Bu bölümde veritabanında yer alan verilere yönelik örnek bir veri sahipliği çalışması anlatılacaktır. Bu çalışma esnasında bilgi mimari sorumlusu verinin ait olduğu iş birimlerine yönelik bir anket çalışması yapar. Bu çalışma o verinin sahip olduğu iş birimine ait verinin hassaslığını ve gizliliğini anlamaya yöneliktir.

Öncelikle bilgi mimarisinin iş birimlere yönelik yapacağı anket çalışmasında şu sorulara cevap alınır:

  1. Bu bölüm dışında bu bilgiyi kullanan bölümler var mıdır? (Evet / Hayır)
  2. Bilgiye yetkisiz erişim olursa etki düzeyi nedir? (Yüksek / Orta / Düşük)
  3. Bilginin açığa çıkma riski nedir? (Çok Riskli / Riskli / Riski Yok)
  4. Bu bilgilerin DÜZENLİ yedeklenmemesi sonucu veri kaybı oluşursa etkisi nedir? (YOK: Kaybolan bilgiye ihtiyaç duyulmaz, AZ: Bilgi kısa zaman içinde tekrar üretilebilir, ORTA: Bilgi tekrar üretilebilir ancak ZAMAN alır, ÇOK: Etkisi çok olur, Kayıp telafi edilemez.)
  5. Bilgi silindiğinde veriler tekrar oluşturulabilir mi? (Evet / Hayır)
  6. Bu bilgilerin DÜZENLİ yedeklendiğinden emin misiniz? (Evet / Hayır)
  7. Bu bilgiler kimlerle paylaşılabilir? (A-Sadece üst yöneticiler, B-Birim içindeki yöneticiler, C-Birim içinde yetkili kullanıcılar, D-Birim personeli, E-Birim personeli ve ilgili birim personeli, F-Geçici çalışanlar (stajyer vs.),G-Kurum personeli, H-Kurum müşterileri, I-Kamuya açık…(Her seçenek üstündekileri kapsar)
  8. Gizlilik (Confidentiality): Bilgi varlığına bir zarar gelmesi durumunda açığa çıkan bilginin GİZLİLİĞİ Kurum’u nasıl etkiler? Bilgi varlığına bir zarar gelmesi durumunda Kurum açısından (A-Kritik bilgi açığa çıkmaz. Açığa çıkan kritik seviyesi altındaki bilgi kurumu ETKİLEMEZ/ÇOK AZ ETKİLERB-Kritik bilgi açığa çıkmaz. Açığa çıkan kritik seviyesi altındaki bilgi kurumu ETKİLER, Etki orta vadede telafi edilebilirC-Kritik bilgi açığa çıkar. Açığa çıkan kritik bilgi kurumu ETKİLER, Etki orta vadede telafi edilebilir,  D-Kritik bilgi açığa çıkar. Açığa çıkan kritik bilgi kurumu ETKİLER. Etki telafi edilemez ya da uzun vadede telafi edilebilir)
  9. Bütünlük (Integrity): Bilgi varlığının BÜTÜNLÜĞÜNE bir zarar gelmesi durumunda Kurum nasıl etkilenir? Bilgi varlığına bir zarar gelmesi durumunda;(A-Kritik bilgi kontrol dışı değişmez. Kontrol dışı değişen kritik seviyesi altındaki bilgi kurumu etkilemez / çok az etkiler, B-Kritik bilgi kontrol dışı değişmez. Kontrol dışı değişen kritik seviyesi altındaki bilgi kurumu etkiler. Etki orta vadede telafi edilebilir, C-Kritik bilgi kontrol dışı değişir, değişen bilgi kurumu ETKİLER. Etki orta vadede telafi edilebilir, D-Kritik bilgi kontrol dışı değişir, değişen bilgi kurumu ETKİLER. Etki telafi edilemez ya da uzun vadede telafi edilebilir)
  10. Erişilebilirlik (Availability): Bilgi varlığının ERİŞİLEBİLİRLİĞİNE (kullanılabilirliği) zarar gelmesi durumunda Kurum nasıl etkilenir? Bilgi varlığına zarar gelmesi durumunda; (A-Kritik bilgiye erişilebilir. Erişilebilirliğine zarar gelen kritik seviyesi altındaki bilgi kurumu ETKİLEMEZ/ ÇOK AZ ETKİLER(1 hafta ve daha fazla), B-Kritik bilgiye erişilebilir. Erişilebilirliğine zarar gelen kritik seviyesi altındaki bilgi kurumu ETKİLER. Etki orta vadede telafi edilebilir.(1 gün-5gün),C-Kritik bilgiye erişilemez. Erişilebilirliğine zarar gelen bilgi kurumu ETKİLER, Etki orta vadede telafi edilebilir.(3-6 saat tahammül), D-Kritik bilgiye erişilemez. Erişilebilirliğine zarar gelen bilgi kurumu etkiler. Etki telafi edilemez ya da uzun vadede telafi edilebilir.(0-3 saate tahammül))

