איזה מידע הכי רגיש אצלכם? אם הצוות שלכם לא יכול לענות על השאלה הזו תוך 30 שניות – יש לכם בעיית סיווג מידע. לא ניתן להגן על מה שלא מסווגים כראוי. מדיניות סיווג טובה היא הבסיס לכל תוכנית DLP, בקרות גישה, ועמידה ברגולציה.
4 רמות סיווג לכל ארגון
- 1סודי (Secret/Confidential) – מידע שחשיפתו תגרום נזק עסקי קריטי: מפתחות API, סיסמאות, נוסחאות קנייניות, תוכניות M&A
- 2רגיש (Restricted) – מידע אישי של לקוחות/עובדים (PII), מידע פיננסי, חוזים, IP רגיש
- 3פנימי (Internal) – מידע לשימוש פנים ארגוני בלבד: נהלים, אסטרטגיה, תקציבים
- 4ציבורי (Public) – מידע שניתן לשתף כלפי חוץ: תוכן שיווקי, מסמכים פומביים
כיצד מיישמים בפועל
- 1מיפוי נכסי מידע – איפה יש לכם מידע? SharePoint? Google Drive? S3? CRM? ERP? רשמו רשימה ממצה.
- 2הגדרת הבעלות – כל "Data Asset" צריך בעלים (Data Owner) שאחראי לסיווגו ולבקרת גישה.
- 3תיוג (Labeling) – הטמיעו Microsoft Purview, Google Workspace Labels, או כלים דומים לתיוג אוטומטי.
- 4הגדרת בקרות לפי סיווג – מה מותר עם כל רמה: שיתוף, הדפסה, שליחה במייל, אחסון בענן.
- 5הדרכת עובדים – חצי שנתית, עם דוגמאות ספציפיות לעבודה היומיומית שלהם.
טיפ מעשי
התחילו מה-Crown Jewels – המידע הכי קריטי לעסק שלכם. בחברת SaaS זה קוד המקור ומסדי הנתונים של לקוחות. בפינטק זה נתוני העסקאות. בבריאות זה תיקים רפואיים. לאחר שאתם יודעים מה הכי חשוב – בנו בקרות ראשונות שם.
מדיניות סיווג מידע היא דרישת חובה ב-ISO 27001 (בקרה A.5.12), GDPR Article 32, ו-SOC 2. ארגונים שמיישמים אותה נכון מפחיתים ב-40% את הנזק הממוצע מפרצת מידע.
סיווג מידעDLPמדיניותGDPR