Modèle de classification des données

1. Informations générales vide vide vide vide

ORGANISATION [Insérer le nom de l'organisation ici]

DATE D'ADOPTION [Insérer ici la date d'adoption]
2. Niveaux de classification des Publique Sensible Confidentiel Réglementé
données
Définition Une information librement et sans réserve mise à la disposition du public. Informations qui pourraient faire l'objet d'une divulgation dans le cadre d'une Informations qui sont généralement exclues de la Loi sur l'information Informations contrôlées par une réglementation étatique ou fédérale ou un
demande d'enregistrement ouvert, mais qui devraient être contrôlées pour publique autre accord tiers
protéger les tiers.
Justification L'accès à certaines informations, telles que les rapports publiés, les Certaines informations, même si elles sont accessibles au public, peuvent Les agences d'État et les instituts d'enseignement supérieur collectent et De nombreuses agences et instituts d'enseignement supérieur interagissent
actualités de l'agence et d'autres documents publics, n'a pas besoin d'être contenir des informations sensibles. Ces données doivent être conservent certaines informations qui sont protégées contre la divulgation avec le gouvernement fédéral ou fournissent des services réglementés par
suivi ou surveillé. Dans de telles circonstances, il est plus efficace de examinées/vérifiées avant d'être publiées. En protégeant l'accès aux soit par une exception codifiée à la loi sur l'information publique, soit par des les règles et lois fédérales. Dans de tels cas, les informations conservées par
maintenir l’information accessible aux citoyens sans nécessiter l’intervention données et en exigeant une demande d'ouverture de dossiers, l'organisation avis ou des décisions du bureau de l'information publique du procureur ces agences doivent être conformes aux contrôles fédéraux.
d’agents de l’État. garantit que les données les plus précises et les plus pertinentes sont général. Ces informations peuvent également être soumises aux exigences
fournies au demandeur sans divulguer accidentellement des données de notification des violations en vertu de la loi du Texas.
confidentielles.

Exemples Informations publiées sur le site Web public et ne nécessitant aucune Données qui répondent à la définition des informations personnelles en vertu Données qui ont été exclues de la diffusion publique en vertu du Texas Données qui répondent à la définition de SPI selon le Texas Business and
authentification du Texas Business and Commerce Code §521.002(a)(1) et §521.002(a)(2) Government Code Ch. 552 ou des données dont la diffusion publique peut Commerce Code 521.002(a)(1) et 521.002(a)(2) : sécurité HIPAA (45 CFR
• Publications de l'agence • Dossiers des employés entraîner des conséquences néfastes pour l'organisation Parts 164), PCI DSS v2.0, FTI, FICA, fiscalité information
• communiqués de presse • Informations sur le salaire brut • Communications avocat-client
• Publications publiques sur le Web • Rapports de vulnérabilité informatique
• Projets de communication protégés
• Informations sur le salaire net

Conséquence de la divulgation publique Aucune conséquence néfaste • Perte de réputation Sanctions pénales ou civiles potentielles Enquête fédérale ou perte du droit de percevoir des recettes
• Perte de confiance

Exemples de contrôles de sécurité

3. Rôles et responsabilités Publique Sensible Confidentiel Réglementé

Dépositaire des données Veiller à ce que les systèmes prennent en charge les contrôles d'accès Veiller à ce que les systèmes prennent en charge les contrôles d'accès Veiller à ce que les systèmes prennent en charge les contrôles d'accès Veiller à ce que les systèmes prennent en charge les contrôles d'accès
qui appliquent la classification des données qui appliquent la classification des données qui appliquent la classification des données qui appliquent la classification des données
Propriétaire des données • Identifier le niveau de classification des données • Identifier le niveau de classification des données • Identifier le niveau de classification des données • Identifier le niveau de classification des données
• Examiner les journaux d'audit • Examiner les journaux d'audit • Examiner les journaux d'audit • Examiner les journaux d'audit
Responsable de la sécurité de l'information • Élaborer et maintenir des politiques, des procédures et des lignes • Élaborer et maintenir des politiques, des procédures et des lignes • Élaborer et maintenir des politiques, des procédures et des lignes • Élaborer et maintenir des politiques, des procédures et des lignes
directrices en matière de sécurité de l'information directrices en matière de sécurité de l'information directrices en matière de sécurité de l'information directrices en matière de sécurité de l'information
• Fournir des conseils sur les classifications des données • Fournir des conseils sur les classifications des données • Fournir des conseils sur les classifications des données • Fournir des conseils sur les classifications des données

