看国外安全网站谈数据分类的好处

数据分类的好处

• 确定组织需要关注的敏感领域

• 确定要减轻的最大风险

• 在组织内建立关于如何获取、维护和传播特定数据的共同知识

• 提高最终用户对数据和信息安全的意识

• 通过去除冗余和过时的数据来潜在地降低存储成本

• 更好地支持信息安全程序

• 使员工更加注重安全

数据分类注意事项

对数据进行分类受益于结构化方法，需要考虑以下因素：

• 监管要求（数据安全法——当然国外还有GDPR、HIPPA、BASEL、PIPEDA、FIPPA等）

• 战略或专有价值

• 组织特定政策

• 道德和隐私方面的考虑

• 合同协议

数据应该从三个维度进行评估：

1. 可识别性：使用这些数据来识别个人的难易程度如何？

2. 敏感性：如果这些数据落入坏人之手，会造成多大的损失？

3.  稀缺性：这些数据有多容易获得？

基于此，我认为数据和信息可以分为3大类：

1.公开

定义：可以自由向公众发布的数据和信息

例子： 

• 在公共网站上发布的信息

• 新闻稿

• 研究刊物

• 产品数据表

• 职位发布

• 业务联系方式

注意事项：

• 很少或不需要控制来保护公共数据的机密性

• 未经授权的数据泄露的影响很小或没有影响

2.敏感

定义：不受法律或行业法规保护的数据和信息

例子： 

• 财务信息

• 限制流通的图书馆期刊

• 非个人性质的医疗或研究信息

• 战略规划文件

• 不包含机密数据的电子邮件或文件

• 员工手册

注意事项：

• 大部分数据仅供内部使用

• 应对该数据实施和应用合理级别的安全控制

3. 机密

定义：受法律、行业或政府法规或保密和合同协议保护的数据和信息，以防止未经授权的访问、使用或销毁

例子： 

• 健康档案信息

• 生物特征数据

• 支付卡行业信息（信用卡号、姓名、密码、有效期）

• 个人联系方式

• 客户数据库

• 银行账户信息

• 学生证和成绩

• 认证数据

注意事项：

• 如果信息被不当访问，需要向个人发出通知

• 可能需要向政府等外部机构报告未经授权的访问

• 应该对这些数据实施和应用高级别的安全控制

• 一些组织选择将此类别分为 2：机密数据和绝密数据；绝密数据将包括商业机密或政府机密信息等内容