您现在的位置：TT存储 > 数据归档 > 数据分类是成功实施数据保护的第一步

数据分类是成功实施数据保护的第一步

2007-12-24

投稿

打印

MSN推荐

博客引用

大 | 中 | 小

导读：由于数据分类的复杂性，自动的数据分类是信息安全领域种一个扩展的子行业。这将缓解人工接触每一个文件的负担，但是仍需要非常熟悉这个业务……

关键词：分类数据数据保护数据流描绘数据安全标准

正在加载数据...

【TechTarget中国原创】联邦金融机构检查委员会(FFIEC)的指南称，数据分类必须是企业风险评估流程中的一个组成部分。FFIEC为什么强制要求进行数据分类？数据分类是把数据分为从低价值到高价值的各种类型，并且强制要求对每一种类型的信息进行正确的安全控制。高价值的数据点显然需要更严格的保护机制。

　　虽然FFIEC把这个过程称为数据流描绘，但是，我们在安全部门的人员通常把它作为根据企业商业敏感度对数据的分类。实际上，信息对于企业的重要性决定了它的分类。

　　总之，数据分类过程应该包括：

　　·硬件和软件资产库存

　　·网络结构

　　·商务流程和数据流描绘

　　·对企业战略目标的镜像技术操作

　　注意项目2和3的交易，特别是在支持那个业务中的商业和安全任务。

　　那么，我们如何评估商务流程并且对文件进行分类呢？下面是我们要采取的步骤。

　　起步

　　首先，你要理解业务，无论这个业务是半导体、汽车还是药品。这是很重要的。在一个分类计划中，这一步是这个项目最早的一点。理想的情况是学习业务，了解作为业务保障的信息安全如何成为安全专业人员日常责任和长期职业发展过程的一部分。

　　下一步，到你的公司业务部门负责人那里去，请求他们帮助找到他们最重要的知识产权资产。一旦你找到这些资产，你要评估创建这些知识产权资产的商务流程。制定一个创建、发布和存储这些资产的简单流程表。祝贺你，你刚好建立了一个数据流图标。从这里开始，你可以先前发展进行数据分类了。

　　数据分类的关键要素

　　那么，什么是数据分类呢？这看起来好像是一个合理的问题，尽管它还取决于许多其它因素。这些因素中的第一个因素是确定谁访问这个数据并且定义能够访问上面说的那个数据的人员的任务。例如，一个收购和合并的文件对于一家公司是有很高的战略价值的。因此，这种数据的访问原则应该是仅仅允许少数公司官员阅读这个文件。网络图表文件可以被数百人阅读，可以认为是一种专有的信息，但是控制措施比较少。有些文件可能有内在的金钱价值，如一篇包含新的技术突破的文件。许多人也许可以访问这个文件。但是，由于这个文件有出售的潜力，因此这个文件有金融价值。一旦这些访问任务定义之后，接下来就是指导你如何加密这个数据。

　　分类的下一个组成部份是数据要保留的时间长度。数据保存政策是以一个公司所处的行业、与其相关的规定和法律要求为基础的。与保留有关的是当这个数据不需要的时候销毁这个数据以及用来处理数据的销毁方式。一些公司采用一种默认的政策，销毁全部纸的和包括硬盘在内的电子媒介的数据。这个政策是以相关的成本、数据密感度、销毁厂商的可用性和商业风险设置为基础的。

　　另一个重要的事情是确定在分类的过程中是否要对数据加密。数据拥有者必须决定他们的数据是否需要加密，其目的是为了知识产权保护还是为了满足法规的要求，如HIPAA或者PCI数据安全标准的要求。

　　与数据保护有关的是数据使用。数据分类方面定义数据是否用于内部有选择的使用，广泛的内部使用，还是能够公开。

　　定义数据分类

　　数据分类过程的另一个关键要素是定义你的各种分类等级。分类的名称和类型没有严格的规则。然而，分类应该明确，这样在流程开始之后如何确定数据的类别就很容易。许多机构采取传统的军事模式，如“秘密、机密和绝密”。还有一些公司增加了类别，特别是对隐私数据。

　　有些公司根据商务流程定义数据，把对数据的访问仅仅限制在参加这个商务流程的人员。考虑到“仅允许观看”的分类类型，一个研究组可能把信息访问权限限制在一个部门中的一个组，把这个信息分类为“新分子组”。虽然这创建了一个更大的分类，但是，这是一个更具体的商务流程。目前有一种技术能够根据商务流程风格分类系统以及军事风格系统自动分类信息。