Πρέπει να προστατεύσετε όλες τις μη ταξινομημένες πληροφορίες ανεξάρτητα από τη μορφή για να συμπεριλάβετε τα αποθηκευμένα συστήματα πληροφορικής;

Όχι, δεν χρειάζεται να προστατεύετε * όλες τις * μη ταξινομημένες πληροφορίες με το ίδιο επίπεδο αυστηρότητας. Ενώ όλες οι πληροφορίες πρέπει να αντιμετωπίζονται υπεύθυνα, το επίπεδο προστασίας που απαιτείται εξαρτάται από την ευαισθησία των πληροφοριών, ακόμη και αν είναι μη ταξινομημένο.

Για παράδειγμα:

* διαθέσιμες στο κοινό πληροφορίες: Η τιμή των μετοχών της εταιρείας δεν απαιτεί ειδική προστασία.

* Εσωτερικά σημειώματα: Ένα εσωτερικό σημείωμα για τα επερχόμενα γεύματα της ομάδας πιθανότατα χρειάζεται ελάχιστη προστασία.

* Προσωπικά δεδομένα εργαζομένων: Οι αριθμοί κοινωνικής ασφάλισης των εργαζομένων ή οι πληροφορίες για την υγεία, αν και δεν έχουν ταξινομηθεί, απαιτούν σημαντική προστασία βάσει κανονισμών όπως η HIPAA ή η GDPR.

* Πνευματική ιδιοκτησία: Ακόμη και αν δεν ταξινομηθούν, τα εμπορικά μυστικά μιας εταιρείας ή τα ιδιόκτητα σχέδια χρειάζονται ισχυρή προστασία για να αποτρέψουν την κλοπή ή τον αθέμιτο ανταγωνισμό.

Ως εκ τούτου, το κατάλληλο επίπεδο προστασίας για μη ταξινομημένες πληροφορίες που αποθηκεύονται στα συστήματα πληροφορικής εξαρτάται από την ευαισθησία του και τις πιθανές επιπτώσεις μιας παραβίασης. Οι οργανισμοί θα πρέπει να διαθέτουν πολιτικές και διαδικασίες για την ταξινόμηση πληροφοριών βάσει της ευαισθησίας του και την εφαρμογή των κατάλληλων ελέγχων ασφαλείας. Αυτό μπορεί να περιλαμβάνει ελέγχους πρόσβασης, κρυπτογράφηση, μέτρα πρόληψης απώλειας δεδομένων κ.λπ.