratan perlindungan data.

Tingkat risiko yang terjadi jika praktik terbaik ini tidak dijalankan: Tinggi

Panduan implementasi

Implementasikan kontrol perlindungan data berdasarkan tingkat sensitivitas data memerlukan beberapa langkah penting. Pertama, identifikasikan tingkat sensitivitas data yang berbeda-beda dalam arsitektur beban kerja Anda (seperti publik, internal, rahasia, dan terbatas) lalu evaluasi di mana Anda menyimpan dan memproses data ini. Selanjutnya, tentukan batas isolasi di sekitar data berdasarkan tingkat sensitivitasnya. Sebaiknya Anda memisahkan data ke dalam Akun AWS yang berbeda-beda, menggunakan kebijakan kontrol layanan (SCP) untuk membatasi layanan dan tindakan yang diizinkan untuk setiap tingkat sensitivitas data. Dengan cara ini, Anda dapat membuat batas isolasi yang kuat dan memberlakukan prinsip hak akses paling rendah.

Setelah Anda menentukan batas isolasi, implementasikan kontrol perlindungan yang sesuai berdasarkan tingkat sensitivitas data. Lihat praktik terbaik untuk Melindungi data diam dan Melindungi data bergerak untuk mengimplementasikan kontrol yang relevan seperti enkripsi, kontrol akses, dan audit. Pertimbangkan teknik seperti tokenisasi atau anonimisasi untuk mengurangi tingkat sensitivitas data Anda. Sederhanakan penerapan kebijakan data yang konsisten di seluruh bisnis Anda dengan sistem terpusat untuk tokenisasi dan detokenisasi.

Terus pantau dan uji efektivitas kontrol yang diimplementasikan. Tinjau dan perbarui skema klasifikasi data, penilaian risiko, dan kontrol perlindungan secara rutin karena lanskap data dan ancaman bagi organisasi Anda terus berubah. Selaraskan kontrol perlindungan data yang diimplementasikan dengan peraturan industri, standar, dan persyaratan hukum yang relevan. Selanjutnya, berikan pengetahuan dan pelatihan keamanan untuk membantu karyawan memahami skema klasifikasi data serta tanggung jawab mereka dalam menangani dan melindungi data sensitif.

Langkah implementasi

Identifikasi tingkat klasifikasi dan sensitivitas data dalam beban kerja Anda.
Tentukan batas isolasi untuk setiap tingkat dan tentukan strategi pemberlakuan.
Evaluasi kontrol yang Anda tetapkan yang mengatur akses, enkripsi, audit, retensi, dan lainnya yang diwajibkan oleh kebijakan klasifikasi data Anda.
Evaluasi opsi-opsi untuk mengurangi tingkat sensitivitas data jika sesuai, seperti menggunakan tokenisasi atau anonimisasi.
Verifikasikan kontrol Anda menggunakan pengujian dan pemantauan otomatis terhadap sumber daya yang dikonfigurasi.

Sumber daya

Praktik terbaik terkait:

Dokumen terkait:

Contoh terkait:

Alat terkait:

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

SEC07-BP01 Pahami skema klasifikasi data Anda

SEC07-BP03 Otomatiskan identifikasi dan klasifikasi