資料分類：概述、型別和示例

---

資料分類定義和分類業務資料、資訊和檔案。它被需要遵循嚴格合規準則的組織使用。資料分類的主要目的是瞭解儲存資訊的敏感性，從而利用合適的網路安全工具構建強大的安全系統。

透過對資料進行分類，組織可以確定以下內容 −

• 誰被授權訪問特定資料？

• 對儲存和傳輸這些資料使用哪些保護策略？

• 哪些法規標準適用於特定資料？

資料分類使組織能夠以保護隱私、防範網路攻擊並符合法規標準的方式管理其資料。

資料分類型別

資料可分為三種類型：

• 基於內容的分類 − 基於資料內容（例如檔案、格式型別等）對資料進行分類。

• 基於上下文的分類 − 基於元資料（例如用於建立檔案的應用程式、建立文件的人員或資料的位置）對資料進行分類。

• 基於使用者的分類 − 基於使用者的個人判斷對資料進行分類。您可以根據自己的判斷對資料進行分類。

資料敏感性級別

您可以為資料分配敏感性級別並確定其價值。

高敏感性資料 − 包括如果被洩露、刪除或落入駭客手中會對組織造成災難性影響的資料。這可能包括財務記錄、身份驗證資料和智慧財產權。

示例 − 假設您的公司從購買產品或服務的客戶那裡收集信用卡資訊。此類資料應遵循嚴格的授權控制、加密和嚴格的審計，以檢測訪問請求。資料洩露很可能損害組織的聲譽，並可能造成巨大的經濟損失。

中等敏感性資料 − 這些資料僅供內部使用，但如果洩露或銷燬，可能會對組織或個人造成重大影響。這包括電子郵件、文件和不包含高敏感性資料的檔案。

示例 − 每當您與第三方供應商打交道時，您都會簽訂包含協議簽名的合同。儘管這些資料的洩露可能不會損害您的客戶，但它可能會洩露有關您的業務詳細資訊的敏感資訊。

低敏感性資料 − 旨在供公眾使用，例如公共網站上的內容。

示例 − 您將內容（例如部落格、圖片等）上傳到您的網站以用於營銷目的。這些資料不是高度敏感的，因此您可能不需要嚴格的控制，因為它可供公眾訪問。

資料分類級別

確定資料的敏感性後，您需要為這些資料分配級別，以回答以下問題 −

• 誰能訪問這些資料？

• 這些資料需要在系統中保留多久？

資料分類級別

公共資料 − 這些資料可供公眾訪問，可自由使用、共享和重複使用，而不會受到任何法律訴訟。

示例 − 個人的名字和姓氏、職位描述、新聞稿等。

內部專用資料 − 這些資料僅供獲得特殊訪問許可權的組織特定人員或員工訪問。

示例 − 內部備忘錄、內部溝通、營銷計劃等。

機密資料 − 訪問許可權僅限於獲得特殊授權或許可的人員。

示例 − 持卡人資料、社會安全號碼、受HIPPA、PCI DSS等保護的資料。

限制資料 − 未經授權訪問這些資料會導致鉅額罰款和刑事指控，並可能對組織造成巨大且無法彌補的損害

示例 − 受州和聯邦法規保護的專有資訊、研究和開發資料。

資料分類流程

為了對資料進行分類以滿足合規標準，第一步是執行涉及資料位置、分類和確定足夠網路安全措施的程式。每個系統必須根據您公司的合規標準和基礎設施進行執行。

資料分類步驟

步驟 1：分析風險評估

進行風險評估以確定資料的敏感性級別。此外，您還需要識別駭客可以突破您的網路防禦的安全漏洞。

步驟 2：制定分類策略和標準

分類策略和標準可以幫助您簡化將來將資料新增到同一類別中的流程，以最大限度地減少錯誤。

步驟 3：對您的資料進行分類

一旦您設定了分類策略和標準，您就需要根據資料的敏感性為資料分配類別。此外，還要說明不遵守這些策略和標準的處罰。

步驟 4：查詢資料儲存位置

在部署網路安全防禦措施之前，務必找到安全可靠的資料儲存位置。將資料分配到其站點使您可以更輕鬆地部署適當的網路安全保護。

步驟 5：對您的資料進行分類

您可以手動執行此操作，也可以使用第三方軟體來識別和分類資料並對其進行跟蹤。

步驟 6：實施控制措施

實施控制措施，以便個人必須需要身份驗證才能訪問資料。該人必須向相關機構傳送授權訪問請求，並且只有在他們的請求獲得批准後才能訪問資料。如果個人只需要執行工作中的任務才允許訪問資訊，那就更好了。

步驟 7：監控資料及其訪問

監控資料是合規和維護隱私的關鍵步驟。如果沒有定期監控，您將無法知道是否有人試圖未經授權訪問資料。透過適當的監控控制，您可以檢測安全系統中的漏洞和異常，並保持警惕，在威脅發生之前將其從網路中清除。

結論

透過準確的資料分類，組織可以清晰地瞭解組織控制範圍內所有資料的情況。它可以清楚地瞭解資料的儲存位置、無縫訪問資料的方式以及保護資料免受未經授權訪問的最佳方法。它簡化了組織的安全框架，促進了頂級資料保護措施，同時促進了公司資料安全策略和規章的合規性。