SecureFirst — STAY AHEAD, STAY SECURE
SecureFirst — STAY AHEAD, STAY SECURE

CIS Control 3 - Data Protection

CIS Controls — 18. marts 2026

Indledning

I dette afsnit gennemgår vi CIS Control 3: Establish and Maintain a Data Management Process.

Formålet med denne kontrol er at udvikle processer og tekniske kontroller til at identificere, klassificere, håndtere, opbevare og bortskaffe data på en sikker måde.

Virksomheders data befinder sig i dag både internt og eksternt, i cloud miljøer, på mobile enheder og hos tredjepartsleverandører. Tab eller kompromittering af data kan medføre alvorlige forretningsmæssige konsekvenser og brud på lovgivning. Derfor kræver Control 3 en struktureret og dokumenteret data management proces.

Hvad omfatter Control 3?

Control 3 omfatter etablering og vedligeholdelse af en samlet data management proces. Denne proces skal adressere:

• Data sensitivity • Data owner • Data handling • Data retention • Data disposal

Processen skal gennemgås og opdateres mindst årligt eller ved væsentlige ændringer i virksomheden.

Data Management Lifecycle

Data management beskrives som en livscyklus med følgende trin

• Data Acquisition • Data Inventory • Data Classification • Data Protection • Data Handling • Data Disposal

For at beskytte data skal virksomheden først vide, hvilke data den har, og hvor de befinder sig.

Data Inventory

Virksomheden skal etablere og vedligeholde et data inventory.

IT skal gennemføre en dataopgørelse mindst én gang årligt.

Et data inventory skal som minimum omfatte

• Identifier, eksempelvis filnavn eller anden unik identifikation • Data type, såsom finansielle data eller PII • Data owner • Data classification label • Data location • Data format • Data retention krav

Alle sensitive data skal markeres som sådan i inventaret.

En data owner skal være tilknyttet alle data i inventaret.

Data med særlige retention krav skal mærkes tilsvarende.

Data owners skal kontakte IT ved oprettelse eller modtagelse af sensitive data for at sikre registrering i data inventory.

Data Classification

Virksomheden skal fastlægge, hvad der betragtes som sensitive data baseret på juridiske, regulatoriske og forretningsmæssige krav samt risiko ved kompromittering.

Som minimum skal data klassificeres som

• Sensitive • Non-sensitive

Hvis muligt kan data yderligere kategoriseres eksempelvis som PII, finansielle data eller kundedata.

IT skal etablere og håndhæve labels for sensitive data og gennemgå klassifikationslabels årligt.

Data Protection

Data protection omfatter både datasikkerhed og databeskyttelse.

IT skal konfigurere adgangskontrollister på enterprise assets baseret på brugerens need to know. Dette gælder laptops, smartphones, tablets, centrale og remote filsystemer, databaser og applikationer.

Sensitive data skal krypteres på alle bruger enheder.

Data Handling og Retention

Virksomheden skal have en skriftlig data retention plan.

Data og dokumenter skal opbevares i den periode, der kræves af regulatoriske, juridiske og forretningsmæssige krav.

Data retention skal inkludere både minimum og maksimum tidsrammer.

Korrekt håndtering af data gennem hele livscyklussen reducerer risikoen for utilsigtet datatab og mindsker konsekvensen ved et databrud.

Data Disposal

Data, der har overskredet deres retention periode, skal destrueres af IT eller autoriserede parter.

Sensitive data må kun bortskaffes efter kontakt med IT.

Non-sensitive data kan bortskaffes via almindelige metoder.

Destruktion af sensitive data skal ske på en måde, der bevarer fortrolighed.

Eksempler på metoder omfatter
For papirbaserede dokumenter

• Makulering med godkendt cross-cut makulator • Låste shredding bins med godkendt service • Forbrænding via godkendt service

For portable medier som SSD, DVD og USB

• Fysisk destruktion

For harddiske og magnetiske medier

• Overwriting • Fysisk destruktion • Degaussing

For tape cartridges

• Degaussing • Fysisk destruktion

For tredjeparts cloud systemer skal virksomheden anmode om og følge leverandørens metode til permanent sletning.

Al destruktion skal logges i data inventory, hvor relevant. Hvis tredjepart anvendes, skal der indhentes dokumentation for destruktion.

Afslutning

CIS Control 3 kræver, at virksomheden etablerer og vedligeholder en dokumenteret data management proces, herunder data inventory, klassifikation, beskyttelse, håndtering, retention og sikker bortskaffelse.

Processen skal sikre, at data håndteres i overensstemmelse med deres følsomhed og gældende krav, og at både tekniske og organisatoriske kontroller understøtter beskyttelsen gennem hele datalivscyklussen.

Tak fordi du lyttede med.