Conformité avec les normes de l'Organisation nationale de gestion des déchets (ONDG) du Royaume d'Arabie saoudite

DEMANDEZ UNE DÉMONSTRATION REGARDEZ UNE DÉMONSTRATION

Quelles sont les normes de l'OMDN ?

Dans le cadre de l'initiative Vision 2030, le Royaume d'Arabie saoudite (KSA) a adopté les normes nationales de gestion des données et de protection des données personnelles, un cadre conçu pour sécuriser les informations gouvernementales sensibles, garantir la confiance du public et régir la gestion des données dans l'ensemble de ses entités publiques.

Élaborées par le National Data Management Office (NDMO), le régulateur national du Royaume, les normes sont conçues pour protéger les données personnelles et gouvernementales, définies comme suit :

  • Données personnelles - Tout élément de données, seul ou en relation avec d'autres données disponibles, qui permettrait d'identifier un citoyen saoudien.
  • Données gouvernementales - Données brutes ou traitées reçues, produites ou détenues par des entités publiques, quelles qu'en soient la source, la forme ou la nature. 

À qui s'appliquent les normes de l'ONDG ?

Les normes du NDMO s'appliquent à toutes les entités publiques du Royaume d'Arabie saoudite, ainsi qu'à tous les "partenaires commerciaux traitant des données gouvernementales". Ces partenaires commerciaux sont responsables de l'application des normes à toutes les données gouvernementales relevant de leur compétence.

Les normes couvrent les données gouvernementales sous toutes leurs formes :

  • Dossiers papier
  • Emails
  • Données stockées sous forme électronique
  • Enregistrements vocaux
  • Vidéos
  • Cartes
  • Photos
  • Scripts
  • Documents manuscrits

Ou toute autre forme de données enregistrées. 

Les 15 domaines

Le document sur les normes de gestion des données et de protection des données personnelles définit les exigences pour 15 domaines. Elles sont résumées ci-dessous :

  • Gouvernance des données
    Autorité sur la planification des pratiques de gestion des données de l'organisation par le biais de personnes, de processus et de technologies.
  • Catalogue de données et métadonnées
    Permettre un accès efficace à des métadonnées intégrées de haute qualité.
  • Qualité des données
    Améliorer la qualité des données de l'organisation jusqu'à ce qu'elles répondent aux exigences du client.
  • Opérations sur les données
    Maximiser la valeur des données tout au long de leur cycle de vie grâce à des mesures optimisées de stockage des données.
  • Gestion des documents et du contenu
    Régit la capture, le stockage, l'accès et l'utilisation du contenu stocké en dehors des bases de données relationnelles.
  • Architecture et modélisation des données
    Établir des structures pour assurer le traitement des données de bout en bout entre les entités (et à l'intérieur de celles-ci).
  • Gestion des références et des données de base
    Établit un point de référence commun pour toutes les données critiques en les reliant à un fichier maître unique.
  • Business Intelligence et l'analyse
    Analyse les données de l'organisation pour en tirer des enseignements et des conclusions.
  • Partage des données et interopérabilité
    La collecte de données provenant de différentes sources et de solutions intégrées qui facilitent une communication harmonieuse entre les différents composants informatiques.
  • Réalisation de la valeur des données
    Exploiter en permanence les données pour trouver des opportunités de réduction des coûts ou de génération de revenus.
  • Données ouvertes
    Données organisationnelles qui, si elles étaient rendues publiques, pourraient favoriser la croissance économique, accélérer l'innovation ou améliorer la transparence.
  • Liberté d'information
    Fournir aux citoyens saoudiens un moyen d'accéder à l'information gouvernementale, de savoir comment accéder à l'information gouvernementale et de déposer un recours en cas de litige.
  • Data Classification
    Catégoriser les données afin de les utiliser et de les protéger efficacement. Data Classification sont attribués en fonction des dommages potentiels causés par la compromission ou la mauvaise manipulation de ces données.
  • Protection des données personnelles
    Protéger le droit des citoyens saoudiens à ce que leurs données personnelles soient traitées et protégées correctement.
  • Sécurité et protection des données
    Les méthodes employées (personnes, processus, technologie) pour sécuriser les données d'une entité. Ce domaine particulier est mandaté par l'Autorité nationale saoudienne de cybersécurité. 

