當您不知道哪些資訊需要軍事級保護時,優先考慮降低風險或遵守隱私法幾乎是不可能的。這就是資料分類需求出現的地方。
什麼是資料分類?
分析非結構化或結構化資料並根據內容、澳洲電話號碼庫文件類型和其他元資料對其進行分類的過程稱為資料分類。
組織可以使用資料分類來回答有關其資料的重要問題,這有助於降低風險並管理資料治理策略。它可以幫助您確定最敏感資料的儲存位置以及使用者最有可能建立哪些類型的敏感資訊。為了遵守目前的資料隱私法規,全面的資料分類是必要的(但還不夠)。組織可以使用資料分類軟體來識別相關資訊以實現其目標。
為了滿足資料隱私要求,公司通常會運行分類項目來查找其儲存庫中的任何個人識別資訊 ( PII ),並向審計人員證明該資訊已妥善管理。
儘管有一些相似之處,但對資料進行分類與對其進行索引並不相同。儘管在這兩種情況下都會檢查物件的內容與關鍵字或概念的相關性,但分類並不總是會產生可搜尋的索引。在不儲存物件內容索引的情況下,分類結果通常包括物件的名稱以及找到的策略或模式:
- 對象:客戶.xls
- 範本:美國運通 (PCI-DSS) 加州駕駛執照 (CCPA)
一些資料分類解決方案創建索引,幫助實現資料可存取性 (DSAR) 和被遺忘權查詢,從而實現快速且有效率的搜尋。
資料分類的目的
降低風險
- 對個人識別資訊 (PII) 的存取受到限制
- 控制智慧財產權的位置及其取得 (IP)
- 減少敏感資料的攻擊面。
- 分類必須整合到 DLP 和其他策略執行應用程式中。
治理/合規
- 確定哪些資料受GDPR、HIPAA、CCPA、PCI、SOX 和其他法規的約束。
- 若要提供額外的追蹤和控制企業家在溝通計畫中應避免的錯誤,請將元資料標籤套用至受保護的資料。
- 您可以啟用合法保留、隔離、存檔和其他必要的操作。
- 簡化資料存取和被遺忘權請求 (DSAR)
效率和最佳化
- 根據內容的類型、用途和其他因素提供對內容的有效存取。
- 尋找並刪除過時或冗餘的資料。
- 將經常存取的資料移至速度更快的設備或雲端基礎設施。
分析
- 若要改善您的業務運營,請啟用元資料標記功能。
- 通知組織儲存和使用資料的位置。
應該指出的是,雖然資料分類是重要的第一步,但在上面列出的許多用例中採取行動遠遠不夠。新增額外的元資料流(例如權限和資料使用活動)可以顯著提高使用分類結果實現關鍵任務目標的能力。
數據敏感度等級
資料敏感度分類等級為高、中或低。
高敏感數據
如果受到未經授權的操作的損害或破壞,加拿大數據組織或個人可能會遭受災難性的後果。財務文件、知識產權、認證資料只是一些資料分類的例子。
中等靈敏度數據
僅供內部使用,但如果遭到破壞或破壞,不會對組織或個人造成災難性影響。例如,不包含機密資訊的文件和電子郵件。
低靈敏度數據
它們供公眾使用。例如,可公開存取的網站的內容。
資料分類的類型
資料分組很大程度上涉及定義資料類型、完整性和機密性的多個標記。在資料分類過程中也可以考慮可用性。資料敏感性通常根據與為保護每個分類等級而採取的安全措施相關的不同重要性或敏感度等級進行分類。業界廣泛使用的資料分類有以下三種:
- 基於內容的分類檢查並解釋文件中的敏感資料。
- 基於上下文的分類將創建者、應用程式和位置等特徵視為間接標記。
- 自訂:每個文件的分類是基於最終使用者的手動選擇。為了敏感地標記文檔,使用者分類取決於使用者在建立、編輯或查看時的知識和判斷力。
根據公司的需求和資料類型、內容、上下文和使用者方法可能是正確的或錯誤的。
確定數據風險
除了對類型進行分類之外,組織還必須評估與不同類型的資料相關的風險、資料的處理方式以及儲存/發送的位置(端點)。通常的做法是將資料和系統分為三個風險等級。
- 低威脅:如果資料是公開可用的且不易遺失(例如,更容易恢復),那麼此資料收集和支援它的系統可能比其他資料收集和支援它的系統造成的威脅更小。
- 中度風險:數據不公開,由公司或其合作夥伴內部使用。此外,這些數據不太可能對操作過於關鍵或過於敏感而被視為「高風險」。中度風險的項目包括公司本身的營運流程、產品成本以及一些公司文件。
- 高風險項目包括任何對操作安全遠端敏感或至關重要的項目。此外,這是極難恢復的資料(萬一遺失)。所有緊急且重要的資料類型都被歸類為高風險。
應用資料分類矩陣
有些組織可能會發現建立和標記資料很簡單。如果公司沒有許多不同類型的數據或交易較少,那麼確定數據和系統的風險等級可能會更容易。然而,許多處理大量資料或多類型資料的組織將需要全面的風險評估。基於這些目的,最常使用資料分類矩陣。