Modèle de classification des données
1. Informations générales
ORGANISATION
DATE D'ADOPTION
2. Niveaux de classification des
données
Définition
Justification
Exemples
Conséquence de la divulgation publique
Exemples de contrôles de sécurité
3. Rôles et responsabilités
Dépositaire des données
Propriétaire des données
Responsable de la sécurité de l'information • Élaborer et maintenir des politiques, des procédures et des lignes
directrices en matière de sécurité de l'information
• Fournir des conseils sur les classifications des données
Bureau des affaires juridiques et/ou de la
protection de la vie privée (responsable de
l'information publique)
Gestionnaires
Utilisateurs
MODÈLE DE CLASSIFICATION DES DONNÉES
vide vide
[Insérer le nom de l'organisation ici]
[Insérer ici la date d'adoption]
Publique Sensible
Une information librement et sans réserve mise à la disposition du public. Informations qui pourraient faire l'objet d'une divulgation dans le cadre d'une
demande d'enregistrement ouvert, mais qui devraient être contrôlées pour
protéger les tiers.
L'accès à certaines informations, telles que les rapports publiés, les Certaines informations, même si elles sont accessibles au public, peuvent
actualités de l'agence et d'autres documents publics, n'a pas besoin d'être contenir des informations sensibles. Ces données doivent être
suivi ou surveillé. Dans de telles circonstances, il est plus efficace de examinées/vérifiées avant d'être publiées. En protégeant l'accès aux
maintenir l’information accessible aux citoyens sans nécessiter l’intervention données et en exigeant une demande d'ouverture de dossiers, l'organisation
d’agents de l’État. garantit que les données les plus précises et les plus pertinentes sont
fournies au demandeur sans divulguer accidentellement des données
confidentielles.
Informations publiées sur le site Web public et ne nécessitant aucune Données qui répondent à la définition des informations personnelles en vertu
authentification du Texas Business and Commerce Code §521.002(a)(1) et §521.002(a)(2)
• Publications de l'agence • Dossiers des employés
• communiqués de presse • Informations sur le salaire brut
• Publications publiques sur le Web
Aucune conséquence néfaste • Perte de réputation
• Perte de confiance
Publique Sensible
Veiller à ce que les systèmes prennent en charge les contrôles d'accès Veiller à ce que les systèmes prennent en charge les contrôles d'accès Veiller à ce que les systèmes prennent en charge les contrôles d'accès Veiller à ce que les systèmes prennent en charge les contrôles d'accès
qui appliquent la classification des données qui appliquent la classification des données qui appliquent la classification des données
• Identifier le niveau de classification des données • Identifier le niveau de classification des données
• Examiner les journaux d'audit • Examiner les journaux d'audit
• Élaborer et maintenir des politiques, des procédures et des lignes
directrices en matière de sécurité de l'information
• Fournir des conseils sur les classifications des données
• Élaborer et maintenir des politiques, des procédures et des lignes • Élaborer et maintenir des politiques, des procédures et des lignes
directrices en matière de sécurité de l’information. directrices en matière de sécurité de l’information.
• Fournir des conseils sur les classifications des données • Fournir des conseils sur les classifications des données
n/A • Assurez-vous que les utilisateurs sont conscients des exigences de
classification des données
• Surveiller les activités des utilisateurs pour garantir la conformité
n/A • Identifier et étiqueter, le cas échéant, les données
• Éliminer correctement les données
vide
Confidentiel
Informations qui sont généralement exclues de la Loi sur l'information
publique
Les agences d'État et les instituts d'enseignement supérieur collectent et
conservent certaines informations qui sont protégées contre la divulgation
soit par une exception codifiée à la loi sur l'information publique, soit par des
avis ou des décisions du bureau de l'information publique du procureur
général. Ces informations peuvent également être soumises aux exigences
de notification des violations en vertu de la loi du Texas.
Données qui ont été exclues de la diffusion publique en vertu du Texas
Government Code Ch. 552 ou des données dont la diffusion publique peut
entraîner des conséquences néfastes pour l'organisation
• Communications avocat-client
• Rapports de vulnérabilité informatique
• Projets de communication protégés
• Informations sur le salaire net
Sanctions pénales ou civiles potentielles
Confidentiel
qui appliquent la classification des données
• Identifier le niveau de classification des données
• Examiner les journaux d'audit
• Élaborer et maintenir des politiques, des procédures et des lignes
directrices en matière de sécurité de l'information
• Fournir des conseils sur les classifications des données
• Élaborer et maintenir des politiques, des procédures et des lignes
directrices en matière de sécurité de l’information.
• Fournir des conseils sur les classifications des données
• Assurez-vous que les utilisateurs sont conscients des exigences de
classification des données
• Surveiller les activités des utilisateurs pour garantir la conformité
• Identifier et étiqueter, le cas échéant, les données
• Éliminer correctement les données
vide
Réglementé
Informations contrôlées par une réglementation étatique ou fédérale ou un
autre accord tiers
De nombreuses agences et instituts d'enseignement supérieur interagissent
avec le gouvernement fédéral ou fournissent des services réglementés par
les règles et lois fédérales. Dans de tels cas, les informations conservées par
ces agences doivent être conformes aux contrôles fédéraux.
Données qui répondent à la définition de SPI selon le Texas Business and
Commerce Code 521.002(a)(1) et 521.002(a)(2) : sécurité HIPAA (45 CFR
Parts 164), PCI DSS v2.0, FTI, FICA, fiscalité information
Enquête fédérale ou perte du droit de percevoir des recettes
Réglementé
• Identifier le niveau de classification des données
• Examiner les journaux d'audit
• Élaborer et maintenir des politiques, des procédures et des lignes
directrices en matière de sécurité de l'information
• Fournir des conseils sur les classifications des données
• Élaborer et maintenir des politiques, des procédures et des lignes
directrices en matière de sécurité de l’information.
• Fournir des conseils sur les classifications des données
• Assurez-vous que les utilisateurs sont conscients des exigences de
classification des données
• Surveiller les activités des utilisateurs pour garantir la conformité
• Identifier et étiqueter, le cas échéant, les données
• Éliminer correctement les données
PAGE1 DU 5
4. Contrôles des données Publique Sensible Confidentiel Réglementé
Marquage n/A • Toutes les données sensibles doivent être marquées comme telles • Toutes les données sensibles doivent être marquées comme telles • Toutes les données sensibles doivent être marquées comme telles
• Des instructions de manipulation particulières doivent être fournies • Des instructions de manipulation particulières doivent être fournies • Des instructions de manipulation particulières doivent être fournies
• Chaque page si feuilles volantes • Chaque page si feuilles volantes
• Couvertures avant et arrière, et page de titre si reliée • Couvertures avant et arrière, et page de titre si reliée