Bureau des affaires juridiques et/ou de la • Élaborer et maintenir des politiques, des procédures et des lignes • Élaborer et maintenir des politiques, des procédures et des lignes • Élaborer et maintenir des politiques, des procédures et des lignes • Élaborer et maintenir des politiques, des procédures et des lignes
protection de la vie privée (responsable de directrices en matière de sécurité de l’information. directrices en matière de sécurité de l’information. directrices en matière de sécurité de l’information. directrices en matière de sécurité de l’information.
l'information publique) • Fournir des conseils sur les classifications des données • Fournir des conseils sur les classifications des données • Fournir des conseils sur les classifications des données • Fournir des conseils sur les classifications des données
Gestionnaires n/A • Assurez-vous que les utilisateurs sont conscients des exigences de • Assurez-vous que les utilisateurs sont conscients des exigences de • Assurez-vous que les utilisateurs sont conscients des exigences de
classification des données classification des données classification des données
• Surveiller les activités des utilisateurs pour garantir la conformité • Surveiller les activités des utilisateurs pour garantir la conformité • Surveiller les activités des utilisateurs pour garantir la conformité
Utilisateurs n/A • Identifier et étiqueter, le cas échéant, les données • Identifier et étiqueter, le cas échéant, les données • Identifier et étiqueter, le cas échéant, les données
• Éliminer correctement les données • Éliminer correctement les données • Éliminer correctement les données

MODÈLE DE CLASSIFICATION DES DONNÉES PAGE1 DU 5

4. Contrôles des données Publique Sensible Confidentiel Réglementé
Marquage n/A • Toutes les données sensibles doivent être marquées comme telles • Toutes les données sensibles doivent être marquées comme telles • Toutes les données sensibles doivent être marquées comme telles
• Des instructions de manipulation particulières doivent être fournies • Des instructions de manipulation particulières doivent être fournies • Des instructions de manipulation particulières doivent être fournies
• Chaque page si feuilles volantes • Chaque page si feuilles volantes
• Couvertures avant et arrière, et page de titre si reliée • Couvertures avant et arrière, et page de titre si reliée

Manutention n/A n/A Les données confidentielles ne seront transmises qu'aux personnes Les données confidentielles ne seront transmises qu'aux personnes
autorisées et ayant besoin de connaître autorisées et ayant besoin de connaître
Reproduction n/A Informations à dupliquer à des fins commerciales ou en réponse à une Les employés peuvent dupliquer des documents confidentiels avec Les employés peuvent dupliquer des documents confidentiels avec
demande « Open Records » uniquement l'autorisation des propriétaires de données l'autorisation des propriétaires de données
Envoi postal n/A n/A n/A • Accusé de réception requis
• Peut nécessiter une livraison en double emballage. L'extérieur du
colis n'est pas marqué. Les documents intérieurs sont correctement
marqués.
Disposition • Disposition basée sur les exigences du calendrier de conservation • Disposition basée sur les exigences du calendrier de conservation • Disposition basée sur les exigences du calendrier de conservation • Disposition basée sur les exigences du calendrier de conservation
des dossiers. des dossiers. des dossiers. des dossiers.
• Destruction physique requise (par exemple déchiquetage) • Destruction physique requise (par exemple déchiquetage)
• La destruction doit être vérifiée par le personnel de l'agence • La destruction doit être vérifiée par le personnel de l'agence

Stockage des copies papier • Conservez une « copie principale » conformément au calendrier de • Conservez une « copie principale » conformément au calendrier de • Conservez une « copie principale » conformément au calendrier de • Conservez une « copie principale » conformément au calendrier de
conservation des dossiers. conservation des dossiers. conservation des dossiers. conservation des dossiers.
• Les documents doivent être mis sous clé lorsqu'ils ne sont pas • Les documents doivent être mis sous clé lorsqu'ils ne sont pas • Les documents doivent être mis sous clé lorsqu'ils ne sont pas
utilisés (par exemple, dans un bureau, une armoire ou un bureau utilisés (par exemple, dans un bureau, une armoire ou un bureau utilisés (par exemple, dans un bureau, une armoire ou un bureau
verrouillé) verrouillé) verrouillé)
Stockage sur support fixe n/A • L'accès est contrôlé par mot de passe • L'accès est contrôlé par mot de passe • L'accès est contrôlé par mot de passe
• Cryptage requis • Cryptage requis