Principes directeurs

Selon le document, les normes sont ancrées dans les huit principes directeurs suivants, qui soulignent les 15 domaines décrits ci-dessus. Elles sont résumées ci-dessous :

  • Les données en tant que bien national | Les données gouvernementales doivent pouvoir être découvertes et protégées, avec la possibilité d'être monétisées.
  • Protection des données dès la conception - Élaborer des processus proactifs qui protègent la vie privée des personnes et leur droit de consentement/refus en vertu des lois de l'État de Kuala Lumpur.
  • Ouvrir par défaut - Veiller à ce que la plupart des données gouvernementales soient disponibles par défaut, à moins que la non-divulgation ne soit suffisamment justifiée.
  • Utilisation éthique des données - Élaborer des pratiques éthiques en matière de données autour de l'équité, de la traçabilité et de la contribution au "bien commun".
  • Adopter des processus d'utilisation, de collecte, de traitement et de partage des données centrés sur l'être humain.
  •  Construire un secteur public de nouvelle génération où les décisions sont fondées sur des données.
  • Culture de l'apprentissage - Veiller à ce que les talents saoudiens se développent suffisamment pour répondre aux besoins du marché concurrentiel et de la gestion des données.
  • Données fiables - Instaurer la confiance entre le gouvernement et le public en garantissant la sécurité des données ou en étant transparent sur le niveau de sécurité des données. 

Conformité et application

Les entités couvertes doivent réaliser un audit de conformité une fois par an et renvoyer les résultats au NDMO au cours du troisième trimestre. Le NDMO consolidera ensuite les résultats et les publiera à l'intention des parties prenantes au niveau de l'entité, du secteur et du gouvernement.

À chaque niveau de spécification, une note binaire de 100% ou 0% sera attribuée - soit une réussite, soit un échec. L'audit de conformité sera dirigé par le Chief Data Officer, et des preuves seront fournies dans le rapport pour étayer les notes, le cas échéant.

Sur la base des résultats des audits, l'ONDG se réserve le droit d'effectuer des audits ad hoc supplémentaires sur des entités sélectionnées, si nécessaire.

Les piliers du cycle de vie des données

Les normes sont conçues pour protéger les données tout au long de leur cycle de vie. Ce cycle de vie est divisé en cinq étapes clés. 

 

Data Lifecycle Pillars

Crédit : Document sur les normes de gestion des données et de protection des données personnelles du NDMO.

 

Gouvernance des données

Les règles générales qui dicteront les processus, politiques et procédures ultérieurs de gestion des données.

Assetisation des données

Le processus d'attribution d'une valeur aux données sur la base de caractéristiques telles que la fonction et la qualité. 

Utilisation des données

Comment les données sont utilisées au sein de l'organisation, en l'occurrence le gouvernement. 

Data Classification et disponibilité

Mettre les données à la disposition des citoyens saoudiens et les trier en fonction de l'importance de leur sécurité pour la sécurité nationale saoudienne, la stabilité du gouvernement et d'autres facteurs.

Protection des données

L'obligation de protéger les informations personnelles et gouvernementales saoudiennes, et les moyens d'y parvenir.

La nécessité de l'ONDG Data Classification

Data Classification est d'une importance particulière pour l'objectif global de maintenir des processus permettant de sécuriser les données publiques sensibles.

Exigences en matière de classification

Les normes de sécurité doivent être édictées en fonction de l'importance de l'information ou, en d'autres termes, de l'ampleur des dommages causés en cas de compromission d'une donnée particulière. Cela se vérifie et s'accomplit via Data Classification.

Comme l'indiquent les normes, "Data Classification implique la catégorisation des données afin qu'elles puissent être utilisées et protégées efficacement. Data Classification sont attribués à la suite d'une analyse d'impact déterminant les dommages potentiels causés par une mauvaise manipulation des données ou un accès non autorisé à celles-ci".

Ils précisent en outre que chaque entité doit enregistrer une liste de tous les actifs identifiés en cours de traitement sur le site Data Classification. Ce registre doit comprendre

  • Une liste des actifs identifiés.
  • Niveaux de classification attribués à chaque actif.
  • Les dates auxquelles ces niveaux de classification ont été attribués.
  • La durée de validité de ces classifications.
  • Niveaux de classification approuvés lors de l'examen.
  • Les dates de révision des niveaux de classification. 