Manutention n/A n/A Les données confidentielles ne seront transmises qu'aux personnes Les données confidentielles ne seront transmises qu'aux personnes
autorisées et ayant besoin de connaître autorisées et ayant besoin de connaître
Reproduction n/A Informations à dupliquer à des fins commerciales ou en réponse à une Les employés peuvent dupliquer des documents confidentiels avec Les employés peuvent dupliquer des documents confidentiels avec
demande « Open Records » uniquement l'autorisation des propriétaires de données l'autorisation des propriétaires de données
Envoi postal n/A n/A n/A • Accusé de réception requis
• Peut nécessiter une livraison en double emballage. L'extérieur du
colis n'est pas marqué. Les documents intérieurs sont correctement
marqués.
Disposition • Disposition basée sur les exigences du calendrier de conservation • Disposition basée sur les exigences du calendrier de conservation • Disposition basée sur les exigences du calendrier de conservation • Disposition basée sur les exigences du calendrier de conservation
des dossiers. des dossiers. des dossiers. des dossiers.
• Destruction physique requise (par exemple déchiquetage) • Destruction physique requise (par exemple déchiquetage)
• La destruction doit être vérifiée par le personnel de l'agence • La destruction doit être vérifiée par le personnel de l'agence

Stockage des copies papier
Stockage sur support fixe
• Conservez une « copie principale » conformément au calendrier de • Conservez une « copie principale » conformément au calendrier de
conservation des dossiers. conservation des dossiers.
• Les documents doivent être mis sous clé lorsqu'ils ne sont pas
utilisés (par exemple, dans un bureau, une armoire ou un bureau
verrouillé)
n/A • L'accès est contrôlé par mot de passe
• Conservez une « copie principale » conformément au calendrier de
conservation des dossiers.
• Les documents doivent être mis sous clé lorsqu'ils ne sont pas
utilisés (par exemple, dans un bureau, une armoire ou un bureau
verrouillé)
• L'accès est contrôlé par mot de passe
• Cryptage requis
• Conservez une « copie principale » conformément au calendrier de
conservation des dossiers.
• Les documents doivent être mis sous clé lorsqu'ils ne sont pas
utilisés (par exemple, dans un bureau, une armoire ou un bureau
verrouillé)
• L'accès est contrôlé par mot de passe
• Cryptage requis

