数据分类概述、类型和实例
数据分类对业务数据、信息和文件进行定义和分类。它被那些需要遵循严格的合规性准则的组织所使用。数据分类的主要目的是了解存储信息的敏感性,以便利用正确的网络安全工具建立一个强大的安全系统。
通过对数据进行分类,组织可以确定以下内容。 −
- 谁被授权访问特定数据?
-
使用什么保护政策来存储和传输这些数据?
-
适用于特定数据的监管标准是什么?
数据分类使一个组织有能力管理其数据,保护其隐私,防止网络攻击,并符合监管标准。
数据分类的类型
数据可分为三种类型。
- 基于内容的分类 – 根据数据的内容进行分类,如文件、格式类型等。
-
基于上下文的分类–根据元数据对数据进行分类,如用于创建文件的应用程序,制作文件的人,或数据的位置。
-
基于用户的分类 – 根据用户的个人判断对数据进行分类。你可以用你的决定对数据进行分类。
数据敏感度等级
你可以为数据指定敏感度等级并确定其价值。
高度敏感的数据 – 它包括那些如果被泄露、删除或落入黑客之手,会对组织产生灾难性影响的数据。这可能包括财务记录、认证数据和知识产权。
例子 – 假设你的公司收集了购买产品或服务的客户的信用卡信息。像这样的数据应该遵循严格的授权控制、加密和严格的审计来检测访问请求。数据泄露很可能会破坏组织的声誉,并可能造成巨大的经济损失。
中度敏感数据 – 这些数据只供内部使用,但如果被泄露或破坏,会对组织或个人产生重大影响。这包括电子邮件、文件和没有高敏感数据的文件。
例子 – 每当你与第三方供应商打交道时,你都会涉及包含协议签名的合同。虽然这些数据的泄露可能不会损害你的客户,但它会泄露你的业务细节的敏感信息。
低度敏感数据 – 它是供公众使用的,如公共网站上的内容。
例子 – 你在你的网站上上传内容,如博客、图片等,以达到营销目的。这些数据并不高度敏感,所以你可能不需要严格的控制,因为它是公开的,供受众使用。
数据分类级别
一旦你确定了数据的敏感性,你就需要为这些数据分配级别,以回答问题–
- 谁可以访问这些数据?
-
这些数据需要在系统中停留多长时间?
数据分类的层次
公共数据 – 这些数据可供公众查阅,并可自由使用、共享和重复使用,不受任何法律迫害。
例子 – 个人的姓和名,工作描述,新闻发布等。
只限于内部数据 – 这些只有一个组织的特定人员或雇员可以访问,他们被赋予了特殊的权限。
实例 – 内部备忘录、内部沟通、营销计划等。
机密数据 – 只有通过特别授权或许可才能进入。
实例 – 持卡人数据、社会安全号码、受HIPPA、PCI DSS保护的数据等。
限制性数据 – 未经授权访问这些数据会导致巨额的法律罚款和刑事指控,并可能对组织造成巨大的、无法弥补的损失。
实例 – 受国家和联邦法规保护的专有信息、研究和开发数据。
数据分类过程
为了对数据进行分类以满足合规标准,第一步是进行涉及数据位置、分类和确定足够的网络安全措施的程序。每个系统都必须根据你公司的合规标准和基础设施来执行。
数据分类的步骤
第1步:分析风险评估
进行风险评估以确定数据的敏感程度。此外,你还需要确定安全漏洞,黑客可以通过这些漏洞突破你的网络防御。
第2步:制定分类政策和标准
一个分类政策和标准可以帮助你简化未来将数据添加到同一类别的过程,以减少错误。
第3步:对你的数据进行分类
一旦你设定了分类政策和标准,你就需要根据数据的敏感性为其分配类别。此外,还要提到对不遵守这些政策和标准的惩罚措施。
第4步:寻找一个存储数据的地点
在部署网络安全防御措施之前,一定要找到一个安全可靠的数据存储地点。将数据分配给他们的网站,使你更容易部署适当的网络安全保护。
第5步:对你的数据进行分类
你可以手动操作,或使用第三方软件来识别和分类数据并跟踪它们。
第6步:采用控制措施
采用控制措施,使个人必须要求认证才能访问数据。该人必须向相关部门发出授权访问请求,只有当他们的请求被批准时才能访问数据。如果一个人只被允许在他们需要执行工作任务时访问这些信息,情况会更好。
第7步:监控数据及其访问
监测数据是合规性和维护隐私的一个关键步骤。如果没有定期监测,你无法知道是否有未经授权的尝试访问数据。通过适当的监测控制,你可以发现安全系统中的漏洞和异常,并保持警惕,在威胁发生之前就将其从网络中铲除。
结论
有了准确的数据分类,组织就能对组织控制下的所有数据有一个清晰的认识。它使人们清楚地了解数据的存储位置,无缝访问它们的方法,以及保护它们免受未经授权的访问的最佳方法。它简化了你的组织的安全框架,促进了顶级的数据保护措施,同时促进了对公司数据安全政策和法规的使用。