Data Classification Processus

Data Classification Pour réaliser les conceptions susmentionnées, un processus structuré Data Classification doit être mis en place. Les praticiens doivent :

  1. Identifiez toutes les données des entités.
  2. Désignez les parties responsables de l'exécution du site Data Classification.
  3. Mener le processus d'évaluation de l'impact.
    1. Identifiez la catégorie concernée (intérêt national, organisations, individus, environnement, etc.)
    2. Déterminez le niveau d'impact (élevé, moyen, faible ou nul).
  4. Tenez compte de la conformité avec les réglementations existantes (uniquement si l'impact est "faible").
  5. Évaluez les avantages de la divulgation par rapport aux impacts négatifs potentiels (uniquement si la divulgation des données n'a pas de conséquences en termes de conformité).
  6. Vérifiez une dernière fois que le niveau de classification est complet et exact.
  7. Appliquez les contrôles appropriés.

Ce processus est important car la sécurité doit être équilibrée avec les ressources et un environnement convivial. Déterminer quelles données nécessitent les contrôles les plus stricts (et souvent les plus lourds en termes de ressources et de temps) vous permet à la fois de mettre le maximum de puissance de feu en matière de sécurité à ces endroits et d'épargner à d'autres formes de données des politiques inutilement lourdes.

Fortra's Data Classification

La solution Data Classification Suite (DCS) de Fortra aide les équipes des secteurs public et privé à atteindre leurs objectifs de conformité.

Doté d'une puissante classification basée sur le contexte, Fortra DCS combine :

  • Correspondance des modèles
  • Catégorisation par apprentissage automatique
  • Détection automatisée des IPI

Pour une protection qui va au-delà du simple étiquetage, les organisations peuvent exploiter le site Fortra's Data Classification pour informer leur personnel et leurs politiques sur les données qui doivent être sécurisées et sur la manière de le faire. Pour ce faire, des attributs de métadonnées sont intégrés dans les courriers électroniques, les fichiers et les documents à chaque étape du cycle de vie du contenu, avec des repères visuels appliqués automatiquement pour délimiter le contenu sensible à la conformité.

Les principaux avantages sont les suivants :

  1. Protection pour des types de fichiers étendus, y compris les JPG, les PDF et bien plus encore.
  2. Intégration avec les outils que votre équipe utilise tous les jours, que ce soit dans un environnement Windows ou Mac.
  3. La possibilité de sécuriser un large éventail de partages de fichiers sur site ou dans le nuage.
  4. Un moteur de politique flexible qui prend en charge des conditions personnalisées pour chaque organisation.
  5. Fichiers enrichis de métadonnées appliquées par le DCS qui permettent de mieux informer les services en aval tels que CASB et DLP.

Et plus encore, y compris les différentiateurs uniques qui distinguent Fortra DCS de la concurrence. Il s'agit notamment de

  • Les données de facturation ne peuvent pas être partagées avec d'autres services tels que les soins infirmiers, l'informatique ou les opérations.
  • Protection unique des services bancaires - Les services bancaires ne peuvent pas être partagés avec les services de courtage au sein d'une même organisation afin d'éviter les infractions à la SEC.
  • Les données provenant de l'UE sont bloquées par notre solution DLP et ne peuvent pas entrer dans des zones géographiques restreintes.
  • Il arrive que des rapports de conservation soient générés pour nettoyer les données, ce qui implique nécessairement l'utilisation d'un espace de stockage payant et fait courir un risque à l'organisation. Notre solution DCS permet d'éviter cette situation.

Data Classification n'est qu'une des nombreuses façons dont les normes nationales de gestion des données et de protection des données personnelles du NDMO saoudien garantissent que les données publiques sont correctement protégées pour l'avenir. Mais c'est l'une des plus cruciales, compte tenu de son rôle essentiel dans le contexte plus large de la protection des données.

Apprenez-en plus sur les normes NDMO et découvrez d'autres solutions de protection des données proposées par Fortra.

Ressources connexes