Bu anket neticesinde elde edilen sonuçlara göre bilgilerin hassaslık ve kritiklik seviyeleri belirlenebilir. Verilerin gizliliği kurum isteğine bağlı olarak üç veya dört kategoride sınıflandırılabilir: Tasnif Dışı, Hizmete Özel, Gizli, Çok Gizli(Bu madde opsiyonel olabilir). Bu anket sonucuna göre hassasiyet dereceleri anket sorularından 8 numaralı Gizlilik sorusu ve 3 numaralı Açığa Çıkma Riski Nedir? Sorularına verilen cevaplara göre üç kategorili olarak şöyle sınıflandırılabilir:

  • Tasnif Dışı: (Gizlilik=A & Açığa Çıkma Riski=Yok)
  • Hizmete Özel:  (Gizlilik=A & Açığa Çıkma Riski=Riskli,Gizlilik=B & Açığa Çıkma Riski=Yok,

    Gizlilik=B & Açığa Çıkma Riski=Riskli)

  • Gizli:   (Gizlilik=C & Açığa Çıkma Riski=Riskli,Gizlilik=C & Açığa Çıkma Riski= Çok Riskli,

    Gizlilik=D & Açığa Çıkma Riski= Çok Riskli)

Kritiklik seviyerine göre sınıflandırma üç kategoride: L1 seviyesi (1. Seviye ya da yüksek seviye), L2 seviyesi (2. Seviye ya da orta seviye), L3 seviyesi (3. Seviye ya da düşük seviye) olarak gerçekleşir. Kritiklik seviyesi anket sorularının 2,4,8,9 ve 10 numaralı sorularına verilen cevaplara göre üç kategorili olarak şöyle sınıflandırılabilir:

  • L3-Düşük :(Yetkisiz Erişim(II)=Düşük  & Veri Kaybı Etki (IV)=Yok,Az  & Bütünlük=A  & Erişilebilirlik=A,B  & Gizlilik=A,B,C,D)

    (Yetkisiz Erişim(II)=Düşük    & Veri Kaybı Etki (IV)=Yok,Az  & Bütünlük=B   & Erişilebilirlik=A,B,C  & Gizlilik=A,B,C)

    (Yetkisiz Erişim(II)=Orta       & Veri Kaybı Etki (IV)=Yok,Az  & Bütünlük=B       & Erişilebilirlik=A,B,C  & Gizlilik=A,B,C,)

  • L2- Orta:(Yetkisiz Erişim(II)=Yüksek    & Veri Kaybı Etki (IV)=Çok     & Bütünlük=B    & Erişilebilirlik=B,C,D  & Gizlilik=A,B,C,D,)(Yetkisiz Erişim(II)=Orta        & Veri Kaybı Etki (IV)=Çok     & Bütünlük=C      & Erişilebilirlik=B,C,D  & Gizlilik=A,B,C,D,)

    (Yetkisiz Erişim(II)=Yüksek    & Veri Kaybı Etki (IV)=Orta     & Bütünlük=B,C     & Erişilebilirlik=B,C  & Gizlilik=A,B,C,D,)

    (Yetkisiz Erişim(II)=Orta        & Veri Kaybı Etki (IV)=Orta     & Bütünlük=B,C     & Erişilebilirlik=B,C,D  & Gizlilik=A,B,C,D)

    (Yetkisiz Erişim(II)=Düşük      & Veri Kaybı Etki (IV)=Az,Orta & Bütünlük=B     & Erişilebilirlik=D         & Gizlilik=A,B,C,D)

  • L1-Yüksek(Yetkisiz Erişim(II)=Yüksek  & Veri Kaybı Etki (IV)=Çok  & Bütünlük=D,C  & Erişilebilirlik=D,C,B,A  & Gizlilik=B,C,D)

    (Yetkisiz Erişim(II)=Yüksek  & Veri Kaybı Etki (IV)=Orta  & Bütünlük=D     & Erişilebilirlik=D,C,B,A  & Gizlilik=B,C,D,)

    (Yetkisiz Erişim(II)=Orta      & Veri Kaybı Etki (IV)=Çok  & Bütünlük=D,C  & Erişilebilirlik=D,C  & Gizlilik=B,C,D)

    (Yetkisiz Erişim(II)=Orta      & Veri Kaybı Etki (IV)=Çok  & Bütünlük=D,C  & Erişilebilirlik=D,C  & Gizlilik=B,C,D,)

Kurumda bilgi sınıflandırması yapıldıktan sonra hassasiyet ve kritikliklerine göre kategorilere ayrılmış verilerin hassas ve kritik olanlarının sadece yetkisi olan kişilere açılması, test ortamlarında maskeleme yapılarak saklanmasına özen gösterilmelidir. Kritik bilgiler diğer bilgilere göre daha sık yedeklenmeli ve düzenli olarak yedekten geri dönme testleri yapılmalıdır. Herhangi bir erişim kesintisi oluştuğunda kritik bilgilere 3 ile 6 saat arasında erişim sağlanmalıdır. Kritik bilgiler bağlı olduğu sunucu haricinde başka sunucularda da güncellenerek saklanmalıdır.