Stockage sur support amovible n/A Cryptage recommandé Cryptage requis. Cryptage requis.
5. Contrôles d'accès Publique Sensible Confidentiel Réglementé
Accorder des droits d'accès Pas de restrictions Propriétaire des données uniquement Propriétaire des données uniquement Propriétaire des données uniquement
Accès en lecture • Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par
utilisateur/rôle. utilisateur/rôle. utilisateur/rôle. utilisateur/rôle.
Accès aux mises à jour • Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par •• Accès hautement
Le propriétaire restreint
des ou contrôlé
informations définit les autorisations par •• Accès hautement
Le propriétaire restreint
des ou contrôlé
informations définit les autorisations par
utilisateur/rôle. utilisateur/rôle utilisateur/rôle utilisateur/rôle
• Contrôles (par exemple, séparation des tâches) nécessaires pour les • Contrôles (par exemple, séparation des tâches) nécessaires pour les • Contrôles (par exemple, séparation des tâches) nécessaires pour les
processus et les transactions susceptibles de donner lieu à des processus et les transactions susceptibles de donner lieu à des processus et les transactions susceptibles de donner lieu à des
activités frauduleuses ou non autorisées. activités frauduleuses ou non autorisées. activités frauduleuses ou non autorisées.
Supprimer l'accès • Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par
utilisateur/rôle. utilisateur/rôle. utilisateur/rôle utilisateur/rôle
• Contrôles (par exemple, séparation des tâches) nécessaires pour les • Contrôles (par exemple, séparation des tâches) nécessaires pour les
processus et les transactions susceptibles de donner lieu à des processus et les transactions susceptibles de donner lieu à des
activités frauduleuses ou non autorisées. activités frauduleuses ou non autorisées.
6. Contrôles de transmission Publique Sensible Confidentiel Réglementé
Contrôles d'impression Pas de restrictions Le propriétaire des informations définit les autorisations Sortie acheminée vers une imprimante prédéfinie et impression Sortie acheminée vers une imprimante prédéfinie et impression
surveillée ou sécurisée activée surveillée ou sécurisée activée
Transmission par réseau public Pas de restrictions Cryptage recommandé Cryptage requis Cryptage requis
Transmission à des tiers Pas de restrictions Pas de restrictions Accord d’approbation et de non-divulgation du propriétaire Accord d’approbation et de non-divulgation du propriétaire

MODÈLE DE CLASSIFICATION DES DONNÉES PAGE2 DU 5

7. Contrôles d'audit Publique Sensible Confidentiel Réglementé
Processus de suivi par journal n/A n/A Destinataires, copies réalisées, emplacements, adresses, personnes Destinataires, copies réalisées, emplacements, adresses, personnes
qui ont consulté et destruction qui ont consulté et destruction
Audit de l'activité d'accès n/A Le système informatique doit être configuré pour enregistrer toutes les Le système informatique doit être configuré pour enregistrer toutes les Le système informatique doit être configuré pour enregistrer toutes les
tentatives de violation. Des pistes d'audit doivent être conservées pour tentatives de violation. Des pistes d'audit doivent être conservées pour tentatives de violation. Des pistes d'audit doivent être conservées pour
assurer la responsabilité des modifications apportées aux ressources assurer la responsabilité des modifications apportées aux ressources assurer la responsabilité des modifications apportées aux ressources
d'information et de toutes les modifications apportées aux règles d'information et de toutes les modifications apportées aux règles d'information et de toutes les modifications apportées aux règles
automatisées de sécurité/d'accès. automatisées de sécurité/d'accès. automatisées de sécurité/d'accès.
Critères de conservation pour les rapports Les journaux doivent être conservés conformément aux directives de Les journaux doivent être conservés conformément aux directives de Les journaux doivent être conservés conformément aux directives de Les journaux doivent être conservés conformément aux directives de
d'accès conservation des dossiers conservation des dossiers conservation des dossiers conservation des dossiers
Critères de conservation pour l'accès n/A Le propriétaire détermine la conservation des journaux de violations Le propriétaire détermine la conservation des journaux de violations Le propriétaire détermine la conservation des journaux de violations
Calendrier du cycle d’examen de la La date d'examen et de confirmation doit être fixée mais flexible, c'est- La date d'examen et de confirmation doit être fixée mais flexible, c'est- Le propriétaire de l'information doit examiner et confirmer toutes les Le propriétaire de l'information doit examiner et confirmer toutes les
classification à-dire 1 à 2 ans. à-dire 1 à 2 ans. classifications d'informations et les droits d'utilisateur, sans dépasser 1 classifications d'informations et les droits d'utilisateur, sans dépasser 1
an. an.
8. Exigences de notification Publique Sensible Confidentiel Réglementé
Divulgation requise à la personne Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques
concernée

Divulgation requise au public Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques

Divulgation requise aux partenaires Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques
fédéraux

Divulgation requise aux États partenaires Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques

Divulgation requise à des tiers Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques

MODÈLE DE CLASSIFICATION DES DONNÉES PAGE3 DU 5

Term Définition
e
Référence