Stockage sur support amovible
5. Contrôles d'accès
Accorder des droits d'accès
Accès en lecture
Accès aux mises à jour
Supprimer l'accès
6. Contrôles de transmission
Contrôles d'impression
Transmission par réseau public
Transmission à des tiers
n/A Cryptage recommandé Cryptage requis. Cryptage requis.
Publique Sensible Confidentiel Réglementé
Pas de restrictions Propriétaire des données uniquement Propriétaire des données uniquement Propriétaire des données uniquement
• Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par
utilisateur/rôle. utilisateur/rôle. utilisateur/rôle. utilisateur/rôle.
• Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par •• Accès hautement
Le propriétaire restreint
des ou contrôlé
informations définit les autorisations par •• Accès hautement
Le propriétaire restreint
des ou contrôlé
informations définit les autorisations par
utilisateur/rôle. utilisateur/rôle utilisateur/rôle utilisateur/rôle
• Contrôles (par exemple, séparation des tâches) nécessaires pour les • Contrôles (par exemple, séparation des tâches) nécessaires pour les • Contrôles (par exemple, séparation des tâches) nécessaires pour les
processus et les transactions susceptibles de donner lieu à des processus et les transactions susceptibles de donner lieu à des processus et les transactions susceptibles de donner lieu à des
activités frauduleuses ou non autorisées. activités frauduleuses ou non autorisées. activités frauduleuses ou non autorisées.
• Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par • Le propriétaire des informations définit les autorisations par
utilisateur/rôle. utilisateur/rôle. utilisateur/rôle utilisateur/rôle
• Contrôles (par exemple, séparation des tâches) nécessaires pour les • Contrôles (par exemple, séparation des tâches) nécessaires pour les
processus et les transactions susceptibles de donner lieu à des processus et les transactions susceptibles de donner lieu à des
activités frauduleuses ou non autorisées. activités frauduleuses ou non autorisées.
Publique Sensible Confidentiel Réglementé
Pas de restrictions Le propriétaire des informations définit les autorisations Sortie acheminée vers une imprimante prédéfinie et impression Sortie acheminée vers une imprimante prédéfinie et impression
surveillée ou sécurisée activée surveillée ou sécurisée activée
Pas de restrictions Cryptage recommandé Cryptage requis Cryptage requis
Pas de restrictions Pas de restrictions Accord d’approbation et de non-divulgation du propriétaire Accord d’approbation et de non-divulgation du propriétaire

MODÈLE DE CLASSIFICATION DES DONNÉES PAGE2 DU 5

7. Contrôles d'audit
Processus de suivi par journal
Audit de l'activité d'accès
Critères de conservation pour les rapports
d'accès
Critères de conservation pour l'accès
Calendrier du cycle d’examen de la
classification
8. Exigences de notification
Divulgation requise à la personne
concernée
Divulgation requise au public
Divulgation requise aux partenaires
fédéraux
Divulgation requise aux États partenaires
Divulgation requise à des tiers
MODÈLE DE CLASSIFICATION DES DONNÉES
Publique Sensible
n/A n/A
n/A Le système informatique doit être configuré pour enregistrer toutes les
tentatives de violation. Des pistes d'audit doivent être conservées pour
assurer la responsabilité des modifications apportées aux ressources
d'information et de toutes les modifications apportées aux règles
automatisées de sécurité/d'accès.
Les journaux doivent être conservés conformément aux directives de Les journaux doivent être conservés conformément aux directives de
conservation des dossiers conservation des dossiers
n/A Le propriétaire détermine la conservation des journaux de violations
La date d'examen et de confirmation doit être fixée mais flexible, c'est- La date d'examen et de confirmation doit être fixée mais flexible, c'est- Le propriétaire de l'information doit examiner et confirmer toutes les
à-dire 1 à 2 ans. à-dire 1 à 2 ans.
Publique Sensible
Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques Aucune divulgation d’informations publiques
Confidentiel
Destinataires, copies réalisées, emplacements, adresses, personnes
qui ont consulté et destruction
Le système informatique doit être configuré pour enregistrer toutes les
tentatives de violation. Des pistes d'audit doivent être conservées pour
assurer la responsabilité des modifications apportées aux ressources
d'information et de toutes les modifications apportées aux règles
automatisées de sécurité/d'accès.
Les journaux doivent être conservés conformément aux directives de
conservation des dossiers
Le propriétaire détermine la conservation des journaux de violations
classifications d'informations et les droits d'utilisateur, sans dépasser 1
an.
Confidentiel
Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques
Réglementé
Destinataires, copies réalisées, emplacements, adresses, personnes
qui ont consulté et destruction
Le système informatique doit être configuré pour enregistrer toutes les
tentatives de violation. Des pistes d'audit doivent être conservées pour
assurer la responsabilité des modifications apportées aux ressources
d'information et de toutes les modifications apportées aux règles
automatisées de sécurité/d'accès.
Les journaux doivent être conservés conformément aux directives de
conservation des dossiers
Le propriétaire détermine la conservation des journaux de violations
Le propriétaire de l'information doit examiner et confirmer toutes les
classifications d'informations et les droits d'utilisateur, sans dépasser 1
an.
Réglementé
Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques
Aucune divulgation d’informations publiques
PAGE3 DU 5
Term Définition
e
Référence