Har ni kvar ”G:\”, ”H:\” eller någon annan enhetsbokstav?

Då kanske ni funderat på hur ni ska hantera den data som redan ligger där. Alla dessa säkerhetshål med gamla fileshare är något du vill undvika. För om sanningen skall fram så skapades de när man lyfte in första datorn på företaget, kanske redan med Windows server NT eller Windows server 2003. Idag lika utdaterade som filstrukturen.

Network shares in Windows 10

Hur fungerar klassificering?

Genom att använda klassificering med Microsofts säkerhetsprodukt AIP( Azure Information Protection) så har vi implementerat vårt ramverk för hur vi klassificerar data baserat på GDPR och ISO 27001 standarden. För IT innebär det att implementera regelverket som verksamheten satt på hur informationen skall klassas.

Är du ny och tänker -”hjälp! vilket berg, hur ska jag ta mig upp?”
Vi kan såklart hjälpa dig men det största arbetet ligger hos verksamheten. Är du en teknisk beslutsfattare så kan det lätt bli fel om det växer fram krav från tekniken istället för verksamheten. Låt därför verksamheten driva sina krav och du som CIO eller CISO behöver bara göra det som krävs från IT gällande system och instruktioner. Detta kan såklart läggas med i en databas också så att det är lättillgängligt men det får vi berätta i en annan blogpost.

Hur jobbar Agdiwo med säkerhet?

Vi använder följande tjänster som du kan läsa mer om på vår sida om säkra dokument: https://agdiwo.com/sv/sakerhet/

How to classify documents using Microsoft Azure Information Protection (AIP)

Vi använder uteslutande fillagring för alla dokument i Microsoft 365 där vi klassar filer i den centrala strukturen, för våra mail samt filer i det personliga utrymmet onedrive. Allt för att göra det enkelt för våra medarbetare och kunder att veta att informationen som vi har är säker och riktig.

Hur implementerar jag AIP i min organisation?

  1. Sätt upp mål så att ni vet vart ni vill vara
  2. Skapa en matris för hur man klassar dokument och vad som ska hända med dem. En workshop eller compliance-genomgång med verksamheten ger mycket svar på dessa frågor.
  • Konfidentialitet – Konsekvens
  • Riktighet – Konsekvens
  • Tillgänglighet – Konsekvens
  • Spårbarhet – Konsekvens

Nedan är ett exempel på filer som gåtts igenom och då kan klassas efter organisationens krav. antingen automatiskt eller genom en manuell klassning av användaren själv.

Hur ni klassificerar dokument med Microsoft Azure Information Protection (AIP).
källa: klassa-info.skl.se

3. Spegla kraven i matrisen mot följande kategorier:

Publik

Icke-känslig information som kräver grundläggande skydd men saknar känd påverkan på verksamheten eller individer om den distribueras.

Intern

Intern information som med låg sannolikhet skadar verksamheten eller individer. Krypteras men tillgänglig för alla att se och editera.

Konfidentiell

Konfidentiell information som är strategiskt viktig och kan skada verksamheten och individer om den komprometteras. Alla meddelanden och filer krypteras och man kan välja om antingen personerna som direkt får länken eller alla på företaget ska kunna läsa och editera filen eller meddelandet.

Mycket konfidentiell

Mycket konfidentiell information som allvarligt kan skada verksamheten och individer om den komprometteras. Dessa uppgifter kräver den högsta nivån av skydd, oavsett om det krävs enligt lag, reglering, policy, avtal eller av risk för verksamheten. Här krypteras alla nivåer och man kan skicka den med enbart läsbehörighet under kortare perioder.

How to change classification of documents using Microsoft AIP

4. Teknisk Implementation

Microsoft Azure Information Protection (AIP) Admin Center

När vi nu har ett ramverk och regler att förhålla oss till så kan vi tekniskt sätta upp detta och påvisa att funktionerna fungerar som tänkt. Här har vi satt upp våra märkningar och även delat in vad som ska hända och hur vi säkerställer dessa rent tekniskt.

5. Lansering i verksamheten

Rulla ut detta till din verksamhet med försiktighet, installera nödvändiga uppdateringar och agenter vid behov och utbilda noggrant både er personal, kunder och leverantörer. Kom ihåg att det tar tid och att verksamheten behöver omsätta arbetet till sina tjänster och processer.

Vem tar ledningen?

Det kan både IT och verksamheten göra men vår rekommendation är att ni ritar upp projektet och fastställer vad ni vill uppnå.

Ordlista

Fileshare – Filarkivering med hjälp av central serverlösning

Microsoft AIP – Microsoft Azure Information Protection är en molnbaserad lösning som gör det möjligt för organisationer att klassificera och skydda dokument och e-postmeddelanden genom att använda etiketter

GDPR – Dataskyddsförordningen (The General Data Protection Regulation) gäller i hela EU och har till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras.

ISO 27001 är en ISO/IEC standard från Information Security Management System (ISMS) gällande informationssäkerhet av den internationella standardorganisationen (ISO) och den internationella elektrotekniska kommissionen (IEC).

Compliance-genomgång – Efterlevnads genomgång, alltså att man rättar sig efter regler och bestämmelser

Relaterade artiklar

Säkra dokument från Agdiwo

Category
Tags

No responses yet

    Lämna ett svar

    E-postadressen publiceras inte. Obligatoriska fält är märkta *

    Genom att fortsätta använda webbplatsen samtycker du till användning av cookies. more information

    The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

    Close