Informação e Classificação de Ativos
Visão geral
A Política de Proteção de Informações formal da Oracle define os requisitos para classificar e lidar com informações públicas e confidenciais.
A Oracle categoriza as informações em quatro classes: pública, interna, restrita e altamente restrita, sendo que cada classificação exige medidas de segurança apropriadas, como requisitos de criptografia para dados não públicos:
- Informações "públicas" não são sensíveis e não são consideradas confidenciais para a Oracle.
- As informações “internas da Oracle” devem permanecer confidenciais à Oracle.
- As informações “restritas” e “altamente restritas” devem permanecer confidenciais e o acesso dentro da Oracle deve ser restrito com base na necessidade do conhecimento, com requisitos adicionais para o gerenciamento de informações "altamente restritas".
Treinamento e Conscientização
O treinamento obrigatório da Oracle instrui os funcionários sobre a Política de Proteção de Informações da empresa. Esse treinamento também avalia a compreensão dos funcionários sobre classificações de ativos de informação e requisitos de gerenciamento. Os funcionários devem concluir esse treinamento ao ingressar na Oracle e refazê-lo regularmente. Os relatórios permitem que os gerentes monitorem a conclusão dos cursos em suas organizações.
Gerenciamento e Retenção de Dados
A Oracle tem requisitos formais para gerenciar a retenção de dados. Essas políticas operacionais definem requisitos por tipo de dados e categoria, incluindo exemplos de registros em vários departamentos da Oracle.
Inventário de Sistemas
Desenvolver e manter um inventário preciso do sistema é um elemento necessário para o gerenciamento eficaz dos sistemas de informação e para a segurança operacional. A Política de Inventário de Ativos de Sistemas de Informação da Oracle exige que a linha de negócios (LoB) mantenha inventários precisos e abrangentes de sistemas de informação, hardware e software. Essa política se aplica a todos os ativos de informação armazenados em sistemas Oracle, incluindo sistemas empresariais e serviços em nuvem.
A política da Oracle especifica os dados (ou campos) que devem ser mantidos sobre esses sistemas de informação no inventário do sistema aprovado. As informações técnicas e comerciais necessárias se enquadram nas seguintes categorias:
- Detalhes do hardware, como fabricante, número do modelo e número de série do equipamento, sistema ou dispositivo
- Localização física do data center/unidade e localização dentro da instalação
- Detalhes do software, como aplicações e versões associadas
- Classificação dos ativos de informação
- Informações de propriedade no nível organizacional.